SSL(Secure Sockets Layer) 노드, 애플리케이션 서버, 클러스터 격리
SSL(Secure Sockets Layer)을 사용하면 핸드쉐이크 중에 서버 연결을 시도하는 모든 클라이언트는 우선 서버 인증을 수행해야 합니다. 노드, 애플리케이션 서버, 클러스터 범위에서 SSL 구성을 사용하여 안전 포트를 통해 서로 통신이 허용되지 않아야 하는 서버 사이의 통신을 격리할 수 있습니다.
WebSphere® Application Server에서 제어되는 통신 격리를 시도하기 전에 배치 토폴로지 및 애플리케이션 환경을 잘 이해하고 있어야 합니다. 노드, 애플리케이션 서버 또는 클러스터를 격리하려면 SSL 구성에 연관된 신뢰 저장소에 포함된 서명자를 제어할 수 있어야 합니다. 클라이언트가 서버 서명자를 포함하지 않는 경우 서버에 연결을 설정할 수 없습니다. 기본적으로 WebSphere는 체인된 인증서를 사용하며 각 노드에는 고유의 루트 인증서 서명자가 있습니다. 해당 노드가 동일한 루트 서명자를 공유하기 때문에 해당 노드의 모든 서버는 동일한 루트 서명자를 공유해서 서로 연결할 수 있습니다. 그렇지만 자체 서명 인증서를 사용하는 경우 자체 서명 인증서를 관리해야 하는 경우에도 개인 인증서를 작성한 서버가 서명자를 제어합니다. 인증 기관(CA)에서 인증서를 확보하는 경우, 모든 서버가 동일한 서명자를 공유하는 경우 서로 연결 가능해야 하기 때문에 여러 개의 CA 서명자를 확보해야 합니다.
연결의 서버 측만 인증하는 것은 서버를 격리해야 하는 경우 적절한 보호가 아닙니다. 모든 클라이언트가 서버에 대해 서명자 인증서를 확보할 수 있고 이를 해당 신뢰 저장소에 추가할 수 있습니다. SSL 클라이언트 인증은 서버가 신뢰할 수 있는 클라이언트 인증서를 결정하여 해당 연결을 제어할 수 있도록 서버 사이에서도 사용되어야 합니다. 자세한 정보는 셀 레벨에서 SSL 클라이언트 인증을 적용하고 사용하는 특정 인바운드 엔드포인트에 대해 SSL(Secure Sockets Layer) 클라이언트 인증 사용을 참조하십시오.
격리를 위해서는 셀의 모든 또는 대부분의 엔드포인트에 대해 중앙 집중식으로 관리되는 SSL 구성을 사용해야 합니다. 중앙 집중식으로 관리되는 구성은 직업 또는 엔드포인트 구성 선택사항과는 다르게 범위를 지정할 수 있으며 이를 사용하여 SSL 구성, 키 저장소, 신뢰 저장소를 특정 범위에서 작성할 수도 있습니다. WebSphere Application Server 셀의 상속 계층 구조로 인해 SSL 구성에만 필요한 특성을 선택하는 경우 해당 특성만 선택한 범위 이하에 정의됩니다. 예를 들어, 노드 범위에서 구성하는 경우 구성은 애플리케이션 서버 및 노드 다음의 개별 엔드포인트 범위에만 적용됩니다. 자세한 정보는 인바운드 및 아웃바운드 범위와 중앙 집중식으로 SSL(Secure Sockets Layer) 구성 연관, 엔드포인트 구성에서 직접 SSL 구성 별명 선택, 아웃바운드 프로토콜 및 원격 보안 엔드포인트와 동적으로 SSL(Secure Sockets Layer) 구성 연관을 참조하십시오.
비밀번호 키를 포함하는 키 저장소를 구성하는 경우 상위 범위가 아니라 SSL 구성을 정의한 동일한 범위에서 작업해야 합니다. 예를 들어, 호스트 이름이 식별 이름(DN)의 파트인 인증서를 포함하는 키 저장소를 작성하는 경우 해당 키 저장소를 구성 저장소의 노드 디렉토리에 저장하십시오. Application Server에 대한 인증을 작성하기로 결정한 경우에는 Application Server 디렉토리의 Application Server에 이 키 스토어를 저장하십시오.
서버에서 신뢰 의사결정을 제어하는 신뢰 저장소를 구성하는 경우 애플리케이션 서버에서 격리하려는 양을 고려해야 합니다. 노드 에이전트 또는 배치 관리자에서 애플리케이션 서버를 격리할 수는 없습니다. 그렇지만 동일한 개인 인증서로 SOAP 커넥터 엔드포인트를 구성하거나 신뢰를 공유하도록 구성할 수 있습니다. 이름 지정 지속성은 배치 관리자를 통해 전달되는 경우 IIOP 연결이 필요합니다. 애플리케이션 서버는 서버 시작 시에 항상 노드 에이전트에 연결되기 때문에 IIOP 프로토콜을 사용하려면 애플리케이션 서버와 노드 에이전트 사이에 WebSphere Application Server가 신뢰를 설정해야 합니다.
노드 SSL 격리 설정
기본적으로 WebSphere Application Server 설치는 노드를 쉽게 격리할 수 있도록 각 노드에 대해 한 개의 체인된 인증서를 사용합니다. 구성 저장소의 셀 디렉토리에 있는 공통 신뢰 저장소는 셀에 연합되는 각 노드에 대한 모든 서명자를 포함합니다. 연합 후에 각 셀 프로세스는 모든 SSL 구성이 공통 신뢰 저장소를 참조하기 때문에 다른 모든 셀 프로세스를 신뢰합니다.
- 배치 관리자는 모든 프로세스에 대한 연결을 시작해야 합니다.
- 노드 에이전트는 배치 관리자 및 해당 자체 애플리케이션 서버에 대한 연결을 시작해야 합니다.
- 애플리케이션 서버는 동일한 노드의 애플리케이션 서버, 해당 자체 노드 에이전트, 배치 관리자에 대한 연결을 시작해야 합니다.

