MID 서버용 SSL 인증서 추가

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • SSL을 통해 소스에 연결하도록 MID 서버를 구성합니다.

    시작하기 전에

    필요한 역할: 관리자
    보안 단계의 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    이 태스크 정보

    다음 두 가지 방법 중 하나로 SSL/TLS를 통해 통신하도록 MID 서버에 인증서를 추가할 수 있습니다.
    • 다음 절차에 따라 번들로 제공된 JRE TrustStore 파일에 직접 인증서를 추가합니다.
    • MID 서버가 사용할 다른 신뢰 저장소 파일을 지정합니다. 자세한 내용은 MID 서버에 대한 외부 신뢰 저장소 지정 문서를 참조하십시오.
    두 방법을 모두 검토하여 요구 사항에 가장 적합한 방법을 평가합니다.
    MID 업그레이드 중에 번들 신뢰 저장소가 덮어쓰기됩니다. MID 서버는 기존 신뢰 저장소에서 수신 신뢰 저장소로 인증서를 마이그레이션하려고 시도합니다. 마이그레이션하려면 인증서가 다음 기준을 충족해야 합니다.
    Quebec(Orlando 패치 10 및 Paris 패치 4로 백포트됨)
    • X.509 v3 인증서
    • 기본 제약 조건 확장이 아니오로 평가됩니다(또는 없습니다).
    Rome(Paris 패치 7 및 Quebec 패치 2로 백포트됨)
    • X.509 인증서
    • 소스에는 있지만 대상 신뢰 저장소에는 없는 모든 인증서

    기준을 충족하지 않는 인증서는 덮어씁니다. 또는 MID 서버 업그레이드의 영향을 받지 않는 외부 신뢰 저장소 파일을 지정할 수 있습니다. 자세한 내용은 MID 서버에 대한 외부 신뢰 저장소 지정 문서를 참조하십시오.

    Rome 이상 버전의 제품군에서는 MID 서버 구성 매개변수를 통해 업그레이드 중에 활용되는 마이그레이션 전략을 mid.truststore.migration.strategy구성할 수 있습니다. 다음 값을 사용할 수 있습니다.
    • migrate_delta: 기본 전략(위에서 Rome에 대해 설명)
    • migrate_non_ca: 퀘벡 가족에 대해 위에서 설명한 것과 일치하는 전략
    • do_not_migrate: 덮어쓰기 시 원래 TrustStore의 백업이 수행되지만 업그레이드 중에 TrustStore 마이그레이션을 비활성화합니다.

    이 마이그레이션 프로세스 중에 원본 및 업그레이드 신뢰 저장소의 백업이 만들어지고 에이전트의 작업 디렉터리( ...\agent\work\truststore_migration\<time epoch seconds>\)에 저장됩니다. 원래 TrustStore의 이름이 cacerts_before 로 바뀌고 업그레이드 TrustStore의 이름이 cacerts_from_upgrade로 바뀝니다.

    프로시저

    1. 명령 프롬프트를 열고 JRE 키 도구가 포함된 폴더로 이동합니다.
      설치한 JRE의 위치입니다. 예시 경로는 다음과 같습니다. C:\Program Files\Java\jre1.8.0_161\bin
    2. 다음 명령을 사용하여 MID 서버의 cacerts 키 스토어로 인증서를 임포트합니다.
      keytool -import -alias <certificate alias> -file "<path to certificate>" -keystore "<path to the JRE>\lib\security\cacerts"

      예를 들어 다음과 같이 입력할 수 있습니다. keytool -import -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"

      주:
      keytool은 인증서 암호를 입력하라는 메시지를 표시합니다. 인증서가 CA용인 경우 keytool은 인증 기관을 신뢰할지 여부도 묻습니다. 인스턴스에 인증서를 추가하려면 인스턴스에 인증서 업로드 섹션을 참조하세요.
    3. 옵션: keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts" 명령을 실행하여 현재 인증서 목록을 표시합니다.

    MID 서버에 대한 외부 신뢰 저장소 지정

    MID 서버 JVM은 MID 설치 디렉터리 외부의 신뢰 저장소를 활용할 수 있으므로 업그레이드 중에 신뢰 저장소에 추가된 인증서를 덮어쓰지 않습니다. 이 신뢰 저장소 파일은 MID 설치 디렉터리 외부에 있어야 하며, MID 서버의 wrapper-override.conf 파일에 추가 매개변수를 추가하여 신뢰 저장소 위치를 지정할 수 있습니다.

    시작하기 전에

    필요한 역할: 관리자

    프로시저

    1. MID 서버 호스트에서 wrapper-override.conf 파일로 이동합니다.
    2. MID의 wrapper-override.conf 파일 끝에 사용자 지정 매개변수를 추가하여 외부 신뢰 저장소를 지정합니다.
      예를 들어 C:\external_truststore\cacerts에 외부 신뢰 저장소가 있는 Windows MID에서 파일의 끝은 다음과 유사하게 표시됩니다.
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      주:
      이 파일에서 다른 추가 매개변수를 지정한 경우 숫자 식별자(이 경우 3과 4)가 다를 수 있습니다.