예제: 기본 IbmPKIX 신뢰 관리자에서 인증서 폐기 확인 사용으로 설정

IbmPKIX 신뢰 관리자는 기본적으로 WebSphere® Application Server에서 사용으로 설정됩니다. IbmPKIX 신뢰 관리자는 인증서 폐기 확인이 발생하도록 허용합니다. 관리 콘솔을 사용하거나 ssl.client.props 파일을 수동으로 업데이트하여 인증서 폐기 확인을 사용으로 설정합니다.

기본 IbmPKIX 신뢰 관리자

IbmPKIX 신뢰 관리자는 기본적으로 사용 설정되지만 취소 확인은 기본적으로 사용 설정되지 않습니다. IbmPKIX에 대한 다음 신뢰 관리자 정의는 기본 조건을 반영합니다.
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass="" 
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey="" 
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>

기본 IbmPKIX 신뢰 관리자에서 인증서 폐기 확인 사용으로 설정

관리 콘솔을 사용하여 IbmPKIX 신뢰 관리자 사용자 정의 특성을 보고 변경할 수 있습니다.

수행할 작업은 다음과 같습니다.
  • 보안 > SSL 인증서 및 키 관리를 클릭하십시오.
  • 관련 항목에서 신뢰 관리자를 클릭하십시오.
  • IbmPKIX를 클릭하십시오.
  • 추가 특성 아래에서 사용자 정의 특성을 클릭하십시오.

IbmPKIX 사용자 정의 특성

com.ibm.jsse2.checkRevocation
이 특성은 JVM(Java™ Virtual Machine)에 대한 취소 확인을 구성합니다. 이 특성은 기본적으로 false로 설정됩니다. SSL 통신에 사용되는 기본 WebSphere 인증은 인증서 폐기 목록(CRL) 분배 위치 또는 온라인 인증서 상태 프로토콜(OCSP) 정보를 포함하지 않기 때문입니다.
참고: 이 특성은 JVM 특성이므로 이 값은 전체 애플리케이션 서버에 적용됩니다. 이 특성이 다른 범위로 신뢰 관리자에서 정의되는 경우 유효한 값은 가장 특정하게 범위 지정된 IbmPKIX 신뢰 관리자에서 사용됩니다. 예를 들어, 노드 레벨에서 정의되는 IbmPKIX 신뢰 관리자의 특성은 셀 레벨에서 정의되는 IbmPKIX 신뢰 관리자의 특성을 대체합니다. 이 특성은 IbmX509 신뢰 관리자에서는 무시됩니다.
default
false
com.ibm.security.enableCRLDP
이 특성은 PKIX 신뢰 관리자에 대해 CRL 분배 위치 확인을 구성합니다.
참고: CRL 분배 위치 취소 확인을 사용으로 설정하면 SSL(Secure Sockets Layer)에 사용되는 인증서는 유효한 분배 위치를 포함해야 하고 이 분배 위치는 액세스 가능해야 합니다. 그렇지 않으면 SSL 통신이 실패하고 서버가 올바르게 작동하지 않습니다.
default
false

내부 CRL 분배 위치를 포함하지 않는 인증서의 경우 다음 특성을 사용하여 CRL을 포함하는 원격 LDAP 서버에 대해 취소 상태를 확인할 수 있습니다.

