ssl.client.props 클라이언트 구성 파일

ssl.client.props 파일을 사용하여 클라이언트용 SSL(Secure Sockets Layer)을 구성하십시오. 이전 WebSphere® Application Server 릴리스에서 SSL 특성은 sas.client.props 또는 soap.client.props 파일에 지정되거나 시스템 특성으로 지정되었습니다. WebSphere Application Server가 구성을 통합하면 서버측 구성 관리와 비슷한 방식으로 보안을 관리할 수 있습니다. 다중 SSL 구성을 사용하여 ssl.client.props 파일을 구성할 수 있습니다.

클라이언트용 SSL 구성 설정

클라이언트 런타임은 WebSphere Application Server ssl.client.props 구성에 종속됩니다.

[AIX Solaris HP-UX Linux Windows]명령행에서 setupCmdLine.bat 스크립트를 사용하여 com.ibm.SSL.ConfigURL 시스템 특성을 지정하십시오.

[z/OS]명령행에서 setupCmdLine.sh 스크립트를 사용하여 com.ibm.SSL.ConfigURL 시스템 특성을 지정하십시오.

[AIX Solaris HP-UX Linux Windows]com.ibm.SSL.ConfigURL 특성은 ssl.client.props 파일을 지시하는 파일 URL을 참조합니다. setupCmdLine.bat 파일을 사용하는 모든 스크립트의 명령행에서 CLIENTSSL 변수를 참조할 수 있습니다.

[z/OS]com.ibm.SSL.ConfigURL 특성은 ssl.client.props 파일을 지시하는 파일 URL을 참조합니다. setupCmdLine.sh 파일을 사용하는 모든 스크립트의 명령행에서 CLIENTSSL 변수를 참조할 수 있습니다.

[IBM i]명령행에서 setupCmdLine 스크립트를 사용하여 com.ibm.SSL.ConfigURL 시스템 특성을 지정하십시오. 또한, setupclient 스크립트는 CLIENTSSL 변수를 설정합니다. com.ibm.SSL.ConfigURL 특성은 ssl.client.props 파일을 가리키는 파일 URL을 참조합니다. setupCmdLine 파일을 사용하는 모든 스크립트의 명령행에서 CLIENTSSL 변수를 참조할 수 있습니다.

com.ibm.SSL.ConfigURL 시스템 특성을 지정하는 경우 SSL 구성은 SSL을 사용하는 모든 프로토콜에서 사용 가능합니다. ssl.client.props 파일에서 참조되는 SSL 구성도 사용자가 참조할 수 있는 별명이 설정되어 있습니다. sas.client.props 파일의 다음 샘플 코드에서 모든 SSL 특성은 ssl.client.props 파일의 SSL 구성을 지시하는 특성으로 바뀌었습니다.
com.ibm.ssl.alias=DefaultSSLSettings
다음 샘플 코드에서는 com.ibm.SSL.ConfigURL 특성과 비슷한 soap.client.props 파일의 특성을 표시합니다. 이 특성은 다음과 같이 클라이언트측에서 서로 다른 SSL 구성을 참조합니다.
com.ibm.ssl.alias=DefaultSSLSettings
ssl.client.props 파일에서는 soap.client.props 파일을 수정하지 못하도록 관리 SSL 구성을 변경할 수 있습니다.
팁: SSL 특성에 대한 지원이 계속 sas.client.propssoap.client.props 파일에 지정됩니다. 그러나 ssl.client.props 파일이 클라이언트 SSL의 새 구성 모델이므로 SSL 구성을 이 파일로 이동하는 것이 좋습니다.
[IBM i][z/OS]setupCmdLine.sh를 호출하지 않는 클라이언트를 보안을 사용한 애플리케이션 서버 연결에 구성하는 경우, 다음 시스템 특성이 클라이언트 구성에 정의되어 있는지 확인해야 합니다.
-Djava.security.properties=profile_root/properties/java.security 

ssl.client.props 파일의 특성

이 섹션에서는 파일의 섹션별로 기본 ssl.client.props 파일 특성을 자세히 설명합니다. javax.net.ssl 시스템 특성을 지정하면 ssl.client.props 파일의 설정을 대체함을 주의하십시오.

글로벌 특성:

[AIX Solaris HP-UX Linux Windows][z/OS]글로벌 SSL 특성은 프로세스에 특정한 특성입니다. 이 특성으로는 FIPS(Federal Information Processing Standard) 사용 가능, 기본 SSL 별명, 키 및 신뢰 저장소 경로의 루트 위치를 지정하는 데 필요한 user.root 특성 등이 있습니다.

[IBM i]글로벌 SSL 특성은 프로세스에 특정한 특성입니다. 이 특성으로는 FIPS(Federal Information Processing Standard) 사용 가능, 기본 SSL 별명, 키 및 신뢰 저장소 경로의 루트 위치를 지정하는 데 필요한 프로파일의 profile_root 등이 있습니다.

