SSL(Secure Sockets Layer) 구성에는 클라이언트와 서버 SSL 엔드포인트의 동작을 제어하기 위해 필요한 속성이 포함됩니다.
SSL 구성을 구성 토폴로지에서 인바운드와 아웃바운드 트리에 있는 특정 관리 범위 내에서 고유한 이름으로 작성합니다.
이 태스크는 보호 품질 및 신뢰 및 키 관리자 설정을 포함하여 SSL 구성을 정의하는 방법을 보여줍니다.
시작하기 전에
예를 들어, 셀, 노드 그룹, 서버, 클러스터 또는 엔드포인트 범위 등의 SSL 구성을 정의하는 데 필요한 범위를 가장 일반적인 범위부터 가장
구체적인 범위까지 결정해야 합니다.
노드 범위에서 SSL 구성을 정의할 때, 예를 들어, 해당 노드 내에 있는 프로세스만이 SSL 구성을 로드할 수 있습니다. 그러나 셀에 있는
엔드포인트에서 프로세스는 토폴로지에서 더 높이 있는 셀 범위에서 SSL 구성을 사용할 수 있습니다.
구성이 영향을 미치는 프로세스에 따라서 어떤 범위를 새 SSL 구성과 연관시킬지를 결정해야 합니다.
예를 들어, 하드웨어 암호 디바이스의 SSL 구성에는 특정 노드에서만 사용 가능한 키 저장소가 필요하거나
특정 SSL 호스트와 포트에 대한 연결을 위해 SSL 구성이 필요할 수도 있습니다. 자세한 정보는
SSL(Secure Sockets Layer) 구성의 동적 아웃바운드 선택사항의 내용을 참조하십시오.
문제점 방지: security.xml 파일은 제한됩니다.
그러므로 security.xml 파일을 변경해야 하는 경우에는 사용자 ID에 관리자 역할 권한이 있는지 확인하십시오.
운영자 역할 권한이 있는 사용자 ID를 사용 중인 경우에는 노드 동기화를 수행할 수 있지만 security.xml
파일의 변경사항은 동기화되지 않습니다.
gotcha
이 태스크 정보
관리 콘솔에서 다음 단계를 완료하십시오.
프로시저
- 보안 > SSL 인증서 및 키 관리 > 엔드포인트 보안 구성 관리를 클릭하십시오.
- 구성 중인 프로세스에 따라서 인바운드 또는 아웃바운드 트리에서 SSL 구성 링크를 선택하십시오.
- 범위가 이미 구성 및 별명과 연관된 경우에는 SSL 구성 별명 및 인증서 별명은 괄호 안에 작성됩니다.
- 삽입구 정보가 포함되지 않는 경우에는 범위는 연관되지 않습니다. 대신, 범위는 SSL 구성 및 인증서 별명과 연관된
위에 있는 첫 번째 범위의 구성 특성을 상속받습니다.
셀 범위는 토폴로지의 맨 위에 있고 인바운드 또는 아웃바운드 연결의 기본 SSL 구성을 나타내므로
SSL 구성과 연관되어 있어야 합니다.
- SSL 구성을 클릭하십시오. 이 범위에서 구성되는 SSL 구성을 보고 선택할 수 있습니다.
토폴로지에서 낮게 있는 모든 범위에서 이러한 구성을 보고 선택할 수도 있습니다.
- SSL 구성 패널을 표시하려면 새로 작성을 클릭하십시오. 구성 이름을 입력하고 적용을 클릭할 때까지 추가 특성의 링크를 선택할 수 없습니다.
- SSL 구성 이름을 입력하십시오. 이 필드는 필수입니다.
구성 이름은 SSL 구성 별명입니다. 별명 이름이 선택된 범위에서 이미 작성된 SSL 구성 별명의 목록 내에서 고유하게 하십시오.
새 SSL 구성은 다른 구성 태스크에 이 별명을 사용합니다.
- 드롭 다운 목록에서 신뢰 저장소 이름을 선택하십시오. 신뢰 저장소 이름은
SSL 핸드쉐이크 동안에 인증서의 신뢰를 유효성 검증하는 서명자 인증서를 보유하는 특정 신뢰 저장소를 가리킵니다.
목록에 신뢰 저장소가 없는 경우에는 역할이 연결 동안에 신뢰를 설정하는 키 저장소인 새 신뢰 저장소를 작성하려면
이미 존재하는 키 저장소 파일의 키 저장소 구성 작성의 내용을 참조하십시오.
- 드롭 다운 목록에서 키 저장소 이름을 선택하십시오. 키 저장소에는 WebSphere Application
Server가 데이터를 암호화하고 서명하는 데 사용하는 서명자 ID 및 개인 키를 나타내는 개인 인증서를 포함합니다.
- 키 저장소 이름을 변경하는 경우에는 인증서 별명 가져오기를 클릭하여
기본 별명을 선택할 수 있는 인증서 목록을 클릭하십시오. WebSphere Application Server는 인바운드 연결을 위해 서버 별명을 사용하고
아웃바운드 연결을 위해
클라이언트 별명을 사용합니다.
