test

Sun Java System Web Server 7.0 관리자 설명서

6장 인증서 및 키

이 장에서는 인증서 및 키 인증을 사용하여 Sun Java System Web Server의 보안을 강화하는 방법에 대해 설명합니다. 여기서는 다양한 보안 기능을 활성화하여 데이터를 보호하고 침입자의 액세스를 방지하며 원하는 사용자의 액세스만 허용하는 방법에 대해 설명합니다.

이 장을 읽기 전에 공용 키 암호화에 대한 기본 개념을 알고 있어야 합니다. 이 개념에는 암호화 및 복호화, 공용 및 개인 키, 디지털 인증서 및 암호화 프로토콜 등이 포함됩니다.

인증용 인증서 사용

인증은 신분을 확인하는 과정입니다. 네트워크 상호 작용이라는 맥락에서 인증은 한 쪽이 다른 쪽의 신분을 명확히 확인하는 것입니다. 인증서는 인증을 지원하는 방법 중 한 가지입니다.

인증서는 개인, 회사 또는 기타 엔티티의 이름을 지정하는 디지털 데이터로 구성되며 인증서에 포함된 공용 키는 해당 엔티티에 속한다는 것을 인증합니다. 클라이언트와 서버 모두 인증서를 가질 수 있습니다.

인증서는 인증 기관 또는 CA에서 발행하고 디지털로 서명됩니다. CA는 인터넷에서 인증서를 판매하는 회사일 수도 있고 회사의 인트라넷 또는 익스트라넷용으로 인증서를 발행하는 부서일 수도 있습니다. 다른 사람의 신분을 확인하는 데 충분히 신뢰할 수 있는 CA를 선택합니다.

인증서에 의해 확인되는 공용 키와 엔티티의 이름 외에도 인증서에는 만기일, 인증서를 발행한 CA 이름 및 발행 CA의 "디지털 서명"이 포함됩니다.

주 –

암호화를 활성화하려면 서버 인증서가 설치되어 있어야 합니다.

서버 인증

서버 인증은 클라이언트가 서버의 신분을 확인하는 것을 말합니다. 즉, 특정 네트워크 주소에서 서버에 대한 책임이 있는 조직의 신분을 확인하는 것입니다.

클라이언트 인증

클라이언트 인증은 서버에서 클라이언트의 신분을 확인하는 것을 말합니다. 즉, 클라이언트 소프트웨어를 사용하는 개인의 신분을 확인하는 것입니다. 개인이 여러 개의 신분증을 가질 수 있는 것처럼 클라이언트에는 여러 개의 인증서가 있을 수 있습니다.

인증서 키 유형

RSA 키 외에도, Sun Java System Web Server 7.0에서는 ECC(Elliptic Curve Cryptography)를 지원합니다.

ECC는 새롭게 각광 받고 있는 공용 키 암호화 시스템으로, RSA와 같은 기존의 암호화 시스템에 비해 크기가 작은 키로도 동등한 수준의 보안을 제공하기 때문에 계산 속도가 빠르고 전력 소모가 적을 뿐 아니라 메모리와 대역폭도 절약됩니다. ECC(Elliptic Curve Cryptography)는 최근에 미국 정부의 승인을 받았습니다.

이제 인증서 요청을 생성할 것인지 아니면 RSA 키 또는 ECC 키를 사용하여 자체 서명된 인증서를 생성할 것인지 선택할 수 있습니다.

RSA 키의 경우 다양한 키 크기가 제공됩니다. 키 크기가 커지면 암호화 성능이 좋아집니다. 기본 키 크기는 1024입니다. ECC 키에서는 키 쌍을 생성할 곡선을 선택해야 합니다. 다양한 조직(ANSI X9.62, NIST, SECG)에서 수많은 곡선을 명명하였으며 Sun Java System Web Server 7.0에서는 현재 지정된 모든 곡선을 지원합니다.

