NIST(National Institute of Standards and Technology)
Special Publications 800-131 표준은 알고리즘을 강화하고 키 길이를
늘려 보안을 향상시킵니다. 이 표준은 또한 새 표준으로 이동하기 위한
상태 전이 기간을 제공합니다. SP800-131 표준 상태 전이 모드에 대한 WebSphere® Application
Server를 구성할 수 있습니다.
시작하기 전에
보안 표준 관련 추가 배경 정보는
"WebSphere Application
Server 보안 표준 구성" 주제를 읽으십시오.
이 태스크 정보
상태 전이 기간 동안
사용자는 표준에서 지원되는 설정과 지원되지 않는 설정이 혼합된 환경에서
실행할 수 있습니다. NIST SP800-131 표준에서는 사용자가 특정 시간 범위에 표준을 엄격하게 시행하도록 구성해야 합니다.
자세한 정보는
NIST(National
Institute of Standards and Technology) 웹 사이트를 참조하십시오.
상태 전이 옵션은 strict SP800-131로 이동할 때 매우
유용합니다. 서버는 혼합 이전 설정과 새 요구사항을 모두 허용할 수 있습니다.
예를 들면, 인증서를 변환할 수 있지만 계속해서 TLS 프로토콜를 사용할 수도 있습니다.
WebSphere Application
Server를 상태 전이 모드 또는 strict 모드에서
SP800-131을 실행하도록 구성할 수 있습니다. strict 모드 구성 방법에 대한
정보는 strict 모드 SP800-131 보안 기준 주제를 위한 WebSphere
Application Server 구성을 읽으십시오.
SP800-131 상태 전이 모드에서 실행하려면
서버도 특정 구성 설정 상태에 있어야 합니다. 필요에 따라 기타 strict 요구사항이
포함될 수 있습니다.
- com.ibm.jsse2.sp800-131 시스템 특성은 상태 전이 모드에서 실행할 JSSE에 대해 상태 전이로
설정되어야 합니다.
- SSL 구성 프로토콜은 TLS 설정 중 하나여야 합니다.
올바른 값에는 TLS, TLSv1, TLSv1.1 및 TLSv1.2가 포함됩니다.
프로시저
- 를 클릭하십시오.
- SP800-131 사용 단일 선택 단추를 선택하십시오.
- 상태 전이 단일 선택 단추를 선택하십시오.
- TLSv1.2가 필요하도록 SSL 구성 업데이트 상자를
선택적으로 선택하여 SSL 구성의 프로토콜을 TLSv1.2로 변경할 수 있습니다.
이 상자를 선택하지 않으면,
모든 SSL 구성이 TLS로 설정됩니다.
- 적용/저장을 클릭하십시오.
- 서버를 다시 시작하십시오. 동적 SSL 업데이트에 대해 서버가 사용 가능한 경우 ssl.client.props 파일을 편집하고
서버를 다시 시작하기 전에 서버에 구성된 동일한 프로토콜을 갖도록
com.ibm.ssl.protocol 특성을 변경하십시오.
이러한 변경사항이 적용되고 서버가 다시 시작되면, 서버의 모든 SSL 구성이
TLS 또는 TLSv1.2 프로토콜을 사용하도록 수정되고 com.ibm.jsse2.sp800-131 시스템 특성이 transition으로
설정됩니다. SSL 구성이 표준에 적합한 SSL 비밀번호를 사용합니다.
strict 모드 인증서로
이동하려면 먼저 구성의 프로토콜이 strict 요구사항을 충족시켜야 합니다.
다음을 수행하여
SSL 구성으로 직접 이동한 후 프로토콜을 TLSv1.2로 설정할 수 있습니다:
- 을 클릭하십시오.
- 콜렉션 패널에서 SSL 구성을 선택하십시오.
- 관련 항목에서 QoP(Quality of Protection)를
선택하십시오.
- 프로토콜이라고 레이블 지정된 풀다운 상자에서 TLSv1.2를 선택하십시오.
- 적용/저장을 클릭하십시오. 스크립트를 사용하여 SSL
프로토콜을 변경하기 위해 modifySSLConfig 태스크를 사용할 수도 있습니다.