- 목록에 키 저장소가 없는 경우에는 새 키 저장소를 작성하려면 이미 존재하는 키 저장소 파일의 키 저장소 구성 작성의 내용을 참조하십시오.
- 인바운드 연결에 기본 서버 인증서 별명을 선택하십시오. 다른 곳에 SSL 구성 별명을 지정하지 않았고 인증서 별명을 선택하지 않은 경우에만 기본값을 선택하십시오. 중앙에서 관리되는
SSL 구성 트리는 기본 별명을 대체할 수 있습니다. 자세한 정보는
SSL 구성의 중앙 관리의 내용을 참조하십시오.
- 아웃바운드 연결에 기본 클라이언트 인증서 별명을 선택하십시오. 서버 SSL 구성이 SSL 클라이언트 인증을 지정하는 경우에만 기본값을 선택하십시오.
- SSL 구성의 식별된 관리 범위를 검토하십시오. 이 필드의 관리 범위를 2단계에서 선택한 링크와 동일하게 만드십시오. 범위를 변경하고 싶은 경우에는
토폴로지 트리에서 다른 링크를 클릭하고 3단계에서 계속해야 합니다.
- 추가 특성을 구성하려면 적용을 클릭하십시오. 그렇지 않은 경우에는 24단계로 이동하십시오.
- 보호 품질(QoP) 설정을 클릭하십시오. QoP 설정은 SSL 암호화의 강도, 서명자의 무결성 및 인증서의 신뢰성을 정의합니다.
- 인바운드 연결을 위해서 및 클라이언트가 해당하는 경우 해당 인증서를 전송하기 위해
SSL 구성을 설정하려면 클라이언트 인증 설정을 선택하십시오.
- 없음을 선택하면 서버는 클라이언트가 핸드쉐이크 동안에 인증서를 전송하도록 요청하지 않습니다.
- 지원됨을 선택하는 경우 서버는 클라이언트가 인증서를 전송하도록 요청합니다.
그러나 클라이언트에 인증서가 없는 경우에는 핸드쉐이크는 여전히 성공할 수도 있습니다.
- 필수를 선택하는 경우 서버는 클라이언트가 인증서를 전송하도록 요청합니다.
그러나 클라이언트에 인증서가 없는 경우에는 핸드쉐이크는 실패합니다.
중요사항: 클라이언트를 나타내는 서명자 인증서는 사용자가 SSL 구성을 위해 선택하는 신뢰 저장소에 있어야 합니다.
기본적으로 구성 저장소의 셀 디렉토리에 있는 공통 신뢰 저장소, trust.p12를 사용하므로 동일 셀 내의 서버는 서로 신뢰합니다.
그러나 사용자가 작성하는 키 저장소와 신뢰 저장소를 사용하는 경우에는 지원됨 또는 필수를 선택하기 전에 서명자 교환을 수행하십시오.
- SSL 핸드쉐이크에 대한 프로토콜을 선택하십시오.
- 기본 프로토콜, SSL_TLS는 클라이언트 프로토콜 TLSv1 및 SSLv3을 지원합니다.
- TLSv1 프로토콜은 TLS 및 TLSv1을 지원합니다. 핸드쉐이크를 계속 진행하기 위해서는 SSL 서버 연결은
이 프로토콜을 지원해야 합니다.
- SSLv2
- SSLv3
- SSLv3 프로토콜은 SSL 및 SSLv3을 지원합니다. 핸드쉐이크를 계속 진행하기 위해서는 SSL 서버 연결은
이 프로토콜을 지원해야 합니다.
- TLS는 TLSv1입니다.
- TLSv1
- SSL_TLSv2는 SSLv3 및 TLSv1, TLSv1.1, TLSv1.2입니다.
- TLSv1.1
- TLSv1.2
중요사항: SSL 서버 연결을 위해 SSLv2 프로토콜을 사용하지 마십시오.
클라이언트 측에서 필요할 때에만 사용하십시오.
- 다음 옵션 중 하나를 선택하십시오.
- 사전 정의된 JSSE(Java™ Secure
Socket Extension) 제공자. IBMJSSE2 제공자는 이를 지원하는 모든 플랫폼에서 사용이 권장됩니다.
이는 채널 프레임워크 SSL 채널이 사용하기 위해 필수입니다. FIPS(Federal Information Processing
Standard)가 사용 가능한 경우, IBMJSSE2가 IBMJCEFIPS 비밀번호 제공자와 함께 사용됩니다.
- 사용자 정의 JSSE 제공자. 사용자 정의 제공자 필드에 제공자 이름을 입력하십시오.
- 다음 암호화 스위트 그룹 중에서 선택하십시오.
- 강: WebSphere
Application Server가 암호화를 위해 128비트 기밀성 알고리즘을 수행하고 무결성 서명 알고리즘을 지원합니다. 그러나 강력한 암호화 스위트는
연결 성능에 영향을 미칠 수 있습니다.