자체 서명된 인증서를 사용하는 대신 CA에 인증서를 요청하려는 경우에는 먼저 원하는 CA에 연락하여 ECC 사용에 관한 최신 정보를 받으십시오. 사용자 사례에 적합한 특정 ECC 곡선이 있는지 문의하면 됩니다. CA에서 곡선 선택에 관한 안내를 제공하지 않고 조직 내부 정책에서도 정보를 얻을 수 없는 경우에는 다음 사항을 고려하십시오. ECC는 발전 중인 기술이기 때문에 특정 사례에 대해 권장되는 곡선이 이 문서를 작성한 이후로 달라졌을 수도 있습니다.

다음은 일부 지원되는 ECC 곡선의 목록입니다.

prime256v1 

secp256r1 

nistp256 

secp256k1 

secp384r1 

nistp384 

secp521r1 

nistp521 

sect163k1 

nistk163 

sect163r1 

sect163r2 

nistb163 

sect193r1 

sect193r2 

sect233k1 

nistk233k1 

nistk233 

sect233r1 

nistb233 

sect239k1 

sect283k1 

nistk283 

sect283r1 

nistb283 

sect409k1 

nistk409 

sect571k1 

nistk571 

sect571r1 

nistb571 

secp160k1 

secp160r1 

secp160r2 

secp192k1 

secp192r1 

nistp192 

secp224k1 

secp224r1 

nistp224 

prime192v1 

자체 서명된 인증서 만들기

CA에서 서명한 인증서가 필요하지 않거나 CA가 인증서에 서명하는 동안 새 SSL 구현을 테스트하려는 경우에는 자체 서명된 인증서를 생성할 수 있습니다. 이러한 임시 인증서로 인해 클라이언트 브라우저에서 서명한 인증 기관을 알 수 없으며 신뢰할 수 없다는 내용의 오류가 발생합니다.

CLI를 통해 자체 서명된 인증서를 만들려면 다음 명령을 실행합니다.


wadm> create-selfsigned-cert --user=admin --port=8989 --password-file=admin.pwd 
--config=config1 --token=internal --org-unit=org1 --locality=XYZ --state=DEF 
--validity=10 --org=sun --country=ABC --server-name=serverhost --nickname=cert1

CLI 참조 create-selfsigned-cert(1)를 참조하십시오.

인증서 관리

인증서 요청

인증서는 개인, 회사 또는 기타 엔티티의 이름을 지정하는 디지털 데이터로 구성되며 인증서에 포함된 공용 키가 개인에 속한다는 것을 인증합니다. SSL 사용 서버에는 인증서가 있어야 하며 클라이언트는 선택적으로 인증서를 가질 수 있습니다.

인증서는 인증 기관 또는 CA에서 발행하고 디지털로 서명됩니다. CA는 인터넷에서 인증서를 판매하는 회사일 수도 있고 회사의 인트라넷 또는 익스트라넷용으로 인증서를 발행하는 부서일 수도 있습니다. 다른 사람의 신분을 확인하는 데 충분히 신뢰할 수 있는 CA를 선택합니다.

인증서를 요청하여 인증 기관(CA)에 제출할 수 있습니다. 회사에 내부 CA가 있는 경우에는 해당 CA로부터 인증서를 요청합니다. 상용 CA로부터 인증서를 구매할 계획인 경우에는 CA를 선택하고 필요한 정보 형식이 있는지 문의합니다. 서버용으로 자체 서명된 인증서를 만들 수도 있습니다. 자체 서명된 인증서는 인터넷 배포에는 적합하지 않지만 CA의 개입 없이도 테스트 서버를 설정할 수 있기 때문에 개발과 테스트에는 매우 유용합니다.

위에 언급한 것과 같이 인증서에는 엔티티(이 경우 웹 서버)의 공용 키가 포함됩니다. 공용 키는 특정 알고리즘을 기반으로 생성됩니다(알고리즘 유형도 인증서에 암호화). 다음 절에서는 Web Server에서 키에 지원하는 알고리즘 유형에 대한 배경을 설명합니다.

