Liberty 프로파일에 SSL 통신을 사용하려면 최소한의 SSL 구성 옵션을 설정해야 합니다.
이 경우 대부분의 SSL 옵션을 가정하므로 몇몇 키 저장소 구성 정보만 필요합니다.
이 태스크 정보
SSL 클라이언트 인증은 SSL 인증서를 사용하여 연결 핸드쉐이크 중에 발생합니다.
SSL 핸드쉐이크는 특정 연결 보호에 대해 교섭하기 위해 SSL 프로토콜을 통해 교환되는 일련의
메시지입니다. 핸드쉐이크 중에 보안 서버는 클라이언트가 인증에 필요한 인증서 또는 인증서
체인을 되돌려 보내도록 요청합니다. Liberty 프로파일에 SSL을 사용 가능하게 설정하려면
인증을 위한 키 저장소 정보 코드와 함께 ssl-1.0 Liberty 기능을
구성 루트 문서 파일 server.xml에 추가하십시오.
기본적으로 구성 루트 문서 파일의 경로 및 파일 이름은 path_to_liberty/wlp/usr/servers/server_name/server.xml입니다. path_to_liberty는
운영 체제에서 Liberty가 설치된 위치이며 server_name은 서버의 이름입니다. 그러나 경로를 변경할 수 있습니다. Liberty 프로파일 환경 사용자 정의을 확인하십시오. ![[2014년 5월 업데이트]](../deltaend.gif)
- server.xml 파일에서 ssl-1.0 Liberty 기능을 사용 가능하게 설정하십시오.
<featureManager>
<feature>ssl-1.0</feature>
</featureManager>
참고: 애플리케이션 보안이 필수이고 보안 정보가 보안 포트로 경로 재지정되는 경우
appSecurity-2.0 Liberty 기능을
server.xml 파일에 추가해야 합니다.
- 키 저장소 서비스 오브젝트 항목을 server.xml 파일에 추가하십시오.
keyStore 요소는 defaultKeyStore라고 하며 키 저장소
비밀번호를 포함합니다. 비밀번호는 일반 텍스트로 입력하거나 인코드할 수
있습니다. securityUtility
encode 옵션을 사용하여 비밀번호를 인코드할 수 있습니다.
<keyStore id="defaultKeyStore" password="yourPassword" />
이 구성은 SSL 구성을 작성하는 데 필요한 최소한입니다.
이 구성에서 서버는 SSL 초기화 중에 존재하지 않는 경우 키 저장소 및 인증서를 작성합니다. 제공된 비밀번호는
길이가 6자 이상이어야 합니다. 키 저장소는 서버의 home/resources/security 디렉토리에 있는
key.jks라는 JKS 키 저장소라고 가정합니다. 이 파일이 존재하지 않으면 서버가 작성합니다. 서버가 키 저장소 파일을 작성하는 경우,
서버는 그 안에 인증서도 작성합니다. 인증서는 유효 기간이 365일인 자체 서명 인증서이며, 인증서 subjectDN의 CN 값은 서버를 실행 중이고
서명 알고리즘 SHA1withRSA가 있는 시스템의 이름입니다.
참고: Liberty 서버가 작성하는 인증서는 프로덕션 사용을 위한 의도가 아닙니다. 이들은
개발자의 편의를 위해 작성됩니다. 프로덕션에서 사용되는 인증서는 신뢰 인증 기관이 발행하거나 서명한 적절하게 종속된
인증서여야 합니다. 기간이 더 길거나 사용자 정의된 subjectDN이 있는 자체 서명 인증서를 사용하려면
securityUtility createSSLCertificate 태스크를 사용하여 작성할 수 있습니다.
최소한의 구성에서 SAF 키 링의 예:
<keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring"
type="JCERACFKS" password="password" fileBased="false"
readOnly="true" />
RACF® 키 링은 Liberty 서버가 사용하도록 구성하기 전에
설정되어야 합니다. 서버는 인증서를 작성하지 않고 이들을 RACF에 추가합니다.
최소 SSL 구성의 단일 키 저장소 항목은 위치와 유형도 함께
포함하도록 확장할 수 있습니다.
<keyStore id="defaultKeyStore" location="myKeyStore.p12" password="yourPassword" type="PKCS12"/>
location 매개변수는 키 저장소 파일의 절대 경로일
수 있습니다. 이 매개변수가 절대 경로인 경우, 키 저장소 파일이 이미 작성된 것으로
가정합니다. 키 저장소 파일이 이미 작성되어 있으면 최소 SSL 구성에서 기타 유형의
키 저장소도 지정할 수 있습니다. 최소 SSL 구성을 사용할 경우 SSL 구성 기본값이 SSL
핸드쉐이크의 SSL 컨텍스트를 작성하는 데 사용됩니다. 구성 프로토콜은 기본적으로
SSL_TLS입니다. HIGH 암호, 128비트 이상의 암호 스위트를 사용할 수 있습니다.