![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
IBM HTTP Server 인증 관리
IBM® HTTP Server에서 TLS(SSL이라고도 함) 연결을 승인하도록 구성하려면 웹 서버의 인증을 작성해야 합니다. SSL 인증은 클라이언트에 웹 서버 ID를 인증합니다.
배경 정보와 도구
IBM HTTP Server에서 인증을 작성하기 위한 기본 도구는 그래픽 순수 Java™ 키 관리 도구인 iKeyman입니다.
z/OS®
운영 체제에서는 모든 인증 관리가 기본 gskkyman 인증서 관리 도구로
수행됩니다.
Microsoft Windows에서는
시작 메뉴를 사용하여 iKeyman을 시작할 수 있습니다. 다른 플랫폼에서는 모든 IBM
HTTP Server 실행 파일과 같이 IBM HTTP Server bin/ 디렉토리에서
도구를 시작하십시오.
기본 및 Java 보충 명령행 인증서 관리 도구는 IBM HTTP Server bin/ 디렉토리에 gskcmd(iKeycmd라고도 함) 및 gskcapicmd(gsk8capicmd라고도 함)로도 제공됩니다. 두 도구 모두 유사한 구문을 공유하며 확장 임베디드 사용량 정보를 포함합니다.
IBM HTTP Server의 인증 제한사항
- IBM HTTP Server에는 RSA 인증(키)만 지원됩니다. DSA 및 ECC 인증은 지원되지 않습니다.
- IBM HTTP Server 런타임에는 키 길이가 최대 4096비트인 인증을 지원합니다.
- Ikeyman 및 gskcmd(ikeycmd)는 길이가 최대 4096비트인 인증 작성을 지원합니다. gskcapicmd 명령은 길이가 최대 4096비트인 인증 작성을 지원합니다.
- 각 IBM HTTP Server 인스턴스에 여러 키 데이터베이스 파일을 사용할 수 있지만 TLS 사용 가상 호스트에는 그 중 여러 개인 인증을 포함할 수 있는 하나의 인스턴스만 사용할 수 있습니다.
인증서 관리 도구에 대한 전체 문서
- gskkyman의 전체 문서는 z/OS Internet Library의 "Cryptographic Services PKI Services Guide and Reference" 문서(SA22-7693)에 있습니다.
- iKeyman 및 gskcmd(Ikeycmd)의 전체 문서는 iKeyman v8 사용자 안내서에 있습니다.
- 기본 명령행 인증서 관리 도구인 gskcapicmd(gsk8capicmd)의 전체 문서는 IBM HTTP Server 라이브러리 페이지에 있습니다.
시스템 설정
- 이전 IBM HTTP Server 릴리스와 달리 java/jre/lib/ext/gskikm.jar 파일을 이동 또는 수정하지 마십시오.
- 선택적으로 DeveloperWorks의 무제한 JCE 정책 파일을 설치하여 iKeyman 및 gskcmd(ikeycmd)의 무제한 강도 암호를 사용하십시오. 이 단계는 PKCS12 키 저장소를 조작하는 데 필요합니다.
![[z/OS]](../images/ngzos.gif)
인증서 관리 태스크
인증서 관리에 대한 세부 예제 시나리오는 iKeyman(분산 운영 체제) 및 gskkyman(z/OS 운영 체제)에 대한 전체 문서에 나와 있습니다.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
인증서 관리 태스크
인증서 관리에 대한 세부 예제 시나리오는 iKeyman(분산 운영 체제) 및 gskkyman(z/OS 운영 체제)에 대한 전체 문서에 나와 있습니다.
공통
태스크의 다음 명령행 예제를 참조하십시오. 다음 명령을
처음 두 매개변수와 함께 입력하여 전체 사용량 구문을 보거나
명령에 대한 전체 문서를 참조할 수 있습니다. 다음 표에는
CA 인증에 수행할 수 있는 조작, 해당 조작을 수행하기 위해
사용할 수 있는 AdminTask 오브젝트, 콘솔에서 인증을 탐색하는 방법이
나열되어 있습니다.
CMS 키 저장소 작성
IBM HTTP Server에 사용할 키 저장소를 작성하는 경우, 사용한 도구에 관계 없이 파일에 대해 비밀번호를 숨기는 옵션을 지정하십시오.
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
기본 신뢰 CA 인증 세트로 키 저장소 채우기
기본적으로 새 키 저장소에는 신뢰 CA 인증이 없습니다.
# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd.
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
필요한 경우 CA 인증 추가(선택사항)
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
테스트 목적으로 자체 서명 인증 작성(선택사항)
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label "example.com" -size 2048
인증 요청 작성
서명 알고리즘(해당 서명은 런타임이 아닌 인증 기관만 사용) 선택을 포함한 대부분의 필드와 옵션은 선택사항입니다. 웹 서버에 다른 호스트 이름을 지정할 수도 있습니다.
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size> -file <outputfilename>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
신뢰 인증 기관에 인증 요청 제출
이 태스크에는 로컬 도구 사용이 포함되지 않습니다. 일반적으로 인증 요청(example.csr)은 이메일로 보내거나 신뢰 인증 기관에 업로드합니다.
발행된 인증 수신
인증을 수신하면 해당 CA의 서명된 인증과 KDB 파일의 개인 키(개인 인증)가 연관됩니다. 인증 요청을 생성한 KDB에만 인증을 수신할 수 있습니다.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
키 저장소에 인증을 나열하십시오.
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
JKS 또는 PKCS12의 인증을 IBM HTTP Server에서 사용 가능한 키 파일로 가져오기(선택사항)
새 개인 키(개인 인증)를 작성하는 대신 다른 도구에서 작성된 기존 개인 키와 인증을 기존 키 파일로 가져올 수 있습니다.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \
-target key.kdb -target_pw password
인증 만기 날짜 보기(선택사항)
-expiry 플래그는 향후 "numdays"일에 만기되는 것으로 간주될 인증을 표시합니다. 이미 만기된 인증을 표시하려면 0을 사용하고 모든 인증 만기 날짜를 표시하려면 큰 수를 사용하십시오.
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365