Procedure인증서를 요청하는 방법

  1. 서버 인증서 탭 > 요청 버튼을 누릅니다.

  2. 구성 선택

    구성 목록에서 인증서를 설치하려는 구성을 선택합니다.

  3. 토큰 선택

    키가 들어있는 토큰(암호화 장치)을 선택합니다. Sun Java System Web Server 7.0에서 유지 관리하는 로컬 키 데이터베이스에 키가 저장되어 있으면 내부를 선택합니다. 스마트 카드 또는 기타 외부 장치나 엔진에 키가 저장되어 있으면 드롭다운 목록 상자에서 외부 토큰의 이름을 선택합니다. 선택한 토큰의 비밀번호를 입력합니다.

  4. 세부 정보 입력

    요청 프로세스를 시작하기 전에 CA에서 필요한 정보를 확인하십시오. 상용 CA 또는 내부 CA 중 어느 곳에 서버 인증서를 요청할 것인가에 상관 없이 다음 정보를 제공해야 합니다.

    • 서버 이름은 DNS 조회에 사용되는 정규화된 호스트 이름이어야 합니다(예: www.sun.com). 이는 브라우저가 사이트에 연결할 때 사용하는 URL 내의 호스트 이름입니다. 이 두 이름이 일치하지 않으면 클라이언트에게 인증서 이름이 사이트 이름과 일치하지 않는다는 알림을 보내고 인증서의 진위 여부를 의심하게 됩니다.

      또한 내부 CA에 인증서를 요청하는 경우에는 이 필드에 와일드카드와 정규 표현식을 입력할 수 있습니다. 대부분의 공급업체는 공통 이름에 와일드카드나 정규 표현식이 있을 경우 인증서 요청을 승인하지 않습니다.

    • 조직은 회사, 교육 기관, 협력 관계 등의 공식적, 법적 이름을 지정합니다. 대부분의 CA는 이 정보에 대해 법적 문서(사업자 등록 등)로 확인할 것을 요구합니다.

    • 조직 단위는 회사 내의 조직에 대한 설명을 입력하는 선택 필드입니다. 또한 Inc., Corp. 등이 없는 비공식적인 회사 이름을 나타내는 데 사용할 수 있습니다.

    • 구/군/시는 선택 필드로, 조직의 소재 시/도 또는 국가를 나타냅니다.

    • 시/도는 선택 필드입니다.

    • 국가는 필수 필드로 국가 이름의 두 자리 약자를 지정합니다(ISO 형식). 미국의 국가 코드는 US입니다.

    이 모든 정보는 DN(고유 이름)이라고 하는 일련의 속성 값 쌍으로 조합되어 인증서의 개체를 구성합니다.

  5. 인증서 옵션 선택

    키 정보를 입력해야 합니다. 키 유형으로 RSA 또는 ECC를 선택할 수 있습니다. 키 유형이 RSA인 경우 키 크기는 1024, 2048 또는 4098이 될 수 있습니다. 키 유형이 ECC인 경우에는 곡선도 선택해야 합니다. 새로운 키 쌍을 생성하려면 시간이 걸립니다. 키 길이가 길수록 마법사에서 키를 생성하는 시간이 더 오래 걸립니다.

    주의 – 주의 –

    나중에 서명을 위해 요청을 제출할 CA에서 지원할 수 있는 키 유형을 선택해야 합니다.

  6. 인증서 유형 선택

    인증서의 인증서 서명 기관(CSA)을 선택합니다(자체 서명 또는 CA 서명). 자체 서명된 인증서를 선택하는 경우에는 인증서의 HTTP Listener를 연결할 수도 있습니다. 이 작업을 나중에 수행할 수도 있습니다.

  7. 요청 생성

    CA 서명이 있는 인증서의 경우 생성된 인증서 요청은 ASCII 형식으로 사용할 수 있습니다. 자체 서명된 인증서의 경우에는 인증서가 바로 설치됩니다. 자체 서명 유형인 경우에는 별명, 유효 기간(개월) 및 보안 요청을 처리할 HTTP Listener 이름의 값을 입력합니다.

