서명자 인증서를 서버의 trust.p12 파일에
추가하여 해당 서버가 다른 서버와 안전하게 통신할 수 있도록 할 수 있습니다.
이는 ssl.client.props 파일을 변경한 후에 retrieveSigners 명령을 사용하여 서명자를 서버의
trust.p12 파일에 추가하여 수행될 수 있습니다.
시작하기 전에
서버 대 서버 신뢰가 설정되려면 먼저
클라이언트로서 통신하게 될 서버가 식별되어야 합니다. 클라이언트로서 통신하는 서버에서
ssl.client.props 파일을 변경하고
retrieveSigners 명령을 실행하게 됩니다.
두 서버 모두가 클라이언트로서 작동하게 되면 이러한 단계는 두 서버 모두에 대해 필요합니다.
이 태스크 정보
ssl.client.props 파일은 클라이언트에 SSL(Secure Socket Layer) 통신을 구성하기 위해 설정됩니다.
이는
retrieveSigners 명령의 기본 동작이
클라이언트의
profile_root/etc 디렉토리에 있는
trust.p12 파일 및
key.p12 파일에서 작동하게 해줍니다.
서명자 인증서를 서버의
trust.p12 파일에 추가하면 해당 서버가 또 다른 서버와 통신하는 클라이언트로서 역할을 할 수 있게 해줍니다.
retrieveSigners 명령을 사용하여 서명자를 서버의
trust.p12 파일에 추가하려면
ssl.client.props 파일을 약간 변경해야 합니다.
프로시저
- ssl.client.props 파일을 여십시오. ssl.client.props 파일은
profile_root/properties 디렉토리에 있습니다.
- com.ibm.ssl.alias=AnotherSSLSettings 특성으로 시작하는 ssl.client.props 섹션을 주석 해제하십시오.
- com.ibm.ssl.trustStoreName=AnotherTrustStore 특성으로 시작하는 ssl.client.props의 섹션을 주석 해제하십시오.
- 서명자가 추가되어야 하는 신뢰 저장소의 위치를 입력하십시오. 배치 관리자의 서버 신뢰 저장소를
사용 중인 경우에는 이는 profile_root/config/cells/cell
name/trust.p12에 있습니다. Application Server의 신뢰 저장소를 사용 중인 경우에는 이는 profile_root/config/cells/cell
name/nodes/node name/trust.p12에 있습니다.
- 이 섹션에서 나머지 특성을 사용 중인 신뢰 저장소와 연관된 값으로 업데이트하십시오. 특성의 설명은 ssl.client.props
클라이언트 구성 파일에서 찾을 수 있습니다.
- 옵션: com.ibm.ssl.trustStoreName=AnotherKeyStore 특성으로 시작하는 섹션을 주석 해제하고 업데이트하십시오. 대부분의 시나리오에서는 서명자가 신뢰 저장소에 추가되도록 요구합니다.
이 예에서 서명자를 신뢰 저장소에 추가하지만 3단계부터 5단계에서 신뢰 저장소에 수행한 것처럼 특성을 업데이트하여
키 저장소에 서명자를 추가할 수도 있습니다.
- ssl.client.props의 변경사항을 저장하십시오.
- retrieveSigners 명령을 실행하십시오. 자세한 정보는 retrieveSigners 명령에 대한 페이지를 참조하십시오.
retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879
출력 예제:CWPKI0308I: Adding signer alias "default_1" to local keystore
"AnotherTrustStore" with the following SHA digest:
F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06
결과
단계가 성공적으로 완료된 후에는 클라이언트의 역할을 하는 서버에는 다른 서버의 서명 인증서가 있습니다.
이를 통해 해당 서버는 다른 서버와의 SSL 연결을 설정할 수 있습니다.
예
예제는
ssl.client.props 파일의 수정된 섹션을 보여주고, 서버의
trust.p12 파일이 사용 중인 것으로 가정합니다.
특성이 신뢰 저장소에 제공되면 모든 기존 신뢰 저장소를 사용할 수 있습니다.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=
# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true
# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true
다음에 수행할 작업
서명자가 추가된 후에는
ssl.client.props 파일을 편집하여 서명자 인증서를 추가하는 데 사용되었던 섹션을 주석 처리하십시오.