표 1. ssl.client.props 파일의 특성. 다음 표는 ssl.client.props 파일의 특성에 대해 설명합니다.
특성 기본값 설명
com.ibm.ssl.defaultAlias DefaultSSLSettings JSSEHelper API를 호출하여 SSL 구성을 검색하는 프로토콜에서 별명을 지정하지 않은 경우 사용하는 기본 별명을 지정합니다. 이 특성은 사용할 SSL 구성을 판별하는 경우 클라이언트측의 마지막 중재자입니다.
com.ibm.ssl.validationEnabled false true로 설정된 경우 이 특성은 각 SSL 구성을 로드할 때 유효성을 검증합니다. 프로덕션 도중 불필요한 성능 오버헤드를 방지하기 위해 이 특성을 디버그 목적으로만 사용하십시오.
com.ibm.ssl.performURLHostNameVerification false true로 설정된 경우 이 특성은 URL 호스트 이름을 강제로 확인합니다. HTTP URL로 대상 서버와 연결하는 경우 서버 인증의 CN(공통 이름)이 대상 호스트 이름과 일치해야 합니다. 일치하지 않는 경우 호스트 이름 확인자는 연결을 거부합니다. 기본값은 false로, 이 검사를 생략합니다. 글로벌 특성이므로 기본 호스트 이름 확인자를 설정합니다. javax.net.ssl.HttpsURLConnection 오브젝트를 통해 고유한 HostnameVerifier 인스턴스를 사용하여 setHostnameVerifier 메소드를 호출하는 경우 해당 특정 인스턴스에서 호스트 이름 확인을 수행하도록 선택할 수 있습니다.
문제점 방지 문제점 방지: 이 특성은 SSL 채널에는 적용되지 않습니다.gotcha
com.ibm.security.useFIPS false true로 설정되면 FIPS 준수 알고리즘이 SSL 및 기타 JCE(Java™ Cryptography Extension) 특정 애플리케이션에서 사용됩니다. 일반적으로 이 특성은 운영 환경에서 필요한 경우에만 사용 가능합니다.
com.ibm.websphere.security.FIPSLevel false 사용할 보안 표준 레벨을 지정합니다. 올바른 값은 140-2, SP800-131 및 상태 전이입니다. Suite B를 사용 설정하려면 com.ibm.security.useFIPS 특성을 true로 설정해야 합니다. 이 특성은 글로벌 특성 섹션의 ssl.client.props 파일에서 가능하면 com.ibm.security.useFIPS 뒤에 입력해야 합니다.
com.ibm.websphere.security.suiteB false 사용할 Suite B 보안 표준 레벨을 지정합니다. 올바른 값은 128 및 192입니다. com.ibm.security.useFIPS 특성을 사용하려면 이를 true로 설정해야 합니다. ssl.client.props 파일의 글로벌 특성 섹션에서 com.ibm.security.useFIPS 다음에 이 특성을 입력해야 합니다.
[z/OS]user.root [z/OS]${WASROOT} [z/OS]이 특성은 키 및 신뢰 저장소에 루트 경로를 지정하는 경우 키 및 신뢰 저장소 위치 특성에서 단일 특성으로 사용할 수 있습니다. ${WASROOT} 특성은 현재 프로파일의 루트 디렉토리입니다. 일반적으로, 이 특성은 프로파일 루트입니다. 그러나 로컬 시스템에서 루트 디렉토리에 대한 올바른 읽기 권한과 잠재적으로 가능한 쓰기 권한이 있는 해당 디렉토리로 이 특성을 수정할 수 있습니다.

인증 작성 특성:

인증 작성 특성을 사용하여 인증의 주요 속성에 대한 자체 서명된 인증 기본값을 지정하십시오. 키 저장소에 저장된 DN(식별 이름), 만기 날짜, 키 크기 및 별명을 정의할 수 있습니다.
표 2. 인증 작성 특성. 다음 표는 인증 작성 특성에 대해 설명합니다.
특성 기본값 설명
com.ibm.ssl.defaultCertReqAlias default_alias 이 특성은 키 저장소에서 작성된 자체 서명된 인증을 참조할 때 사용하는 기본 별명을 지정합니다. 이미 이 이름의 별명이 있는 경우 기본 별명에 _#이 추가됩니다. 여기서 숫자 부호(#)는 1부터 시작하여 고유한 별명을 찾을 때까지 증가하는 정수입니다.
com.ibm.ssl.defaultCertReqSubjectDN cn=${hostname}, o=IBM,c=US 이 특성은 특성을 작성할 때 인증에서 설정한 특성의 DN(식별 이름)을 사용합니다. ${hostname} 변수는 이 변수가 상주하는 호스트 이름으로 확장됩니다. X.509 인증에서 지정한 대로, 올바르게 구성된 DN을 사용할 수 있습니다.
com.ibm.ssl.defaultCertReqDays 365 이 특성은 인증의 유효 기간을 지정하며 범위는 1일부터 인증을 설정할 수 있는 최대 기간(약 15년)까지 가능합니다.
com.ibm.ssl.defaultCertReqKeySize 1024 이 특성은 기본 키 크기입니다. 올바른 값은 설치된 JVM(Java Virtual Machine) 보안 정책 파일에 따라 다릅니다. 기본적으로 제품 JVM은 키 크기를 1024로 제한하는 내보내기 정책 파일을 함께 제공합니다. 2048과 같이 대형 키를 가져오려는 경우 웹 사이트에서 제한된 정책 파일을 다운로드할 수 있습니다.