  8. 결과 보기

    이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 요청 생성을 완료하려면 마침을 누릅니다.

    주 –

    CLI 사용

    CLI를 통해 인증서를 요청하려면 다음 명령을 실행합니다.


    wadm> create-cert-request --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 --server-name=servername.org 
--org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

    CLI 참조 create-cert-request(1)를 참조하십시오.

인증서 설치

CA에서 인증서를 받은 후 관리 콘솔을 사용하여 특정 구성에 대해 인증서를 설치할 수 있습니다.

Procedure인증서 설치

  1. 서버 인증서 탭 > 설치 버튼을 누릅니다.

  2. 구성 선택

    구성 목록에서 인증서를 설치하려는 구성을 선택합니다.

  3. 토큰 선택

    키가 들어있는 토큰(암호화 장치)을 선택합니다. Sun Java System Web Server 7.0에서 유지 관리하는 로컬 키 데이터베이스에 키가 저장되어 있으면 내부를 선택합니다. 스마트 카드 또는 기타 외부 장치나 엔진에 키가 저장되어 있으면 드롭다운 목록 상자에서 외부 토큰의 이름을 선택합니다. 선택한 토큰의 비밀번호를 입력합니다.

  4. 인증서 데이터 입력

    제공된 텍스트 영역에 인증서 텍스트를 붙여넣습니다. 텍스트를 복사하여 붙여넣는 경우, 반드시 "Begin Certificate" 및 "End Certificate" 헤더를 시작 및 끝 하이픈과 함께 포함해야 합니다. 찾아보기 버튼을 누르고 DER 파일을 수동으로 선택할 수도 있습니다.

  5. 인증서 세부 정보 제공

    인증서에 사용할 별칭을 제공합니다. 보안 요청을 처리할 HTTP Listener를 사용 가능한 목록에서 선택합니다.

  6. 결과 보기

    이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 설치 프로세스를 완료하려면 마침을 누릅니다.

    주 –

    CLI 사용

    CLI를 통해 인증서를 설치하려면 다음 명령을 실행합니다.


    wadm> install-cert --user=admin --port=8989  --password-file=admin.pwd 
--config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

    여기서 cert.req에는 인증서 데이터가 포함됩니다.

    CLI 참조 install-cert(1)를 참조하십시오.

인증서 갱신

다음 단계를 통해 기존 인증서를 갱신할 수 있습니다.

Procedure인증서 갱신

  1. 서버 인증서 탭 > 인증서 이름 > 갱신 버튼을 누릅니다.

  2. 토큰 정보 입력

    필요한 경우 토큰의 비밀번호를 입력합니다. 그렇지 않으면 다음을 눌러 계속합니다.

  3. 인증서 세부 정보 업데이트

    인증서 세부 정보를 검토하고 유효 기간을 개월 수로 입력합니다.

  4. 키 정보 업데이트

    키 유형으로 RSA 또는 ECC를 선택할 수 있습니다. 키 유형이 RSA인 경우 키 크기는 1024, 2048 또는 4098이 될 수 있습니다. 키 유형이 ECC인 경우에는 곡선도 선택해야 합니다. 새로운 키 쌍을 생성하려면 시간이 걸립니다.

  5. 요약 보기

    이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 갱신 프로세스를 완료하려면 마침을 누릅니다.

인증서 삭제

인증서를 삭제하려면 다음 작업을 수행하십시오.

Procedure인증서 삭제

  1. 서버 인증서 탭을 누릅니다.

  2. 인증서 선택

    인증서 목록에서 인증서 이름을 선택합니다.

  3. 인증서 삭제

    삭제 버튼을 눌러 선택한 인증서를 삭제합니다.

    주 –

    CLI 사용

    CLI를 통해 인증서를 삭제하려면 다음 명령을 실행합니다.


    wadm> delete-cert --user=admin --port=8989  --password-file=admin.pwd 
--token=internal --config=config1 cert1

    CLI 참조 delete-cert(1)를 참조하십시오.

