MID 서버용 SSL 인증서 추가

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • SSL을 통해 소스에 연결하도록 MID 서버를 구성합니다.

    시작하기 전에

    필요한 역할: admin
    보안 단계에 대한 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    이 태스크 정보

    다음 두 가지 방법 중 하나로 MID 서버에 인증서를 추가하여 SSL/TLS를 통해 통신할 수 있습니다.
    • 다음 절차에 따라 번들 JRE 신뢰 저장소 파일에 직접 인증서를 추가합니다.
    • MID 서버에서 사용할 다른 신뢰 저장소 파일을 지정합니다. 자세한 내용은 MID 서버에 대한 외부 신뢰 저장소 지정 문서를 참조하십시오.
    두 방법을 모두 검토하여 요구 사항에 가장 적합한 방법을 평가합니다.
    MID 업그레이드 중에 번들 신뢰 저장소를 덮어씁니다. MID Server는 기존 신뢰 저장소에서 수신 신뢰 저장소로 인증서를 마이그레이션하려고 시도합니다. 마이그레이션하려면 인증서가 다음 기준을 충족해야 합니다.
    Quebec (Orlando 패치 10 및 Paris 패치 4로 백포트됨)
    • X.509 v3 인증서
    • 기본 제약 조건 확장이 아니오로 평가됩니다(또는 존재하지 않음).
    Rome(Paris 패치 7 및 Quebec 패치 2로 백포트됨)
    • X.509 인증서
    • 소스에 있는 모든 인증서(대상 신뢰 저장소는 아님)

    기준을 충족하지 않는 인증서는 덮어씁니다. 또는 MID 서버 업그레이드의 영향을 받지 않는 외부 신뢰 저장소 파일을 지정할 수 있습니다. 자세한 내용은 MID 서버에 대한 외부 신뢰 저장소 지정 문서를 참조하십시오.

    Rome 이상 제품군에서 업그레이드 중에 사용되는 마이그레이션 전략은 MID 서버 구성 매개 변수를 mid.truststore.migration.strategy통해 구성할 수 있습니다. 다음 값을 사용할 수 있습니다.
    • migrate_delta: 기본 전략(Rome에 대해 위에서 설명)
    • migrate_non_ca: 퀘벡 가족에 대해 위에서 설명한 것과 일치하는 전략
    • do_not_migrate: 덮어쓰기 시 원래 신뢰 저장소의 백업이 이루어지지만 업그레이드 중에 신뢰 저장소 마이그레이션을 비활성화합니다.

    이 마이그레이션 프로세스 중에 원래 및 업그레이드 신뢰 저장소의 백업이 만들어지고 에이전트의 작업 디렉터리( ...\agent\work\truststore_migration\<time epoch seconds>\)에 저장됩니다. 원래 신뢰 저장소의 이름이 cacerts_before 로 바뀌고 업그레이드 신뢰 저장소의 이름이 cacerts_from_upgrade로 바뀝니다.

    프로시저

    1. 명령 프롬프트를 열고 JRE keytool이 포함된 폴더로 이동합니다.
      설치한 JRE의 위치입니다. 예제 경로는 C:\Program Files\Java\jre1.8.0_161\bin일 수 있습니다.
    2. 다음 명령을 사용하여 MID 서버의 cacerts 키 저장소로 인증서를 임포트합니다.
      keytool -import -alias <certificate alias> -file "<path to certificate>" -keystore "<JRE 경로>\lib\security\cacerts"

      예를 들어 keytool -import -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"를 입력할 수 있습니다.

      주:
      keytool은 인증서 암호를 입력하라는 메시지를 표시합니다. CA에 대한 인증서인 경우 keytool은 인증 기관을 신뢰할지 여부도 묻습니다. 인스턴스에 인증서를 추가하려면 인스턴스에 인증서 업로드를 참조하세요.
    3. 옵션: keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts" 명령을 실행하여 현재 인증서 목록을 표시합니다.

    MID 서버에 대한 외부 신뢰 저장소 지정

    MID Server JVM은 MID 설치 디렉토리 외부의 신뢰 저장소를 활용할 수 있으므로 신뢰 저장소에 추가된 모든 인증서를 업그레이드 중에 덮어쓰지 않습니다. 이 신뢰 저장소 파일은 MID 설치 디렉토리 외부에 있어야 하며 MID 서버의 wrapper-override.conf 파일에 추가 매개변수를 추가하여 신뢰 저장소 위치를 지정할 수 있어야 합니다.

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. MID 서버 호스트에서 wrapper-override.conf 파일로 이동합니다.
    2. MID의 wrapper-override.conf 파일 끝에 사용자 지정 매개변수를 추가하여 외부 신뢰 저장소를 지정합니다.
      예를 들어 C:\external_truststore\cacerts에 외부 신뢰 저장소가 있는 Windows MID에서 파일의 끝은 다음과 유사하게 표시됩니다.
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      주:
      이 파일에 다른 추가 매개변수를 지정한 경우 숫자 식별자(이 경우 3과 4)가 다를 수 있습니다.