인증 취소 검사:

인증 취소 검사를 사용 가능하게 하기 위해 OCSP(Online Certificate Status Protocol) 특성의 조합을 설정할 수 있습니다. com.ibm.ssl.trustManager 특성을 IbmPKIX로 설정하지 않으면 이 특성은 사용되지 않습니다. 또한 클라이언트에 대한 취소 검사를 성공적으로 처리하려면 서명자 교환 프롬프트를 꺼야 합니다. 서명자 교환 프롬프트를 끄려면 com.ibm.ssl.enableSignerExchangePrompt 특성을 false로 변경하십시오. 자세한 정보는 기본 IbmPKIX 신뢰 관리자에 인증 취소 검사 사용에 대한 문서를 참조하십시오.

SSL 구성 특성:

SSL 구성 섹션을 사용하여 다중 SSL 구성을 설정하십시오. 새 SSL 구성 스펙의 경우 com.ibm.ssl.alias 특성을 설정하십시오. 구문 분석기가 이 별명을 사용하여 새 SSL 구성을 시작하기 때문입니다. SSL 구성은 기본 별명 특성을 통해 다른 파일(예: sas.client.props 또는 soap.client.props)의 별명 특성을 사용하여 참조됩니다. 다음 테이블에 지정된 특성을 사용하면 기타 SSL 오브젝트 중에서 javax.net.ssl.SSLContext를 작성할 수 있습니다.
표 3. SSL 구성 특성. 다음 표에는 SSL 구성 특성이 나열되어 있습니다.
특성 기본값 설명
com.ibm.ssl.alias DefaultSSLSettings 이 특성은 SSL 구성의 이름이며 SSL 구성을 참조하므로 SSL 구성의 첫 번째 특성이어야 합니다. 특성을 구성의 다른 위치에서 참조한 후 해당 특성 이름을 변경하는 경우 해당 참조를 찾지 못하면 런타임 시 기본값은 com.ibm.ssl.defaultAlias 특성으로 설정됩니다. trust file is null 또는 key file is null과 같은 오류는 더 이상 유효하지 않은 SSL 참조를 사용하여 애플리케이션을 시작할 때 표시될 수 있습니다.
com.ibm.ssl.protocol SSL_TLS 이 특성은 SSL 구성에서 사용되는 SSL 핸드쉐이크 프로토콜입니다. 이 특성은 먼저 TLS(Transport Layer Security)를 시도하지만 SSLv3 및 TLSv1을 포함하는 원격 핸드쉐이크 프로토콜을 허용합니다. 이 특성에 올바른 값은 SSL_TLS, SSL, SSLv2(클라이언트측만 해당), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 및 TLSv1.2입니다.
com.ibm.ssl.securityLevel STRONG 이 특성은 SSL 핸드쉐이크에서 사용하는 비밀번호 그룹을 지정합니다. 일반적으로, 128비트 이상의 비밀번호를 지정하는 STRONG를 선택합니다. MEDIUM을 선택하면 40비트 비밀번호를 제공합니다. WEAK를 선택하면 암호화를 수행하지 않는 비밀번호를 제공하지만 데이터 무결성을 위해 서명을 수행합니다. 고유한 비밀번호 목록 선택사항을 지정하는 경우 com.ibm.ssl.enabledCipherSuites 특성의 주석 처리를 해제하십시오.
참고: javax.net.ssl 시스템 특성을 사용하면 이 값이 항상 HIGH입니다.
com.ibm.ssl.trustManager IbmX509 이 특성은 대상 서버에서 전송한 인증의 유효성을 검증해야 하는 기본 신뢰 관리자를 지정합니다. 이 신뢰 관리자는 CRL(인증 취소 목록)을 검사하지 않습니다. CRL 검사를 수행하는 표준 방법인 인증의 CRL 분배 목록을 사용하여 CRL 검사 시 이 값을 IbmPKIX로 변경하도록 선택할 수 있습니다. 사용자 정의 CRL 검사를 수행하려는 경우 사용자 정의 신뢰 관리자를 구현하여 com.ibm.ssl.customTrustManagers 특성에서 신뢰 관리자를 지정해야 합니다. IbmPKIX 옵션은 신뢰 유효성 검증 시 IBMCertPath가 필요하므로 성능에 영향을 줄 수 있습니다. CRL 검사가 필요하지 않으면 IbmX509를 사용하십시오. OCSP(Online Certificate Status Protocol) 특성을 사용할 경우 이 특성 값을 IbmPKIX로 설정하십시오.
com.ibm.ssl.keyManager IbmX509 이 특성은 지정된 키 스토어에서 클라이언트 별명을 선택하는 경우 사용할 기본 키 관리자를 지정합니다. 키 관리자는 com.ibm.ssl.keyStoreClientAlias 특성을 사용하여 키 스토어 별명을 지정합니다. 이 특성을 지정하지 않으면 JSSE(Java Secure Socket Extension)에서 선택하도록 위임됩니다. 일반적으로 JSSE는 찾은 첫 번째 별명을 선택합니다.
com.ibm.ssl.contextProvider IBMJSSE2 이 특성은 SSL 컨텍스트 작성 시 JSSE 프로바이더를 선택하는 데 사용합니다. JVM(Java Virtual Machine)을 사용하는 경우 기본값을 IBMJSSE2로 설정하는 것이 좋습니다. Sun JVM을 사용하는 경우 클라이언트 플러그인은 SunJSSE 프로바이더를 사용할 수 있습니다.
com.ibm.ssl.enableSignerExchangePrompt true 이 특성으로 서명자가 클라이언트 truststore에 없는 경우 서명자 교환 프롬프트 표시 여부를 결정합니다. 이 프롬프트에서는 WebSphere Application Server가 서명자의 신뢰 여부를 결정할 수 있도록 원격 인증에 대한 정보를 표시합니다. 인증 서명의 유효성을 검증하는 작업은 매우 중요합니다. 이 서명은 원본 서버 인증에서 인증이 수정되지 않았음을 보장하는 유일하게 신뢰할 수 있는 정보입니다. 자동화된 시나리오에서는 SSL 핸드쉐이크 예외을 방지하도록 이 특성을 사용 불가능하게 하십시오. SSL 서명자 교환을 설정하는 retrieveSigners 스크립트를 실행하여 클라이언트를 실행하기 전에 먼저 서버에서 서명자를 다운로드하십시오. OCSP(Online Certificate Status Protocol) 특성을 사용할 경우 이 특성 값을 false로 설정하십시오.