Administration Server 인증서 갱신

Administration Server 인증서를 갱신하려면 renew-admin-certs CLI 명령을 실행합니다. 이 명령을 사용하면 별명이 Admin-CA-Cert, Admin-Server-CertAdmin-Client-Cert인 관리 인증서를 갱신할 수 있습니다. 이 명령은 현재 실행 중이며 갱신된 인증서로 액세스할 수 있는 노드도 업데이트합니다.

이 명령을 실행한 후 새 인증서를 적용하려면 Administration Server와 노드를 다시 시작하는 것이 좋습니다. 인증서를 갱신하는 동안 노드가 오프라인 상태였던 경우(실행 중이 아니거나 네트워크 문제로 인해 액세스할 수 없었던 경우)에는 노드를 다시 등록해야 합니다. Administration Server 인증서를 갱신하려면 다음 명령을 실행합니다.


wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

CLI 참조 renew-admin-certs(1)를 참조하십시오.

인증서 철회 목록(CRL) 관리

CRL(Certificate Revocation Llist)을 사용하면 클라이언트나 서버 사용자가 더 이상 신뢰하지 않는 인증서 및 키를 알릴 수 있습니다. 예를 들어, 사용자가 사무실을 변경하거나 인증서가 만료되기 전에 조직을 나가는 등 인증서의 데이터가 변경된 경우에는 인증서가 철회되고 해당 데이터가 CRL에 표시됩니다. CRL은 CA에서 생성되며 정기적으로 업데이트됩니다.

ProcedureCRL 설치

CA에서 CRL을 얻으려면 다음 단계를 수행합니다.

  1. CA에서 CRL을 파일로 받습니다.

  2. 관리 콘솔에서 구성 페이지로 이동합니다.

  3. 인증서 > 인증 기관 탭을 누릅니다.

  4. CRL 설치 버튼을 누릅니다.

  5. 해당 파일의 전체 경로 이름을 입력합니다.

  6. OK를 누릅니다.

    주 –

    데이터베이스에 이미 CRL이 있는 경우에는 인증서 철회 목록 대체 페이지가 표시됩니다.

  7. 변경 사항을 적용하려면 배포를 눌러야 할 수도 있습니다.

    주 –

    CLI 사용

    CLI를 통해 CRL을 설치하려면 다음 명령을 실행합니다.


    wadm> install-crl --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 data/install-crl/ServerSign.crl

    CLI 참조 install-crl(1)을 참조하십시오.

ProcedureCRL 삭제

  1. 관리 콘솔에서 구성 페이지로 이동합니다.

  2. 인증서 > 인증 기관 탭을 누릅니다.

  3. CRL 항목을 선택하고 삭제를 누릅니다.

  4. 변경 사항을 적용하려면 배포를 눌러야 할 수도 있습니다.

    주 –

    CLI 사용

    CLI를 통해 CRL을 삭제하려면 다음 명령을 실행합니다.


    wadm> delete-crl --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 issuer

    CLI 참조 delete-crl(1)을 참조하십시오.

내부 토큰에 비밀번호 설정

내부 PKCS11 토큰에 비밀번호를 설정하려면 다음 작업을 수행합니다.

Procedure토큰 비밀번호 설정

  1. 관리 콘솔에서 구성 페이지로 이동합니다.

  2. 인증서 > PKCS11 토큰 탭을 누릅니다.

  3. PKCS11 토큰 이름을 누릅니다(기본값은 내부).

  4. 토큰 상태 확인란을 선택합니다.

  5. 비밀번호 정보를 입력합니다.

  6. 인스턴스를 시작할 때 비밀번호 프롬프트를 표시하지 않으려면 인스턴스 시작 시 새 비밀번호 확인 메시지 표시 안 함 확인란을 선택합니다. OK를 누릅니다.

  7. 비밀번호는 구성에 저장됩니다. 비밀번호를 제거하려면 위의 단계를 수행하고 비밀번호 설정 해제 옵션을 선택합니다.