com.ibm.security.ldap.certstore.host
이 특성은 신뢰 인증서 또는 인증서 폐기 목록을 포함하는 LDAP 서버 호스트 이름을 지정합니다. 대상 LDAP 서버 호스트는 인증서를 유효성 검증하고 신뢰 저장소에 필요한 인증서가 없는 경우에 CA 인증서 또는 인증서 폐기 목록을 얻기 위해 사용됩니다. LDAP 서버가 지정되지 않은 경우 로컬 신뢰 저장소에는 필요한 인증서가 있어야 합니다. LDAP 서버가 사용되는 경우 LDAP 서버는 신뢰 인증서 저장소가 아니기 때문에 루트 CA 인증서도 로컬 신뢰 저장소에 있어야 합니다.
참고: com.ibm.jsse2.checkRevocation 특성 외에 이 특성을 사용으로 설정하면 취소 확인이 사용으로 설정됩니다. 원격 LDAP 서버는 유효한 인증서 폐기 목록을 포함해야 하고 액세스 가능해야 합니다. 취소 상태를 판별할 수 없는 경우에 확인에 실패하고 SSL 통신도 실패하며 서버는 올바르게 작동하지 않게 됩니다.
default
없음
com.ibm.security.ldap.certstore.port
이 특성은 LDAP 서버 포트를 지정합니다. LDAP 서버 포트가 지정되지 않는 경우에 포트 값 389가 기본값으로 사용됩니다.
default
389
다음 JDK(Java Development Kit) 특성이 기본 IbmPKIX 신뢰 관리자에서 인증서 폐기 확인을 사용으로 설정하는 데 적용됩니다.
  • ocsp.enable
  • ocsp.responder
  • ocsp.responderCertSubjectName
  • ocsp.responderCertIssuerName
  • ocsp.responderCertSerialNumber
이러한 JDK 특성은 관리 콘솔을 사용하여 설정할 수 있습니다. 이러한 특성 및 허용 가능한 설정에 대한 설명은 Java(TM) 인증 경로 API 프로그래머 안내서 - SDK 6.0을 참조해야 합니다.
참고: 표준 인증서를 확인하는 역할 외에도 IbmPKIX 신뢰 관리자는 CRL 분배 위치를 포함하는 인증서도 확인합니다. 이 프로세스를 확장된 CRL 확인이라고 합니다. 기본적으로 CRL 분배 위치 취소 확인은 사용 안함으로 설정됩니다. CRL 분배 위치 취소 확인을 사용으로 설정하려면 관리 콘솔을 사용하여 다음 특성을 true로 설정해야 합니다.
  • com.ibm.security.enableCRLDP
  • com.ibm.jsse2.checkRevocation

OCSP 특성 및 CRL 특성은 인증서 폐기 확인에 영향을 미칩니다. 기본적으로 OCSP 특성이 처음으로 확인됩니다. OCSP로 인증서의 유효성을 검증하는 데 오류가 발생하면 유효성 검증은 대신 CRL 분배 위치를 사용합니다.

신뢰 관리자를 선택하면 그 연관된 특성이 자동으로 Java 시스템 특성으로 설정되어 IBMCertPath 및 IBMJSSE2 제공자가 CRL 확인이 사용 또는 사용 안함을 설정되는지 알 수 있습니다. 마찬가지로 이는 java.security.Security 특성인 OCSP 특성에도 적용됩니다.

클라이언트 고려사항

또한 ssl.client.props 파일에서 직접 특성을 설정하여 WebSphere 애플리케이션 및 관리 클라이언트에 대한 취소 확인을 사용으로 설정할 수 있습니다. 다음은 ssl.client.props 파일의 예제입니다.
#-------------------------------------------------------------------------
# Default Revocation Checking Properties
# These properties are used for certificate revocation checking with the IBM
# PKIX TrustManager.
#
# To enable CRL Distribution Points extension checking, use the system property
# com.ibm.security.enableCRLDP.
#
# OCSP checking is not enabled by default. It is enabled by setting the
# ocsp.enable property to "true".  Use of the other ocsp properties is optional.
#
# Note: Both OCSP and CRLDP checking is only effective if revocation checking
# has also been enabled by setting com.ibm.jsse2.checkRevocation to "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
참고: 이러한 특성을 적용하려면 com.ibm.ssl.trustManager=IbmPKIX를 설정하여 IbmPKIX 신뢰 관리자를 초기화해야 합니다.

또한 클라이언트에서 취소 확인 정상적으로 처리되도록 하려면 서명자 교환 프롬프트를 꺼야 합니다. 이를 수행하려면 ssl.client.props 파일에서 com.ibm.ssl.enableSignerExchangePrompt 특성의 값을 false로 변경하십시오.


주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7enablecert_revoc
파일 이름:rsec_7enablecert_revoc.html