com.ibm.ssl.keyStoreClientAlias default 이 특성은 대상에서 클라이언트 인증을 요청하지 않은 경우 지정된 키 스토어의 별명을 참조하는 데 사용합니다. WebSphere Application Server가 SSL 구성에서 자체 서명된 인증을 작성하는 경우, 이 특성은 별명을 판별하고 글로벌 com.ibm.ssl.defaultCertReqAlias 특성을 대체합니다.
com.ibm.ssl.customTrustManagers 기본적으로 주석 처리됨 이 특성을 사용하여 하나 이상의 사용자 정의 신뢰 관리자(쉼표로 구분됨)를 지정할 수 있습니다. 이 신뢰 관리자의 양식은 algorithm|provider 또는 classname과 같습니다. 예를 들어 IbmX509|IBMJSSE2의 형식은 algorithm|provider이고 com.acme.myCustomTrustManager 인터페이스 형식은 classname입니다. 클래스는 javax.net.ssl.X509TrustManager 인터페이스를 구현해야 합니다. 선택적으로, 클래스는 com.ibm.wsspi.ssl.TrustManagerExtendedInfo 인터페이스를 구현할 수 있습니다. com.ibm.ssl.trustManager 인터페이스에서 지정하는 기본 신뢰 관리자 이외에도 이러한 신뢰 관리자에서 실행합니다. 기본 신뢰 관리자는 이러한 신뢰 관리자로 바뀌지 않습니다.
com.ibm.ssl.customKeyManager 기본적으로 주석 처리됨 이 특성은 하나의 사용자 정의 키 관리자만 사용 가능하게 합니다. com.ibm.ssl.keyManager 특성에 지정된 기본 키 관리자가 이 키 관리자로 바뀝니다. 키 관리자의 양식은 algorithm|provider 또는 classname입니다. com.ibm.ssl.customTrustManagers 특성에 대한 형식 예제를 참조하십시오. 클래스는 javax.net.ssl.X509KeyManager 인터페이스를 구현해야 합니다. 선택적으로, 클래스는 com.ibm.wsspi.ssl.KeyManagerExtendedInfo 인터페이스를 구현할 수 있습니다. 키 관리자에서 별명을 선택해야 합니다.
com.ibm.ssl.dynamicSelectionInfo 기본적으로 주석 처리됨 이 특성을 사용하여 SSL 구성과 동적으로 연관할 수 있습니다. 동적 연관의 구문은 outbound_protocol, target_host, 또는 target_port입니다. 다중 스펙의 경우 분리문자로 세로 막대(|)를 사용하십시오. 이러한 값 중 하나를 별표(*)로 바꾸어 와일드 카드 값을 표시할 수 있습니다. 유효한 outbound_protocol 값은 다음을 포함합니다. IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS, and ADMIN_SOAP. 동적 선택사항 기준에서 SSL 구성을 선택하려는 경우 기본 특성의 주석 처리를 해제하고 연결 정보를 추가하십시오. 예를 들어 다음을 한 행에 추가하십시오.
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites 기본적으로 주석 처리됨 이 특성을 사용하면 사용자 정의 cipher suite 목록을 지정하고 com.ibm.ssl.securityLevel 특성에서 그룹 선택사항을 대체할 수 있습니다. 유효한 비밀번호 목록은 적용되는 JVM 정책 파일 및 제공자에 따라 다릅니다. Cipher suite의 경우 공백을 분리문자로 사용하십시오.
com.ibm.ssl.keyStoreName ClientDefaultKeyStore 이 특성은 키 저장소 구성 이름을 참조합니다. 아직 키 저장소를 정의하지 않은 경우 나머지 키 저장소 특성은 이 특성을 따라야 합니다. 키 저장소를 정의한 후 이전에 지정한 키 저장소 구성을 참조하도록 특성을 지정할 수 있습니다. ssl.client.props 파일의 새 키 저장소 구성 이름은 고유합니다.
com.ibm.ssl.trustStoreName ClientDefaultTrustStore 이 특성은 신뢰 저장소 구성 이름을 참조합니다. 아직 신뢰 저장소를 정의하지 않은 경우 나머지 신뢰 저장소 특성은 이 특성을 따라야 합니다. 신뢰 저장소를 정의한 후 이전에 지정한 신뢰 저장소 구성을 참조하도록 특성을 지정할 수 있습니다. ssl.client.props 파일의 새 신뢰 저장소 구성 이름은 고유합니다.
[z/OS]키 저장소 및 신뢰 저장소 구성 특성의 기본값은 z/OS® 프로파일 관리 도구의 관리 보안 선택사항 패널에서 선택하는 보안 구성에 따라 다릅니다. 다음 옵션은 관리 보안 선택사항 패널에서 사용 가능합니다.
  • 첫 번째 옵션인 z/OS 보안 제품 사용 옵션을 표시하는 경우 키 저장소 및 신뢰 저장소 구성 특성의 기본값은 JCERACFKS 유형의 키 저장소를 지정합니다. 이 유형은 z/OS 보안 제품(예: RACF®)에서 저장되고 관리되는 인증 및 키를 사용합니다. 자세한 정보는 "키 저장소 구성" 주제의 "z/OS 키 저장소" 섹션을 참조하십시오.
  • 두 번째 옵션인 WebSphere Application Server 보안 사용 옵션 또는 세 번째 옵션인 보안 사용 안함 옵션을 표시하는 경우 키 저장소 및 신뢰 저장소 구성 특성의 기본값은 PKCS12 파일의 키 저장소를 가리킵니다. 파일 기반 키 저장소에 대한 자세한 정보는 "키 저장소 구성" 주제의 "IBMJCE 파일 기반 키 저장소(JCEKS, JKS 및 PKCS12)" 섹션을 참조하십시오.

