SSL 커널 프록시로 웹 서버 통신 암호화

Oracle Solaris에서 실행되는 모든 웹 서버는 커널 레벨의 SSL 프로토콜, 즉 SSL 커널 프록시를 사용하도록 구성할 수 있습니다. 각 웹 서버의 예로는 Apache 2.2 웹 서버 및 Oracle iPlanet 웹 서버가 있습니다. SSL 프로토콜에서는 기밀성, 메시지 무결성 및 두 응용 프로그램 간의 끝점 인증을 제공합니다. 웹 서버에서 SSL 커널 프록시가 실행되면 통신 속도가 향상됩니다. 다음 그림은 기본 구성을 보여줍니다.

그림 3-1  커널로 암호화된 웹 서버 통신

SSL 커널 프록시는 SSL 프로토콜의 서버측을 구현합니다. 프록시는 여러 이점을 제공합니다.

• 프록시는 웹 서버 같은 서버 응용 프로그램의 SSL 성능 속도를 향상시키므로 사용자 레벨의 SSL 라이브러리를 사용하는 응용 프로그램보다 더 나은 성능을 제공합니다. 성능 향상은 응용 프로그램의 작업 부하에 따라 35% 이상이 될 수 있습니다.

• SSL 커널 프록시는 투명합니다. 지정된 IP 주소가 없으므로 웹 서버에 실제 클라이언트 IP 주소와 TCP 포트가 표시됩니다.

• SSL 커널 프록시 및 웹 서버는 함께 작동하도록 설계되었습니다.

  Figure 3–1은 SSL 커널 프록시를 사용하는 웹 서버가 있는 기본 시나리오를 보여줍니다. SSL 커널 프록시는 443 포트에 구성되어 있는 반면 웹 서버는 8443 포트에 구성되어 있으며, 이 포트에서 암호화 해제된 HTTP 통신을 수신합니다.

• SSL 커널 프록시는 요청된 암호화를 지원하지 않는 경우 사용자 레벨의 암호로 폴백하도록 구성할 수 있습니다.

  Figure 3–2는 더 복잡한 시나리오를 보여줍니다. 웹 서버 및 SSL 커널 프록시가 사용자 레벨의 웹 서버 SSL로 폴백하도록 구성되어 있습니다.

  SSL 커널 프록시는 443 포트에 구성되어 있습니다. 웹 서버는 두 개 포트에 구성되어 있습니다. 8443 포트는 암호화 해제된 HTTP 통신을 수신하며 443 포트는 폴백 포트입니다. 폴백 포트는 SSL 커널 프록시에서 지원되지 않는 암호 슈트에 대한 암호화된 SSL 트래픽을 수신합니다.

그림 3-2  사용자 레벨의 폴백 옵션이 있는 커널로 암호화된 웹 서버 통신

SSL 커널 프록시는 가장 일반적인 암호 슈트 외에도 SSL 3.0 및 TLS 1.0 프로토콜을 지원합니다. ksslcfg(1M) 매뉴얼 페이지에서 전체 목록을 참조하십시오. 지원되지 않는 모든 암호 슈트에 대한 사용자 레벨 SSL 서버를 폴백하도록 프록시를 구성할 수 있습니다.