    주 –

    CLI 사용

    CLI를 통해 내부 PKCS11 토큰의 비밀번호를 설정하려면 다음 명령을 실행합니다.


    wadm> set-token-pin --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --config=config1 --token=internal

    CLI 참조 set-token-pin(1)을 참조하십시오.

서버의 SSL 구성

create-cert-request 명령을 사용하여 요청을 생성하고 요청을 CA로 보냅니다. 나중에 CA에서 인증서를 받으면 install-cert 명령을 사용해서 설치해야 합니다. 마이그레이션할 Java 키 저장소에 키와 인증서가 있는 경우에는 migrate-jks-keycert 명령을 사용합니다. 개발/테스트 서버인 경우에는 create-selfsigned-cert 명령을 사용하여 자체 서명된 인증서를 생성하는 것이 가장 쉬운 방법입니다. 


wadm> create-selfsigned-cert --server-name=hostname --nickname=MyServerCert 
--token=internal

추가 옵션과 예는 설명서 페이지를 참조하십시오.

인증서가 설치된 후에는 SSL을 사용할 몇 개의 포트에 수신기가 필요합니다.


wadm> create-http-listener --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --listener-port=18003 --config=config1 --server-name=config1.com 
--default-virtual-server-name=config1_vs_1 config1_ls_1

이제 수신기의 SSL을 활성화하고 수신기를 인증서 별명에 연결합니다.


wadm> set-ssl-prop --http-listener=http-listener-ssl enabled=true
wadm> set-ssl-prop --http-listener=http-listener-ssl server-cert-nickname=MyServerCert

이 설정을 수행하고 나면 구성을 배포하고 인스턴스를 시작합니다.


wadm> deploy-config config_name
wadm> start-instance --config config_name hostname

구성에 대해 SSL 암호 활성화

구성에 대해 SSL 암호를 활성화하려면 다음 명령을 실행합니다.


wadm> enable-ciphers --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --config=config1 --http-listener=http-listener-1 
--cipher-type=ssl2 SSL_RC4_128_WITH_MD5

CLI 참조 enable-ciphers(1)를 참조하십시오.

HTTP Listener의 보안 활성화

주 –

사용 가능한 인증서가 설치된 경우에만 HTTP Listener에 보안을 사용할 수 있습니다.

인증서가 있으면 인증서를 HTTP Listener에 연결하여 서버 보안을 강화할 수 있습니다.

암호화는 의도된 수신자 외에는 아무 의미가 없도록 정보를 변환하는 프로세스입니다. 복호화는 암호화된 정보를 변환하여 다시 의미 있는 정보가 되도록 하는 프로세스입니다. Sun Java System Web Server는 SSL 및 TLS 프로토콜을 지원합니다.

암호는 암호화 또는 복호화에 사용되는 암호화 알고리즘(수학적 함수)입니다. SSL 및 TLS 프로토콜에는 다양한 암호 제품군이 포함됩니다. 보안의 안전성과 강도는 암호마다 다릅니다. 일반적으로 암호에서 사용하는 비트 수가 많을 수록 데이터를 해독하는 것이 어렵습니다.

모든 양방향 암호화 프로세스에서 양쪽에 반드시 동일한 암호가 있어야 합니다. 다양한 암호를 사용할 수 있으므로 서버를 가장 공통적으로 사용되는 암호용으로 설정해야 합니다.

보안 연결에서 클라이언트와 서버는 양쪽이 통신에 사용할 수 있는 가장 강력한 암호화를 사용하도록 동의합니다. 암호는 SSL2, SSL3 및 TLS 프로토콜 중에서 선택할 수 있습니다.

주 –

SSL 버전 2.0 이후 보안과 성능이 향상되었으므로 SSL3을 사용할 수 있는 클라이언트인 경우 SSL2를 사용하면 안 됩니다. 클라이언트 인증서가 SSL 2 암호와 작동되도록 보장되지 않습니다.