키 저장소 구성:

SSL 구성은 인증 위치를 식별하려는 목표를 가진 키 스토어 구성을 참조합니다. 인증은 SSL 구성을 사용하는 클라이언트 ID를 나타냅니다. 기타 SSL 구성 특성을 사용하여 키 저장소 구성을 지정할 수 있습니다. 그러나 com.ibm.ssl.keyStoreName 특성에서 새 키 저장소 구성 시작을 식별한 후 ssl.client.props 파일의 이 섹션에서 키 저장소 구성을 지정하는 것이 좋습니다. 키 저장소 구성을 모두 정의한 후 com.ibm.ssl.keyStoreName 특성은 파일의 어떤 위치에서도 키 저장소 구성을 참조할 수 있습니다.
[AIX Solaris HP-UX Linux Windows][IBM i]
표 4. 키 저장소 구성 특성. 다음 표에는 키 저장소 구성 특성이 나열되어 있습니다.
특성 기본값 설명
com.ibm.ssl.keyStoreName ClientDefaultKeyStore 이 특성은 런타임에서 참조되는 키 저장소 이름을 지정합니다. 기타 SSL 구성은 중복을 방지하기 위해 ssl.client.props 파일의 더 아래쪽에서 이 이름을 참조할 수 있습니다.
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 이 특성은 com.ibm.ssl.keyStoreType 특성의 필수 형식으로 키 저장소 위치를 지정합니다. 일반적으로, 이 특성은 키 저장소 파일 이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL(Dynamic Link Library) 파일을 참조합니다.
문제점 방지 문제점 방지: 4764 암호화 카드를 사용하는 경우, 클라이언트 구성의 키 저장소 파일 이름은 사용자가 선택한 디렉토리 구조에서 4764.cfg 파일로 지정되어야 하고, 해당 com.ibm.ssl.keyStoreType은 PKCS11로 설정되어야 합니다. 4764.cfg 파일은 WebSphere Application Server와 함께 제공되지 않습니다. gotcha
com.ibm.ssl.keyStorePassword WebAS 이 특성은 기본 비밀번호로, 작성 시 프로파일의 셀 이름입니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 후 이 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 사용자를 대신하여 인증이 작성된 경우 이 특성에서 비밀번호를 변경한 후 이 키 저장소가 상주하는 위치에서 해당 키 저장소를 삭제하십시오. 새 비밀번호를 사용하여 키 저장소를 다시 작성하도록 클라이언트를 다시 시작합니다. 단, 키 저장소 이름이 DefaultKeyStore로 끝나고 fileBased 특성이 true로 설정된 경우에만 해당됩니다. 키 저장소 및 신뢰 저장소를 동시에 삭제하십시오. 그러면 이 둘을 함께 다시 작성할 때 적절한 서명자 교환을 수행할 수 있습니다.
com.ibm.ssl.keyStoreType PKCS12 이 특성은 키 저장소 유형입니다. 기타 애플리케이션과의 상호운영성을 위해 기본값인 PKCS12를 사용하십시오. 제공자 목록에서 JVM이 지원하는 유효한 키 저장소 유형으로 이 특성을 지정할 수 있습니다.
com.ibm.ssl.keyStoreProvider IBMJCE IBM® Java Cryptography Extension 특성은 키 저장소 유형에 대한 키 저장소 제공자입니다. 암호화 디바이스에서 이 제공자는 일반적으로 IBMJCE 또는 IBMPKCS11Impl입니다.
com.ibm.ssl.keyStoreFileBased true 이 특성은 키 저장소가 파일 기반임을 런타임에 표시합니다. 즉, 파일 시스템에 있음을 의미합니다.
com.ibm.ssl.keyStoreReadOnly false 이 특성은 런타임 동안 키 저장소를 수정할 수 있는지 여부를 WebSphere Application Server의 런타임에 표시합니다.

