키 저장소와 신뢰 저장소를 수정하거나
바꾸고 구성에 대한 인증서 별명을 선택해서 TLS(Transport Layer Security)를
구성할 수 있습니다.
시작하기 전에
- 버전 1.0.0.4 이상으로 TLS를 구성할 수 있습니다.
- WebSphere® eXtreme
Scale Client 버전
7.1 수정팩 1 이상을 사용 중이어야 합니다.
- 어플라이언스 관리 권한이 지정되어 있어야 합니다.
- 어플라이언스 구성에 추가하려는 연관된 비밀번호가 있는
키 저장소 또는 신뢰 저장소가 있어야 합니다.
- 기존 신뢰 저장소를 수정하려는 경우 어플라이언스에서
신뢰 저장소를 다운로드할 수 있습니다.
- 클라이언트의 공용 인증서를 사용하여 신뢰 저장소를
업데이트해야 합니다. 어플라이언스는 포함하고 있는 클라이언트를 신뢰해야 합니다.
- 제공된 신뢰 저장소에는 키 저장소의 항목에 해당하는
공용 인증서가 포함되어야 합니다. 키 저장소의
인증 별명은 어플라이언스의 인증 별명에 대해 사용 가능한 구성 옵션으로
제공되는 신뢰 저장소에서 신뢰되어야 합니다.
- WebSphere Application
Server의 글로벌 보안 설정은
해당 서버가 WebSphere DataPower® XC10 Appliance에 연결을 시도하는 방법을 결정합니다.
- 글로벌 보안 설정을 사용하지 않을 때 TCP/IP를 통해
연결이 시도됩니다.
- 글로벌 보안 설정을 사용할 때 어플라이언스의 공용 인증을
WebSphere Application
Server 신뢰 저장소에 추가해야 합니다.
WebSphere DataPower XC10 Appliance에 TLS
필수가 구성된 경우 글로벌 보안을 사용해야 합니다.
글로벌 보안 구성에 대한 자세한 정보는 Global 보안 설정을 참조하십시오.
이 태스크 정보
TLS 설정은 사용자 인터페이스 및 데이터 눈금에 적용됩니다.
설정은 머신 그룹에서 모든 어플라이언스에 적용됩니다.
프로시저
- WebSphere Application
Server에 필수: 어플라이언스
공용 인증을 WebSphere Application
Server 기본 신뢰 저장소에 추가하십시오.
- 기본 어플라이언스 신뢰 저장소를 사용 중인 경우:
배치 관리자의
was_root/bin 디렉토리에서
addXC10PublicCert.py 스크립트를 실행하십시오. 다음 명령을 사용하십시오.
wsadmin -lang jython -f addXC10PublicCert.py
- 어플라이언스에 대해 사용자 정의 키를 사용하는 경우:
-certPath 명령행 옵션을 사용하여
배치 관리자의
was_root/bin 디렉토리에서
addXC10PublicCert.py 스크립트를
실행하십시오.
-certPath 명령행 옵션 값은
어플라이언스의 키 저장소에 구성된 별명에 해당하는 공용 인증의
디스크 위치입니다.
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- WebSphere Application
Server에 필수: 어플라이언스
신뢰 저장소 및 WebSphere Application
Server 공용
인증을 다운로드하고 키 도구 유틸리티를 실행해서 신뢰 저장소에
인증을 추가하십시오. 이 도구를 어플라이언스 신뢰 저장소를 업데이트해서
WebSphere Application
Server의 인증을 포함시킵니다.
- 기본 어플라이언스 신뢰 저장소를 사용 중인 경우
활성 신뢰 저장소를 다운로드하십시오. 를 클릭하십시오. 활성 신뢰 저장소
다운로드를 클릭하고 디스크에 파일을 저장한 위치를
기억하십시오(예: /downloads/trustStore.jks 디렉토리).
- WebSphere Application
Server 공용 인증을
추출하십시오.
- WebSphere Application
Server 관리 콘솔에서
을 클릭하십시오.
- 키 저장소 사용법에서 루트
인증 키 저장소를 선택하십시오.
- DmgrDefaultRootStore를 선택하십시오.
- 개인 인증을 선택하십시오.
- 루트 키 저장소의 인증 옆에 있는 선택란을 클릭하십시오.