암호화 프로세스 그 자체는 서버의 비밀 정보를 보안하는 데 충분하지 않습니다. 실제의 암호화 결과를 얻거나 이전에 암호화된 정보를 해독하려면 키와 함께 암호화 암호를 사용해야 합니다. 이를 위해서 암호화 프로세스에는 두 가지 키(공용 키와 개인 키)가 사용됩니다. 공용 키로 암호화된 정보는 오직 연결된 개인 키로만 해독할 수 있습니다. 공용 키는 인증서의 일부로 만들어지며 오직 연결된 개인 키만 보호됩니다.

Sun Java System Web Server는 암호화 통신에 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security) 프로토콜을 사용합니다. SSL과 TLS는 응용 프로그램과 상관 없는 고수준 프로토콜로 응용 프로그램에 투명하게 배치될 수 있습니다.

SSL과 TLS 프로토콜은 서버와 클라이언트가 서로를 인증하고, 인증서를 전송하며 세션 키를 설정하는 등의 작업에 사용되는 다양한 암호를 지원합니다. 클라이언트와 서버에서 지원하는 프로토콜, 암호화 정도에 대한 회사 정책, 암호화된 소프트웨어의 수출에 대한 정부 규제 등, 다양한 요인에 따라 지원되는 암호 제품군이 달라집니다. 다른 기능 중, SSL 및 TLS 핸드셰이크 프로토콜에 따라 서버와 클라이언트가 통신에 사용할 암호 제품군을 선택하는 방식이 결정됩니다.

구성 > HTTP Listener > 보안 탭을 눌러 HTTP Listener 보안 설정을 편집합니다. 다음 표에는 이 페이지에서 구성할 수 있는 등록 정보가 나열되어 있습니다.

표 6–1 HTTP Listener 보안 등록 정보

등록 정보

설명

이름

HTTP Listener의 이름입니다. 

보안

선택한 HTTP Listener의 보안을 활성화/비활성화합니다. 

인증서

사용 가능한 인증서 중에서 서버 인증서를 선택합니다. 이 작업을 수행하려면 RSA 또는 ECC 인증서가 설치되어 있어야 합니다. 

클라이언트 인증

클라이언트 인증서가 필수인지 또는 선택인지 여부를 지정합니다. 클라이언트 인증을 비활성화하려면 False 옵션을 선택합니다. 

인증 시간 초과

클라이언트 인증 핸드셰이크가 실패하게 될 시간 초과입니다. [0.001–3600]. 기본값은 60초입니다.

최대 인증 데이터

버퍼링할 인증 데이터의 최대 크기입니다. [0–2147.0483647.0]. 기본값은 104857.06입니다.

SSL 버전 2/버전 3

SSL 버전 2/ SSL 버전 3을 활성화/비활성화합니다. 

TLS

TLS를 활성화/비활성화합니다. 버전 롤백 검색은 기본적으로 활성화되어 있습니다. 이렇게 구성하면 서버가 중간개입자(man-in-the-middle) 버전 롤백 공격 시도를 감지할 수 있습니다. TLS 사양을 잘못 구현한 일부 클라이언트와의 상호 운용성을 위해 이 옵션을 사용 불가로 설정해야 할 수도 있습니다.

SSL3/SSL2/TLS 암호

웹 서버의 안전을 보호하려면 SSL을 활성화해야 합니다. SSL 2.0, SSL 3.0 및 TLS 암호화 프로토콜을 사용하고 다양한 암호화 제품군을 선택할 수 있습니다. SSL과 TLS는 Administration Server용 청취 소켓에서 사용하도록 설정할 수 있습니다. Server Manager용 청취 소켓에서 SSL 및 TLS를 사용하면 해당 청취 소켓과 연결된 모든 가상 서버용 보안 기본 설정이 설정됩니다.

기본 설정의 경우 가장 많이 사용되는 암호를 허용합니다. 특정 암호화 제품군을 사용할 수 없는 특별한 이유가 있는 경우가 아니라면 모두 허용해야 합니다.