[z/OS]다음 표에서 "z/OS 보안 제품의 기본값" 열의 값은 z/OS 보안 제품 사용 옵션이 z/OS 프로파일 관리 도구의 관리 보안 선택사항 패널에 표시될 때 사용되는 기본값에 해당합니다. 이 옵션은 관리 보안 선택사항 패널에서 첫 번째 옵션입니다. "WebSphere Application Server 보안의 기본값" 열의 값은 WebSphere Application Server 사용 옵션이 z/OS 프로파일 관리 도구의 관리 보안 선택사항 패널에 표시될 때 사용되는 기본값에 해당합니다. 이 옵션은 관리 보안 선택사항 패널에서 두 번째 옵션입니다.

[z/OS]
표 5. 키 저장소 구성 특성. 다음 표에는 키 저장소 구성 특성이 나열되어 있습니다.
특성 z/OS 보안 제품의 기본값 WebSphere Application Server 보안의 기본값 설명
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore 이 특성은 런타임에서 참조되는 키 저장소 이름을 지정합니다. 기타 SSL 구성은 중복을 방지하기 위해 ssl.client.props 파일의 더 아래쪽에서 이 이름을 참조할 수 있습니다.
com.ibm.ssl.keyStore

safreyring:///your_keyring

이 값은 z/OS 프로파일 관리 도구의 SSL 사용자 정의 패널에서 설정됩니다.

${user.root}/etc/key.p12 이 특성은 com.ibm.ssl.keyStoreType 특성의 필수 형식으로 키 저장소 위치를 지정합니다. 일반적으로, 이 특성은 키 저장소 파일 이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL(Dynamic Link Library) 파일을 참조합니다.
com.ibm.ssl.keyStorePassword 비밀번호 WebAS 이 특성은 기본 비밀번호로, 작성 시 프로파일의 셀 이름입니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 후 이 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 사용자를 대신하여 인증이 작성된 경우 이 특성에서 비밀번호를 변경한 후 이 키 저장소가 상주하는 위치에서 해당 키 저장소를 삭제하십시오. 새 비밀번호를 사용하여 키 저장소를 다시 작성하도록 클라이언트를 다시 시작합니다. 단, 키 저장소 이름이 DefaultKeyStore로 끝나고 fileBased 특성이 true로 설정된 경우에만 해당됩니다. 키 저장소 및 신뢰 저장소를 동시에 삭제하십시오. 그러면 이 둘을 함께 다시 작성할 때 적절한 서명자 교환을 수행할 수 있습니다.
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 이 특성은 키 저장소 유형입니다. 기타 애플리케이션과의 상호운영성을 위해 기본값인 PKCS12를 사용하십시오. 제공자 목록에서 JVM이 지원하는 유효한 키 저장소 유형으로 이 특성을 지정할 수 있습니다. 암호화 디바이스에서 이 유형은 JCERACFKS, JCECCARACFKS 또는 JCECCAKS 중 하나입니다.
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE IBM Java Cryptography Extension 특성은 키 저장소 유형에 대한 키 저장소 제공자입니다. 암호화 디바이스에서 이 제공자는 일반적으로 IBMJCE 또는 IBMPKCS11Impl입니다.
com.ibm.ssl.keyStoreFileBased false true 이 특성은 키 저장소가 파일 기반임을 런타임에 표시합니다. 즉, 파일 시스템에 있음을 의미합니다.
com.ibm.ssl.keyStoreReadOnly true false 이 특성은 런타임 동안 키 저장소를 수정할 수 있는지 여부를 WebSphere Application Server의 런타임에 표시합니다. 예를 들어, 관리 콘솔을 사용하거나 스크립트를 통해서는 읽기 전용 키 저장소를 수정할 수 없습니다. WebSphere Application Server for z/OS에서 사용되는 SAF 키 링은 항상 읽기 전용입니다.