인증서는 최소 크기가 2048(Elliptical
Curve 인증서인 경우 244)이어야 하고 SHA256, SHA384 또는 SHA512로 서명되어야 합니다. 콘솔에서 새 인증서를 작성하여
이전 인증서를 대체하거나 표준 요구사항을 충족하는 인증서를 가져올 수 있습니다.
인증서를 대체하기 위해 사용할 수 있는 다수의 옵션이 있습니다.
- 인증서 변환 패널을 사용하십시오. 이 패널에서는
지정된 표준을 충족하도록 모든 인증서를 변환합니다.
- 을 클릭하십시오.
참고: 변환할 수 없는 인증서로 레이블 지정된 상자에 인증서가 있으면
이 옵션을 사용하여 인증서를 변환할 수 없습니다.
- Strict 단일 선택 단추를 선택하고 풀다운 상자에서 새 인증서를
작성할 때 사용할 signatureAlgorithm을 선택하십시오.
- 새 인증서 키 크기라고 레이블 지정된 풀다운 상자에서
인증서 크기를 선택하십시오. EC(Elliptical Curve) 서명 알고리즘에는
특정 크기가 필요하므로 크기를 제공하지 않아도 됩니다.
- 적용/저장을 클릭하십시오.
convertCertForSecurityStandard
스크립트 태스크를 사용하여 지정된 표준을 충족하도록 모든 인증서를 변환할 수도 있습니다.
- 개인 인증서 패널을 사용하여 새 인증서를 작성한 후 다음을 수행하여
요구사항을 충족하지 않는 인증서를 대체하십시오.
- 를 클릭하십시오.
- 콜렉션 패널에서 키 저장소를 선택하십시오.
- 개인 인증서를 선택하십시오.
- 작성 단추의 풀다운 목록에서 자체 서명 인증서를 선택하십시오.
- 인증을 위한 별명을 입력하십시오. SHA256, SHA384 또는 SHA512로 서명된 인증서의
서명 알고리즘을 선택하십시오. 2048 이상의 크기를 선택하십시오. EC(Elliptical Curve) 서명 알고리즘에는
특정 크기가 필요하므로 크기를 지정하지 않아도 됩니다.
- 적용/저장을 클릭하십시오.
- 개인 인증서 콜렉션 패널로 되돌아가 표준을 충족하지 않는 인증서를
선택하십시오. 대체를 클릭하십시오.
- 바꾸기 패널에서 바꿀 대상으로 레이블 지정된 풀다운 목록에서
표준을 충족하는 작성된 인증서를 선택하십시오.
- 대체 이후 이전 인증서 삭제 및 이전 서명자 상자 삭제를 선택하십시오.
- 적용/저장을 클릭하십시오.
참고: 체인 인증서를 대체하려면
표준을 충족하는 루트 인증서를 작성해야 합니다. 이전 탐색 경로를 따라
defaultRootStore의 루트 인증서로 이동한 후 새 루트 인증서로 체인 인증서를
작성하십시오.
createSelfSigneCertificate 스크립트 태스크를 사용하여
자체 서명 인증서를 작성할 수도 있습니다. replaceCertificate 스크립트 태스크를
사용하여 이전 인증서를 새 인증서로 바꿀 수도 있습니다.
- 개인용 인증서 패널을 사용하여 인증서를 가져온 후
요구사항을 충족하지 않는 인증서를 대체하십시오.
일부 인증서는
CA(Certificate Authority)와 같은 외부 소스에서 작성된 것입니다.
- 를 클릭하십시오.
- 콜렉션 패널에서 키 저장소를 선택하십시오.
- 개인 인증서를 선택하십시오.
- 인증서 가져오기를 선택하십시오.
- 기존 키 저장소 파일에서 인증에 액세스할 필요가 있는 정보를 입력하십시오.
- 적용/저장을 클릭하십시오.
- 개인 인증서 콜렉션 패널로 되돌아가 표준을 충족하지 않는 인증서를
선택하십시오. 대체 단추를 클릭하십시오.
- 바꾸기 패널에서 바꿀 대상으로 레이블 지정된 풀다운 목록에서
표준을 충족하는 작성된 인증서를 선택하십시오. 대체 이후 이전 인증서 삭제 및 이전 서명자 상자 삭제를 선택하십시오.