추출할 인증의 완전한 파일 이름을
지정하십시오(예: /certificates/public.cer).
- 명령행 창에서 cd
/java_home/bin 명령을 실행하십시오.
- 키 도구 유틸리티를 실행하십시오.
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- 가져오려는 추가 인증이 있는 경우
단계를 반복해서 인증서를 추출하고 키 도구 유틸리티를 다시 실행하십시오.
- 어플라이언스에 키 저장소 및 신뢰 저장소 정보를 업로드하십시오. 어플라이언스 사용자 인터페이스에서 를 클릭하십시오. WebSphere Application
Server에 대한 단계를 완료한 경우, 업데이트된 /downloads/trustStore.jks 파일을 업로드하십시오.
키 저장소 또는 신뢰 저장소를 업로드한 후에는 연관된 비밀번호를 업데이트해야 합니다.
기본 신뢰 저장소를 사용 중인 경우에는 비밀번호는 xc10pass입니다.
- 머신 그룹에 대한 인증 별명을 선택하십시오.
- 전송 유형을 지정하십시오. 다음 전송 유형 설정 중
하나를 선택하십시오.
- TLS 지원: 데이터 그리드는
TCP/IP, SSL 또는 TLS와 통신합니다. 사용자 인터페이스는 HTTP
및 HTTPS로 액세스할 수 있습니다.
- TLS 필수: 데이터 그리드가 SSL 또는 TLS에서만
통신합니다. HTTPS에서만 사용자 인터페이스에
액세스할 수 있습니다.
데이터 그리드 TLS 사용 안함:
데이터 그리드가 비보안 연결로 통신합니다. 사용자 인터페이스는 HTTP
및 HTTPS로 액세스할 수 있습니다.
- 클라이언트가 통신을 사용하기 위해 신뢰 인증서를 전송해야 하는 경우에는
클라이언트 인증서 인증 사용을 선택하십시오.
- 변경사항을 구성에 저장하려면 TLS 설정 제출을 클릭하십시오.
결과
TLS 구성 변경사항을 완료하려면 머신 그룹을
다시 시작해야 합니다.
사용자 인터페이스의 제한된 부분은 머신 그룹이
다시 시작될 때 액세스 가능합니다. 사용자 인터페이스의 부분을 액세스할 수 없는 경우에는
적합한 시간을 기다린 후 요청을 다시 제출하십시오. 태스크 패널은 성공 상태를 표시하여
일부 TLS 변경사항의 완료를 자동으로 표시합니다.
어플라이언스에서 사용되는
인증 별명을 변경한 경우
브라우저를 다시 시작하고 로그아웃한 후 사용자 인터페이스로 다시 로그인하거나
브라우저 프롬프트에서 새 인증서를 신뢰해야 할 수도 있습니다.
클라이언트 인증이 사용 가능할 때
사용자 인터페이스가 사용 불가능한 경우에는 신뢰할 수 있는 클라이언트 인증서가 브라우저로
가져오기되었는지 확인하십시오. 신뢰할 수 있는 클라이언트 인증서가 브라우저로
가져오기되지 않은 경우에는 사용자 인터페이스에 액세스할 수 없습니다. 사용자 인터페이스에
로그온한 후에는 태스크는 TLS 구성의 성공을 표시합니다.
다음에 수행할 작업
우수 사례- 다른 어플라이언스에서 사용자 인터페이스에 액세스할 때 브라우저 경고를 피하려면
키 저장소에서 인증서의 공통 이름(CN)에 와일드카드를 사용해 보십시오.
각 어플라이언스는 인증서 별명에 의해 지정된 대로 TLS 구성에 동일한 인증서를 사용합니다.
예를 들어, 인증서를 mycompany 도메인에 있는
모든 호스트에서 유효하게 만들려면 myhost.mycompany.com 대신에
*.mycompany.com을 사용할 수도 있습니다.
- 개인용 인증 기관(CA)을 사용하여 TLS 구성에 선택한 인증서 별명과 연관된
인증서에 서명하고 싶을 수도 있습니다. 그런 다음
CA 인증서를 브라우저로 가져오고 프롬프트 없이 개인용 CA에 의해 서명된 인증서가 있는 모든
머신 그룹을 신뢰할 수 있습니다. 개인용 CA 사용은 일반적으로 개인용 인트라넷에서 액세스할 때에만 적합합니다.