예제: 기본 IbmPKIX 신뢰 관리자에서 인증서 폐기 확인 사용으로 설정
IbmPKIX 신뢰 관리자는 기본적으로 WebSphere® Application Server에서 사용으로 설정됩니다. IbmPKIX 신뢰 관리자는 인증서 폐기 확인이 발생하도록 허용합니다. 관리 콘솔을 사용하거나 ssl.client.props 파일을 수동으로 업데이트하여 인증서 폐기 확인을 사용으로 설정합니다.
기본 IbmPKIX 신뢰 관리자
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass=""
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey=""
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>
기본 IbmPKIX 신뢰 관리자에서 인증서 폐기 확인 사용으로 설정
관리 콘솔을 사용하여 IbmPKIX 신뢰 관리자 사용자 정의 특성을 보고 변경할 수 있습니다.
- 보안 > SSL 인증서 및 키 관리를 클릭하십시오.
- 관련 항목에서 신뢰 관리자를 클릭하십시오.
- IbmPKIX를 클릭하십시오.
- 추가 특성 아래에서 사용자 정의 특성을 클릭하십시오.
IbmPKIX 사용자 정의 특성
- com.ibm.jsse2.checkRevocation
- 이 특성은 JVM(Java™ Virtual Machine)에 대한 취소 확인을 구성합니다. 이 특성은 기본적으로 false로 설정됩니다. SSL 통신에 사용되는 기본 WebSphere 인증은 인증서 폐기 목록(CRL) 분배 위치 또는 온라인 인증서 상태 프로토콜(OCSP) 정보를 포함하지 않기 때문입니다. 참고: 이 특성은 JVM 특성이므로 이 값은 전체 애플리케이션 서버에 적용됩니다. 이 특성이 다른 범위로 신뢰 관리자에서 정의되는 경우 유효한 값은 가장 특정하게 범위 지정된 IbmPKIX 신뢰 관리자에서 사용됩니다. 예를 들어, 노드 레벨에서 정의되는 IbmPKIX 신뢰 관리자의 특성은 셀 레벨에서 정의되는 IbmPKIX 신뢰 관리자의 특성을 대체합니다. 이 특성은 IbmX509 신뢰 관리자에서는 무시됩니다.
- default
- false
- com.ibm.security.enableCRLDP
- 이 특성은 PKIX 신뢰 관리자에 대해 CRL 분배 위치 확인을 구성합니다.
참고: CRL 분배 위치 취소 확인을 사용으로 설정하면 SSL(Secure Sockets Layer)에 사용되는 인증서는 유효한 분배 위치를 포함해야 하고 이 분배 위치는 액세스 가능해야 합니다. 그렇지 않으면 SSL 통신이 실패하고 서버가 올바르게 작동하지 않습니다.
- default
- false
내부 CRL 분배 위치를 포함하지 않는 인증서의 경우 다음 특성을 사용하여 CRL을 포함하는 원격 LDAP 서버에 대해 취소 상태를 확인할 수 있습니다.
- com.ibm.security.ldap.certstore.host
- 이 특성은 신뢰 인증서 또는 인증서 폐기 목록을 포함하는 LDAP 서버 호스트 이름을 지정합니다. 대상 LDAP 서버 호스트는 인증서를 유효성 검증하고 신뢰 저장소에 필요한 인증서가 없는 경우에 CA 인증서 또는 인증서 폐기 목록을 얻기 위해 사용됩니다. LDAP 서버가 지정되지 않은 경우 로컬 신뢰 저장소에는 필요한 인증서가 있어야 합니다. LDAP 서버가 사용되는 경우 LDAP 서버는 신뢰 인증서 저장소가 아니기 때문에 루트 CA 인증서도 로컬 신뢰 저장소에 있어야 합니다. 참고: com.ibm.jsse2.checkRevocation 특성 외에 이 특성을 사용으로 설정하면 취소 확인이 사용으로 설정됩니다. 원격 LDAP 서버는 유효한 인증서 폐기 목록을 포함해야 하고 액세스 가능해야 합니다. 취소 상태를 판별할 수 없는 경우에 확인에 실패하고 SSL 통신도 실패하며 서버는 올바르게 작동하지 않게 됩니다.
- default
- 없음
- com.ibm.security.ldap.certstore.port
- 이 특성은 LDAP 서버 포트를 지정합니다. LDAP 서버 포트가 지정되지 않는 경우에 포트 값 389가 기본값으로 사용됩니다.
- default
- 389
- ocsp.enable
- ocsp.responder
- ocsp.responderCertSubjectName
- ocsp.responderCertIssuerName
- ocsp.responderCertSerialNumber
- com.ibm.security.enableCRLDP
- com.ibm.jsse2.checkRevocation
OCSP 특성 및 CRL 특성은 인증서 폐기 확인에 영향을 미칩니다. 기본적으로 OCSP 특성이 처음으로 확인됩니다. OCSP로 인증서의 유효성을 검증하는 데 오류가 발생하면 유효성 검증은 대신 CRL 분배 위치를 사용합니다.
신뢰 관리자를 선택하면 그 연관된 특성이 자동으로 Java 시스템 특성으로 설정되어 IBMCertPath 및 IBMJSSE2 제공자가 CRL 확인이 사용 또는 사용 안함을 설정되는지 알 수 있습니다. 마찬가지로 이는 java.security.Security 특성인 OCSP 특성에도 적용됩니다.
클라이언트 고려사항
#-------------------------------------------------------------------------
# Default Revocation Checking Properties
# These properties are used for certificate revocation checking with the IBM
# PKIX TrustManager.
#
# To enable CRL Distribution Points extension checking, use the system property
# com.ibm.security.enableCRLDP.
#
# OCSP checking is not enabled by default. It is enabled by setting the
# ocsp.enable property to "true". Use of the other ocsp properties is optional.
#
# Note: Both OCSP and CRLDP checking is only effective if revocation checking
# has also been enabled by setting com.ibm.jsse2.checkRevocation to "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
또한 클라이언트에서 취소 확인 정상적으로 처리되도록 하려면 서명자 교환 프롬프트를 꺼야 합니다. 이를 수행하려면 ssl.client.props 파일에서 com.ibm.ssl.enableSignerExchangePrompt 특성의 값을 false로 변경하십시오.