RSA 토큰 인증 사용
RSA(Rivest Shamir Adleman) 토큰은 SSL(Secure Sockets Layer)이 인증서를 사용하는 방식과 유사한 방식으로 인증서를 사용합니다. 그러나 SSL 및 RSA에 대해 설정되는 신뢰는 다르며 RSA 인증서는 SSL 인증서를 사용할 수 없고 그 반대도 마찬가지입니다. SSL 인증서는 순수 클라이언트가 사용할 수 있고 RSA 메커니즘에 대해 사용될 경우 클라이언트가 RSA 토큰을 서버에 보내도록 허용합니다. RSA 토큰 인증 메커니즘은 서버 대 서버 요청 전용이며 순수 클라이언트가 사용할 수 없습니다. 이를 방지하는 방법은 다른 클라이언트에게 분배할 수 없도록 RSA에 사용되는 인증서를 제어하는 것입니다. SSL 인증서만 필요로 하는 클라이언트와의 신뢰 설정을 방지하는 RSA의 다른 루트 인증서가 있습니다.
RSA 루트 인증서
각 프로파일에 대해서 rsatoken-root-key.p12 키 저장소에 저장되는 루트 인증서가 있습니다. 이 RSA 루트 인증서의 유일한 목적은 rsatoken-key.p12 키 저장소에 저장되는 RSA 개인 인증서에 서명하는 것입니다. RSA 루트 인증서의 기본 지속 시간은 15년입니다. RSA 루트 인증서의 서명자는 신뢰를 설정할 다른 프로세스와 공유됩니다.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12
Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
MD5: FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
RSA 개인 인증의 목적은 RSA 토큰의 정보를 서명하고 암호화하는 것입니다. RSA 개인 인증서의 기본 지속 시간은 1년입니다. 이 인증서는 연결을 통해 전송되는 데이터를 서명하고 암호화하는 데 사용되기 때문입니다. 인증서 새로 고치기는 SSL 인증서를 포함하여 시스템에 있는 다른 인증서에 대해서도 사용되는 인증서 만기 모니터에 의해 수행됩니다.
RSA 토큰 신뢰는 대상 프로세스의 rsatoken-trust.p12 가 토큰을 전송하는 클라이언트 프로세스의 루트 인증서 서명자를 포함하는 경우에 설정됩니다. RSA 토큰 내부에는 클라이언트의 공용 인증서가 있으며 이 인증서는 데이터를 복호화하는 데 사용되기 전에 대상에서 유효성 검증되어야 합니다. 클라이언트의 공용 인증서 유효성 검증은 유효성 검증 중에 rsatoken-trust.p12 를 인증서 소스로 사용하는 CertPath API를 사용하여 수행됩니다.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
MD5: AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
MD5: 66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************
WebSphere® Application Server 인증서 관리 도구를 사용하여 새 개인용 인증서를 작성한 다음 rsa-key.p12에 있는 RSA 개인 인증서 및 rsa-trust.p12에 있는 공개 키를 새로 작성된 개인 인증서로 대체할 수 있습니다. 관리 에이전트 또는 작업 관리자로 연합하기 전에 RSA 개인 인증서를 대체하는 경우 인증서 교환이 수행됩니다. 연합 후 인증서를 변경하는 경우 관리 에이전트 또는 작업 관리자의 rsa-trust.p12가 신뢰를 설정할 새 인증서의 서명자로 업데이트되는지 확인해야 합니다.