신뢰 저장소 구성:

SSL 구성은 클라이언트가 신뢰하는 서버의 서명자 인증을 포함하려는 목표를 가진 신뢰 저장소 구성을 참조합니다. 기타 SSL 구성 특성을 사용하여 이 특성을 지정할 수 있습니다. 그러나 com.ibm.ssl.trustStoreName 특성에서 새 신뢰 저장소 구성 시작을 식별한 후 ssl.client.props 파일의 이 섹션에서 신뢰 저장소 구성을 지정하는 것이 좋습니다. 신뢰 저장소 구성을 모두 정의한 후 com.ibm.ssl.trustStoreName 특성은 파일의 어떤 위치에서도 해당 구성을 참조할 수 있습니다.

신뢰 저장소는 JSSE에서 신뢰 평가를 위해 사용하는 키 저장소입니다. 신뢰 저장소는 핸드쉐이크 동안 원격 연결을 신뢰하기 전에 WebSphere Application Server에 필요한 서명자를 포함합니다. com.ibm.ssl.trustStoreName=ClientDefaultKeyStore 특성을 구성하는 경우 키 저장소를 신뢰 저장소로 참조할 수 있습니다. 신뢰 저장소의 경우 추가 구성은 필요하지 않습니다. 서명자 교환을 통해 생성된 서명자를 런타임 시 해당 서명자를 호출하는 키 저장소로 가져오기 때문입니다.

[z/OS]다음 표에서 "z/OS 보안 제품의 기본값" 열의 값이 z/OS 프로파일 관리 도구의 관리 보안 선택사항 패널에 z/OS 보안 제품 사용 옵션이 표시될 때 사용되는 기본값에 해당합니다. 이 옵션은 관리 보안 선택사항 패널에서 첫 번째 옵션입니다. "WebSphere Application Server 보안의 기본값" 열의 값은 WebSphere Application Server 사용 옵션이 z/OS 프로파일 관리 도구의 관리 보안 선택사항 패널에 표시될 때 사용되는 기본값에 해당합니다. 이 옵션은 관리 보안 선택사항 패널에서 두 번째 옵션입니다.