- 적용/저장을 클릭하십시오.
importCertificate 스크립트 태스크를 사용하여
인증서를 가져올 수도 있습니다. replaceCertificate 스크립트 태스크를
사용하여 이전 인증서를 새 인증서로 바꿀 수도 있습니다.
- strict SP800-131을 사용하려면 를 클릭하십시오.
- SP800-131 사용을 클릭하십시오.
- Strict를 클릭하십시오.
- 적용/저장을 클릭하십시오.
- 변경사항이 적용되도록 서버를 다시 시작하고 노드를 수동으로 동기화하십시오. 노드를 수동으로 동기화하려면 배치 관리자의 프로토콜과 일치하는 각 노드에 대한
ssl.client.props 파일을 수정해야 합니다.
노드를 수동으로 동기화하려면 배치 관리자의 프로토콜과 일치하는 각 노드에 대한
ssl.client.props 파일을 편집하고
com.ibm.ssl.protocol 특성을 변경하십시오.
- srict 모드 또는 상태 전이 모드에서 실행 중인 보안 표준에 일치하도록
client ssl.client.props 파일을 구성하십시오.
ssl.client.props 파일을 다음과 같이 편집하십시오.
- com.ibm.security.useFIPS 특성을 수정하여 true로 설정하십시오.
- useFips 특성 바로 뒤에 com.ibm.websphere.security.FIPSLevel
특성을 추가하십시오. strict 모드가 사용 가능한 경우 특성을 SP800-131로 설정하고
상태 전이 모드가 사용 가능한 경우 특성을 상태 전이로 설정하십시오.
- strict 모드가 사용 가능한 경우 com.ibm.ssl.protocol 특성을 TLSv1.2로 변경하십시오.
상태 전이 모드가 사용 가능한 경우 특성이 서버 프로토콜 설정과 일치하는지 확인하십시오.
- 서버를 다시 시작하고 노드를 수동으로 동기화하십시오.
변경사항은 노드가 동기화될 때까지 영향을 미치지 않습니다.
클러스터 환경에서 실행 중인 경우 다음과 같습니다.
- 관리 콘솔이 종료되어 있는지 확인하십시오.
- 다음과 같이 서버에서 실행 중인 JVM이 없는지 확인하십시오.
- 모든 서버를 중지하십시오.
- 노드 에이전트를 중지하십시오.
- 배치 관리자를 중지하십시오.
- temp 폴더에 있는 모든 컨텐츠를 지우십시오.
<profile_root>/wstemp/
<profile_root>/temp/
<profile_root>/config/temp/
<profile_root>/logs/dmgr/
<profile_root>/servers/nodeagent/configuration/
<profile_root>/servers/<server_name>/configuration/
- osgiCfgInit를 실행하여 OSGI 구성을 초기화하십시오.
was_profile_root/profile/bin/osgiCfgInit.bat
Profile is your dmgr01/bin profile.
- clearClassCache를 실행하여 OSGI 클래스 캐시를 지우십시오.
was_profile_root/profile_name/bin/clearClassCache.bat
여기서 profile_name은
dmgr01/bin 프로파일입니다.
- 배치 관리자를 시작하십시오.
- 노드를 수동으로 동기화하십시오.
- 아직 실행되고 있지 않으면 wsadmin 도구를 시작하십시오.
- was_home/profiles/profile_name/bin에서
다음 syncNode 명령을 발행하십시오.
syncNodedmgr_host dmgr_port
여기서 profile_name은
dmgr01/bin 프로파일입니다.
보안이 사용 가능한 경우 이 명령을 발행할 때 -username 및 -password 매개변수를 포함하십시오.
syncNode
dmgr_host dmgr_port -username user_name -password
pass_word
- 노드 에이전트를 시작하십시오.
- 기타 모든 서버를 시작하십시오.
다음에 수행할 작업
관리 콘솔 또는 애플리케이션에 액세스하는 데 사용되는 브라우저는
서버와 호환 가능한 프로토콜을 사용해야 합니다. 서버가 상태 전이 모드에서
실행 중이면 브라우저를 서버와 일치하는 프로토콜을 사용하도록 설정해야 합니다.
SP800-131 표준을 사용하려면 SSL 연결이 TLSv1.2 프로토콜을 사용해야 하므로
브라우저는 TLSv1.2를 지원해야 하며 이 프로토콜을 사용하여 관리 콘솔에 액세스해야 합니다.