SSL 구성을 키 저장소 및 신뢰 저장소와 연관시키는 경우 셀 범위의 신뢰 저장소와의 링크를 중단합니다. 노드를 완벽하게 격리하기 위해 셀의 각 노드에 대해 이 프로세스를 반복하십시오. WebSphere Application Server SSL 구성은 셀 범위를 대체하고 대신 노드 범위를 사용하여 이 범위의 각 프로세스가 이 범위에서 선택한 SSL 구성 및 인증서 별명을 사용하도록 합니다. nodeA 서명자가 공통 신뢰 저장소에 있고 셀 서명자가 nodeA 신뢰 저장소에 있도록 하여 적절한 관리 신뢰를 설정합니다. 동일한 논리가 노드 B에도 적용됩니다. 자세한 정보는 인바운드 및 아웃바운드 범위와 중앙 집중식으로 SSL(Secure Sockets Layer) 구성 연관을 참조하십시오.
애플리케이션 서버 SSL 격리 설정
- 애플리케이션 서버 프로세스는 노드 에이전트 및 배치 관리자와 통신해야 할 수도 있습니다.
- 애플리케이션 서버 프로세스를 서로 격리하면 수평 전파에 대해 싱글 사인온이 사용되지 않을 수도 있습니다.

동적 구성은 노드 A의 server1이 IIOP를 통해 노드 B의 server1과 통신하도록 합니다. 동적 아웃바운드 규칙은 IIOP,nodeBhostname,*입니다. 자세한 정보는 아웃바운드 프로토콜 및 원격 보안 엔드포인트와 동적으로 SSL(Secure Sockets Layer) 구성 연관을 참조하십시오.
클러스터 SSL 격리 설정
노드에서 중앙 집중식으로 애플리케이션 서버를 범위 지정하거나 서버에서 동적으로 클러스터 SSL 격리를 설정하는 대신 노드에서 애플리케이션 서버를 클러스터로 구성할 수 있습니다. 클러스터된 서버가 서로 통신할 수 있는 동안 클러스터 밖의 애플리케이션 서버는 클러스터와 통신할 수 없기 때문에 클러스터된 서버가 격리됩니다. 예를 들어, 클러스터된 서버에서 신뢰의 기본 레벨은 유지하면서 애플리케이션을 다른 부서에서 격리해야 할 수 있습니다. 서버에 대해 이전에 설명한 대로 동적 아웃바운드 SSL 구성 메소드를 사용하여 필요에 따라 쉽게 격리된 클러스터를 확장할 수 있습니다.

IIOP,nodeAhostname,9403|IIOP,nodeAhostname,9404|IIOP,nodeBhostname,9403|IIOP,nodeBhostname,9404
cluster2 서명자가 포함된
새 trust.p12 파일이 포함된 cluster1 범위에서 다른 SSL 구성을 작성해야 합니다. 따라서
아웃바운드 IIOP 요청은 nodeAhostname 포트 9403 및 9404 또는 nodeBhostname 포트 9403 및 9404로
이동합니다. cluster2에서 이 두 애플리케이션 서버 프로세스에서의 IIOP SSL 포트 번호가
포트를 식별합니다. - cluster1의 trust.p12는 자체(cluster1 서명자), 두 노드 에이전트 사이(nodeAsigner 및 nodeBsigner), 배치 관리자(셀 서명자)와의 통신을 허용하는 서명자를 포함합니다.
- cluster2의 trust.p12는 자체(cluster2 서명자), 두 노드 에이전트 사이(nodeAsigner 및 nodeBsigner), 배치 관리자(셀 서명자)와의 통신을 허용하는 서명자를 포함합니다.
- 노드 에이전트 A와 노드 에이전트 B는 서로, 배치 관리자 또는 두 클러스터와 통신할 수 있습니다.
SSL 퍼스펙티브의 격리 메소드에 대한 개요가 표시되더라도 SSL 이외의 포트는 닫히고 애플리케이션이 배치 디스크립터에서 기밀성 제한조건을 요구하도록 해야 합니다. 예를 들어, SSL을 요구하고 서버 포트 구성에서 안전하지 않은 채널 포트는 사용되지 않도록 CSIv2 인바운드 전송 패널을 설정할 수 있습니다.
또한, SSL에 대해 SSL 클라이언트 인증을 사용하여 연결의 양 측에서 격리 요구사항을 적용해야 합니다. 상호 SSL 클라이언트 인증이 없는 경우 클라이언트는 서버에 대한 서명자를 프로그래밍 방식으로 쉽게 확보하여 격리 목적을 무시할 수 있습니다. SSL 클라이언트 인증을 사용하여 서버는 연결이 성공하려면 클라이언트의 서명자가 필요합니다. HTTP/S 프로토콜의 경우 클라이언트는 일반적으로 브라우저, 웹 서비스 또는 URL 연결입니다. IIOP/S 프로토콜의 경우 클라이언트는 일반적으로 다른 애플리케이션 서버 또는 Java™ 클라이언트입니다. WebSphere Application Server는 SSL 클라이언트 인증 인에이블먼트가 가능한지 판별하려면 클라이언트를 알아야 합니다. 클라이언트가 서버 인증을 위한 인증서 확보에 실패할 수도 있기 때문에 공개 프로토콜을 통해 사용 가능한 모든 애플리케이션은 SSL 클라이언트 인증을 사용하면 안됩니다.