TLS(Transport Layer Security) 구성

키 저장소와 신뢰 저장소를 수정하거나 바꾸고 구성에 대한 인증서 별명을 선택해서 TLS(Transport Layer Security)를 구성할 수 있습니다.

시작하기 전에

이 태스크 정보

TLS 설정은 사용자 인터페이스 및 데이터 눈금에 적용됩니다. 설정은 머신 그룹에서 모든 어플라이언스에 적용됩니다.

프로시저

  1. WebSphere Application Server에 필수: 어플라이언스 공용 인증을 WebSphere Application Server 기본 신뢰 저장소에 추가하십시오.
    • 기본 어플라이언스 신뢰 저장소를 사용 중인 경우:
      배치 관리자의 was_root/bin 디렉토리에서 addXC10PublicCert.py 스크립트를 실행하십시오. 다음 명령을 사용하십시오.
      wsadmin -lang jython -f addXC10PublicCert.py
    • 어플라이언스에 대해 사용자 정의 키를 사용하는 경우:
      -certPath 명령행 옵션을 사용하여 배치 관리자의 was_root/bin 디렉토리에서 addXC10PublicCert.py 스크립트를 실행하십시오. -certPath 명령행 옵션 값은 어플라이언스의 키 저장소에 구성된 별명에 해당하는 공용 인증의 디스크 위치입니다.
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. WebSphere Application Server에 필수: 어플라이언스 신뢰 저장소 및 WebSphere Application Server 공용 인증을 다운로드하고 키 도구 유틸리티를 실행해서 신뢰 저장소에 인증을 추가하십시오. 이 도구를 어플라이언스 신뢰 저장소를 업데이트해서 WebSphere Application Server의 인증을 포함시킵니다.
    1. 기본 어플라이언스 신뢰 저장소를 사용 중인 경우 활성 신뢰 저장소를 다운로드하십시오. 어플라이언스 > 설정 > TLS(Transport Layer Security)를 클릭하십시오. 활성 신뢰 저장소 다운로드를 클릭하고 디스크에 파일을 저장한 위치를 기억하십시오(예: /downloads/trustStore.jks 디렉토리).
    2. WebSphere Application Server 공용 인증을 추출하십시오.
      1. WebSphere Application Server 관리 콘솔에서 보안 > SSL 인증 및 키 관리 > 키 저장소 및 인증을 클릭하십시오.
      2. 키 저장소 사용법에서 루트 인증 키 저장소를 선택하십시오.
      3. DmgrDefaultRootStore를 선택하십시오.
      4. 개인 인증을 선택하십시오.
      5. 루트 키 저장소의 인증 옆에 있는 선택란을 클릭하십시오. 추출할 인증의 완전한 파일 이름을 지정하십시오(예: /certificates/public.cer).
      6. 명령행 창에서 cd /java_home/bin 명령을 실행하십시오.
      7. 키 도구 유틸리티를 실행하십시오.
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. 가져오려는 추가 인증이 있는 경우 단계를 반복해서 인증서를 추출하고 키 도구 유틸리티를 다시 실행하십시오.
  3. 어플라이언스에 키 저장소 및 신뢰 저장소 정보를 업로드하십시오. 어플라이언스 사용자 인터페이스에서 어플라이언스 > 설정 > TLS(Transport Layer Security)를 클릭하십시오. WebSphere Application Server에 대한 단계를 완료한 경우, 업데이트된 /downloads/trustStore.jks 파일을 업로드하십시오. 키 저장소 또는 신뢰 저장소를 업로드한 후에는 연관된 비밀번호를 업데이트해야 합니다. 기본 신뢰 저장소를 사용 중인 경우에는 비밀번호는 xc10pass입니다.
  4. 머신 그룹에 대한 인증 별명을 선택하십시오.
  5. 전송 유형을 지정하십시오. 다음 전송 유형 설정 중 하나를 선택하십시오.
    • TLS 지원: 데이터 그리드는 TCP/IP, SSL 또는 TLS와 통신합니다. 사용자 인터페이스는 HTTP 및 HTTPS로 액세스할 수 있습니다.
    • TLS 필수: 데이터 그리드가 SSL 또는 TLS에서만 통신합니다. HTTPS에서만 사용자 인터페이스에 액세스할 수 있습니다.
    • 데이터 그리드 TLS 사용 안함: 데이터 그리드가 비보안 연결로 통신합니다. 사용자 인터페이스는 HTTP 및 HTTPS로 액세스할 수 있습니다.
  6. 클라이언트가 통신을 사용하기 위해 신뢰 인증서를 전송해야 하는 경우에는 클라이언트 인증서 인증 사용을 선택하십시오.
  7. 변경사항을 구성에 저장하려면 TLS 설정 제출을 클릭하십시오.

결과

TLS 구성 변경사항을 완료하려면 머신 그룹을 다시 시작해야 합니다.

사용자 인터페이스의 제한된 부분은 머신 그룹이 다시 시작될 때 액세스 가능합니다. 사용자 인터페이스의 부분을 액세스할 수 없는 경우에는 적합한 시간을 기다린 후 요청을 다시 제출하십시오. 태스크 패널은 성공 상태를 표시하여 일부 TLS 변경사항의 완료를 자동으로 표시합니다.

어플라이언스에서 사용되는 인증 별명을 변경한 경우 브라우저를 다시 시작하고 로그아웃한 후 사용자 인터페이스로 다시 로그인하거나 브라우저 프롬프트에서 새 인증서를 신뢰해야 할 수도 있습니다.

클라이언트 인증이 사용 가능할 때 사용자 인터페이스가 사용 불가능한 경우에는 신뢰할 수 있는 클라이언트 인증서가 브라우저로 가져오기되었는지 확인하십시오. 신뢰할 수 있는 클라이언트 인증서가 브라우저로 가져오기되지 않은 경우에는 사용자 인터페이스에 액세스할 수 없습니다. 사용자 인터페이스에 로그온한 후에는 태스크는 TLS 구성의 성공을 표시합니다.

다음에 수행할 작업

우수 사례