Sun Java System Web Server 7에 사용할 DAS 인증서 내보내기 및 가져오기 (Sun Java System Application Server 9.1 고가용성 관리 설명서)

Sun Java System Application Server 9.1 고가용성 관리 설명서

Sun Java System Web Server 7에 사용할 DAS 인증서 내보내기 및 가져오기

DAS 인증서를 내보내고 가져오는 방법으로 DAS를 Web Server의 신뢰할 수 있는 클라이언트로 만들 수 있습니다. DAS 인증서를 사용하는 클라이언트 인증은 DAS만 Web Server에 신뢰할 수 있는 클라이언트로서 연결하도록 합니다.

터미널 창을 열고 다음 명령을 사용하여 LD_LIBRARY_PATH를 설정합니다.
```
export LD_LIBRARY_PATH=/opt/SUNWappserver/lib
```

Application Server 9.1을 사용하는 경우 다음 명령을 실행하여 DAS 인증서를 내보냅니다. DAS 인증서는 클라이언트 인증서와 서버 인증서의 역할을 모두 담당합니다.
```
<appserver_install_dir>/lib/upgrade/pk12util -d <domain root>/config -o s1as.p12 -W
<s1as.pk12-file-password> -K <master password> -n s1as
```
- GlassFish v2를 사용하는 경우에는 키 도구라는 Java SE 5.0 보안 도구를 사용하여 별칭 "s1as"라는 이름으로 DAS 인증서를 내보냅니다. 이 때 -rfc 옵션을 선택하여 인증서를 인터넷 RFC 1421 표준에 정의된 인쇄 가능한 인코딩 형식으로 내보냅니다.
  
  명령줄에서 다음 명령을 사용하여 DAS 인증서를 내보낼 수 있습니다.
```
<JAVA_HOME>/bin/keytool -export -rfc -alias s1as -keystore
<GLASSFISH_HOME>/domains/<DOMAIN_NAME>/config/keystore.jks-file s1as.rfc
```
  여기서 <GLASSFISH_HOME>은 Application Server 설치 디렉토리를 나타내며 <DOMAIN_NAME>은 내보내는 인증서가 있는 도메인을 가리킵니다.
- 인증서 파일을 웹 서버 구성 디렉토리로 복사합니다.

Application Server 9.1을 사용하는 경우에는 DAS 인증서를 Web Server 인스턴스로 가져온 후 다음 명령을 사용하여 인증서의 트러스트 속성을 설정합니다.
```
<webserver_install_dir>/bin/pk12util -i <path_to_s1as.pk12-file> 
-d <webserver_install_dir>/admin-server/config-store/<default-config-name>/config 
-K <webserver security db password> -W <s1as.pk12-file-passwd>
```
```
<webserver_install_dir>/bin/certutil -M -n s1as -t "TCu" 
-d <webserver_install_dir>/admin-server/config-store/<default-config-name>/config
```
이 명령은 Application Server CA를 클라이언트 인증서와 서버 인증서에 서명하는 신뢰할 수 있는 CA로 만듭니다.
- GlassFish v2를 사용하는 경우에는 NSS 보안 도구 certutil을 사용하여 생성된 rfc 파일에서 DAS 인증서를 가져옵니다.
```
<webserver_install_dir>/bin/certutil -A -a -n s1as -t "TCu" -i s1as.rfc -d
<webserver_install_dir>/admin-server/config-store/<CONFIG_NAME>/config
```
  여기서 <webserver_install_dir>은 웹 서버 설치 디렉토리를 나타내며 <CONFIG_NAME>은 기본 웹 서버 인스턴스에 대해 생성된 구성 이름을 가리킵니다.
  
  다음 명령을 사용하여 이 인증서의 존재 여부를 확인할 수 있습니다. 이 명령은 기본 서버 인증서를 비롯한 다른 CA 인증서와 함께 s1as 인증서를 나열합니다. 전체 명령을 한 줄에 입력해야 합니다.
```
<webserver_install_dir>/bin/certutil -L -d
<webserver_install_dir>/admin-server/config-store/
<DEFAULT_CONFIG_NAME>/config
```
  Web Server 관리 콘솔을 사용하여 확인할 수도 있습니다. 인증서를 가져온 구성(이 경우 기본 구성)을 선택한 다음 인증서 탭을 선택합니다. 사용 가능한 모든 인증서를 보기 위해 인증 기관 하위 탭을 선택합니다.

GlassFish v2를 사용하는 경우 Web Server 7의 구성을 다음과 같이 변경합니다. Application Server 9.1을 사용하는 경우에는 다음 단계를 건너뛸 수 있습니다.
1. <WS_INSTALL_ROOT>/admin-server/config-store/<DEFAULT_CONFIG_NAME>/config/에 있는 obj.conf 파일에 다음 줄을 추가합니다. 이 줄은 뒤에 공백이 삽입되지 않도록 입력해야 합니다.
```
 <Object ppath="*lbconfigupdate*">
 PathCheck fn="get-client-cert" dorequest="1" require="1"
</Object>
<Object ppath="*lbgetmonitordata*">
 PathCheck fn="get-client-cert" dorequest="1" require="1"
</Object>
```

구성을 배포합니다. 이전 단계의 변경을 수행할 때 이 구성이 관리 콘솔에서 배포될 구성으로 표시됩니다.
1. Web Server 관리 콘솔에서 보류 중인 배포 아이콘을 선택합니다. 다음과 같이 CLI 유틸리티 wadm을 사용하여 이 구성을 배포할 수도 있습니다.
```
<webserver_install_dir>/bin/wadm deploy-config --user=<admin> <DEFAULT_CONFIG_NAME>
```

GlassFish DAS에서 이 설정을 테스트하여, 구성된 HTTP 로드 밸런서와 SSL을 통해 통신하는지 확인합니다. 자세한 내용은 설정 확인을 참조하십시오.