[AIX Solaris HP-UX Linux Windows][IBM i]
표 6. 신뢰 저장소 구성 특성. 다음 표에는 신뢰 저장소 구성 특성이 나열되어 있습니다.
특성 기본값 설명
com.ibm.ssl.trustStoreName ClientDefaultTrustStore 이 특성은 런타임에서 참조되는 신뢰 저장소 이름을 지정합니다. 기타 SSL 구성은 중복을 방지하기 위해 ssl.client.props 파일의 더 아래쪽에서 참조할 수 있습니다.
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 이 특성은 com.ibm.ssl.trustStoreType 특성에서 참조하는 신뢰 저장소 유형에 필요한 형식으로 신뢰 저장소 위치를 지정합니다. 일반적으로, 이 특성은 신뢰 저장소 파일 이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL 파일을 참조합니다.
문제점 방지 문제점 방지: 4764 암호화 카드를 사용하는 경우, 클라이언트 구성의 키 저장소 파일 이름은 사용자가 선택한 디렉토리 구조에서 4764.cfg 파일로 지정되어야 하고, 해당 com.ibm.ssl.keyStoreType은 PKCS11로 설정되어야 합니다. 4764.cfg 파일은 WebSphere Application Server와 함께 제공되지 않습니다. gotcha
com.ibm.ssl.trustStorePassword WebAS 이 특성은 작성 시 프로파일의 셀 이름에 해당하는 기본 비밀번호를 지정합니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 후 이 특성에서 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 사용자를 대신하여 인증이 작성된 경우 이 특성에서 비밀번호를 변경한 후 신뢰 저장소가 상주하는 위치에서 해당 신뢰 저장소를 삭제하십시오. 새 비밀번호를 사용하여 신뢰 저장소를 다시 작성하도록 클라이언트를 다시 시작합니다. 단, 키 저장소 이름이 DefaultTrustStore로 끝나고 fileBased 특성이 true로 설정된 경우에만 해당됩니다. 키 저장소 및 신뢰 저장소를 동시에 삭제하는 것이 좋습니다. 그러면 이 둘을 함께 다시 작성할 때 적절한 서명자 교환을 수행할 수 있습니다.
com.ibm.ssl.trustStoreType PKCS12 이 특성은 truststore 유형입니다. 기타 애플리케이션과의 상호운영성을 위해 기본 PKCS12 유형을 사용하십시오. 프로바이더 목록에서 JVM 기능이 지원하는 유효한 truststore 유형으로 이 특성을 지정할 수 있습니다.
com.ibm.ssl.trustStoreProvider IBMJCE 이 특성은 truststore 유형의 truststore 프로바이더입니다. 암호화 장치에서 이 프로바이더는 일반적으로 IBMJCE 또는 IBMPKCS11Impl입니다.
com.ibm.ssl.trustStoreFileBased true 이 특성은 truststore가 파일 기반임을 런타임에 표시합니다. 즉, 파일 시스템에 있음을 의미합니다.
com.ibm.ssl.trustStoreReadOnly false 이 특성은 런타임 동안 신뢰 저장소를 수정할 수 있는지 여부를 WebSphere Application Server의 런타임에 표시합니다.
[z/OS]
표 7. 신뢰 저장소 구성 특성. 다음 표에는 신뢰 저장소 구성 특성이 나열되어 있습니다.
특성 z/OS 보안 제품의 기본값 WebSphere Application Server 보안의 기본값 설명
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore 이 특성은 런타임에서 참조되는 신뢰 저장소 이름을 지정합니다. 기타 SSL 구성은 중복을 방지하기 위해 ssl.client.props 파일의 더 아래쪽에서 참조할 수 있습니다.
com.ibm.ssl.trustStore

safreyring:///your_keyring

이 값은 z/OS 프로파일 관리 도구의 SSL 사용자 정의 패널에서 설정됩니다.

${user.root}/etc/trust.p12 이 특성은 com.ibm.ssl.trustStoreType 특성에서 참조하는 신뢰 저장소 유형에 필요한 형식으로 신뢰 저장소 위치를 지정합니다. 일반적으로, 이 특성은 신뢰 저장소 파일 이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL 파일을 참조합니다.
com.ibm.ssl.trustStorePassword 비밀번호 WebAS 이 특성은 작성 시 프로파일의 셀 이름에 해당하는 기본 비밀번호를 지정합니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 후 이 특성에서 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 사용자를 대신하여 인증이 작성된 경우 이 특성에서 비밀번호를 변경한 후 신뢰 저장소가 상주하는 위치에서 해당 신뢰 저장소를 삭제하십시오. 새 비밀번호를 사용하여 신뢰 저장소를 다시 작성하도록 클라이언트를 다시 시작합니다. 단, 키 저장소 이름이 DefaultTrustStore로 끝나고 fileBased 특성이 true로 설정된 경우에만 해당됩니다. 키 저장소 및 신뢰 저장소를 동시에 삭제하는 것이 좋습니다. 그러면 이 둘을 함께 다시 작성할 때 적절한 서명자 교환을 수행할 수 있습니다.
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 이 특성은 truststore 유형입니다. 기타 애플리케이션과의 상호운영성을 위해 기본 PKCS12 유형을 사용하십시오. 제공자 목록에서 JVM 기능이 지원하는 유효한 신뢰 저장소 유형으로 이 특성을 지정할 수 있습니다. 암호화 디바이스에서 이 유형은 JCERACFKS, JCECCARACFKS 또는 JCECCAKS 중 하나입니다.
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE 이 특성은 truststore 유형의 truststore 프로바이더입니다. 암호화 장치에서 이 프로바이더는 일반적으로 IBMJCE 또는 IBMPKCS11Impl입니다.
com.ibm.ssl.trustStoreFileBased false true 이 특성은 truststore가 파일 기반임을 런타임에 표시합니다. 즉, 파일 시스템에 있음을 의미합니다.
com.ibm.ssl.trustStoreReadOnly true false 이 특성은 런타임 동안 신뢰 저장소를 수정할 수 있는지 여부를 WebSphere Application Server의 런타임에 표시합니다. 예를 들어, 관리 콘솔을 사용하거나 스크립트를 통해서는 읽기 전용 신뢰 저장소를 수정할 수 없습니다. WebSphere Application Server for z/OS에서 사용되는 SAF 키 링은 항상 읽기 전용입니다.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
파일 이름:rsec_sslclientpropsfile.html