- 중간: WebSphere
Application Server가 암호화를 위해 40비트 암호화 알고리즘을 수행하고 무결성 서명 알고리즘을 지원합니다.
- 약: WebSphere Application Server는 무결성 서명 알고리즘을
지원할 수 있지만 암호화를 수행하지는 않습니다.
네트워크를 통과하는 비밀번호 및 기타 민감한 정보는 IP(Internet Protocol) 스니퍼에 표시 가능하므로 이 옵션을
사용할 때는 주의하십시오.
- 사용자 정의: 특정 암호를 선택할 수 있습니다. 특정 암호 스위트 그룹으로부터 나열되는 암호를 변경할 때마다
그룹 이름은 사용자 정의로 변경됩니다.
- 각 암호 강도에 사용 가능한 암호 목록을 보려면 선택된 암호 업데이트를 클릭하십시오.
- 새 SSL 구성 패널로 돌아가려면 확인을 클릭하십시오.
- 신뢰 및 키 관리자를 클릭하십시오.
- 1차 SSL 핸드쉐이크 신뢰 의사결정을 위해 기본 신뢰 관리자를 선택하십시오.
- 인증서 또는 온라인 인증서 상태 프로토콜(OCSP)에서 CRL 분배 지점을 사용하여 인증서 폐기 목록(CRL)
검사가 필요한 경우에는 IbmPKIX를 선택하십시오.
- CRL 검사는 필요하지 않지만 성능 향상이 필요한 경우에는 IbmX509를 선택하십시오.
필요한 경우 CRL 검사를 수행하기 위해 사용자 정의 신뢰 관리자를 구성할 수 있습니다.
- 적합한 경우 사용자 정의 신뢰 관리자를 정의하십시오. 사용자가 선택하는 기본 신뢰
관리자와 함께 실행되는 사용자 정의 신뢰 관리자를 정의할 수 있습니다.
사용자 정의 신뢰 관리자는 JSSE
javax.net.ssl.X509TrustManager 인터페이스를 구현하고, 선택적으로 com.ibm.wsspi.ssl.TrustManagerExtendedInfo
인터페이스를 구현하여 제품 특정 정보를 구해야 합니다.
- 보안 > SSL 인증서 및 키 관리 > 엔드포인트 보안 구성 관리 > SSL_configuration >
신뢰 및 키 관리자 > 신뢰 관리자 > 새로 작성을 클릭하십시오.
- 고유한 신뢰 관리자 이름을 입력하십시오.
- 사용자 정의 옵션을 선택하십시오.
- 클래스 이름을 입력하십시오.
- 확인을 클릭하십시오. 신뢰 및 키 관리자 패널로 돌아가면
새 사용자 정의 신뢰 관리자가 추가 정렬된 신뢰 관리자 필드에 표시됩니다.
목록 상자를 사용하여 사용자 정의 신뢰 관리자를 추가하고 제거하십시오.
- SSL 구성을 위해 키 관리자를 선택하십시오. 기본적으로
IbmX509는 사용자 정의 키 관리자를 작성하지 않는 한 유일한 키 관리자입니다.
중요사항: 사용자 고유의 키 관리자를 구현하기로 선택한 경우에는 키 관리자가 키 저장소로부터
인증서 별명을 선택할 책임이 있으므로 별명 선택 동작에 영향을 미칠 수 있습니다.
사용자 정의 키 관리자는 SSL 구성을 WebSphere Application Server
키 관리자 IbmX509처럼 SSL 구성을 해석하지 않을 수도 있습니다. 사용자 정의 키 관리자를 정의하려면
보안 > 보안 통신 > SSL 구성 > SSL_configuration >
신뢰 및 키 관리자 > 키 관리자 > 새로 작성을 클릭하십시오.
- 신뢰 및 키 관리자 설정을 저장하고 새 SSL 구성 패널로 돌아가려면 확인을 클릭하십시오.
- 새 SSL 구성을 저장하려면 저장을 클릭하십시오.
결과
중요사항: 하나 이상의 사용자 정의 신뢰 관리자를 구성하고
com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined 특성을 true로 설정하면 기본 신뢰
관리자를 대체할 수 있습니다. SSL 구성 패널에서 사용자 정의 특성을 클릭하십시오.
그러나 기본값을 변경하는 경우에는 모든 신뢰 결정을 사용자 정의 신뢰 관리자에게 남기는데 이는
프로덕션 환경에서는 권장되지 않습니다. 테스트 환경에서 더미 신뢰 관리자를 사용하여 인증서
유효성 검증을 피하십시오. 이러한 환경이 안전하지 않다는 점을 기억하십시오.
다음에 수행할 작업
WebSphere Application Server의 이 릴리스에서
다음 메소드 중 하나를 사용하여 SSL 구성을 프로토콜과 연관시킬 수 있습니다.