9장 Calendar Server에서의 SSL 사용

9장
Calendar Server에서의 SSL 사용

Sun ONE Calendar Server 6.0은 달력 클라이언트 최종 사용자와 Calendar Server간의 데이터 암호화를 위해 SSL (Secure Sockets Layer) 프로토콜을 지원합니다. SSL을 지원하기 위해 Calendar Server는 Netscape Security Services (NSS)의 SSL 라이브러리를 사용하며, Sun ONE Messaging Server에서도 이 라이브러리를 사용합니다.

Calendar Server 로그인 및 비밀번호만 암호화하거나 전체 달력 세션을 암호화하도록 ics.conf 파일에서 Calendar Server를 구성할 수 있습니다.

이 장은 다음 내용으로 구성되어 있습니다.

Calendar Server에 대해 SSL 구성

SSL 인증서 데이터베이스 만들기

루트 인증 기관(CA)에 인증서 요청 및 가져오기

ics.conf 파일의 SSL 매개 변수 구성

SSL 문제 해결

Calendar Server에 대해 SSL 구성

Calendar Server SSL 구성은 독립적이며 Delegated Administrator가 필요하지 않습니다.

Calendar Server의 SSL을 구성하려면 다음 단계를 수행합니다.

SSL 인증서 데이터베이스 만들기

루트 인증 기관(CA)에 인증서 요청 및 가져오기

ics.conf 파일의 SSL 매개 변수 구성

SSL 인증서 데이터베이스 만들기

Calendar Server를 위해 SSL을 구현하려면 인증서 데이터베이스가 필요합니다. 인증서 데이터베이스는 인증 기관(CA) 및 Calendar Server용 인증서를 정의해야 합니다.

Mozilla 도구

이번 릴리스에는 다음 Mozilla 도구가 포함되어 있습니다.

인증서 데이터베이스를 만들고 관리하는 인증서 데이터베이스 도구(certutil). 자세한 내용은 다음 웹 사이트를 참조하십시오.

http://mozilla.org/projects/security/pki/nss/tools/certutil.html

사용 가능한 보안 모듈에 대한 정보를 표시하는 보안 모듈 데이터베이스 도구(modutil). 자세한 내용은 다음 웹 사이트를 참조하십시오.

http://mozilla.org/projects/security/pki/nss/tools/modutil.html

이 유틸리티는 다음 디렉토리에서 사용할 수 있습니다.

/opt/SUNWics5/cal/bin

라이브러리 경로 변수

Mozilla 도구를 사용하기 전에 LD_LIBRARY_PATH 변수를 올바르게 설정합니다. 예를 들면 다음과 같습니다.

setenv LD_LIBRARY_PATH /opt/SUNWics5/cal/lib

파일 및 디렉토리 예

이번 장의 예에서는 다음 파일과 디렉토리를 사용합니다.

alias는 인증서 데이터베이스가 있는 디렉토리입니다. 다음 디렉토리에 alias 디렉토리를 만드는 것이 좋습니다.

/var/opt/SUNWics5

또한 정기적으로 alias 디렉토리를 백업해야 합니다.

sslPasswordFile은 인증서 데이터베이스 비밀번호를 포함하는 텍스트 파일입니다. 이 파일은 Calendar Server가 아니라 certutil 유틸리티가 사용합니다. sslPasswordFile은 다음 디렉토리에 만드는 것이 좋습니다.

/etc/opt/SUNWics5/config

/etc/passwd는 난수 생성의 엔트로피를 제공합니다.

인증서 데이터베이스를 만드는 방법

수퍼유저(root)로 로그인합니다.

certutil의 인증서 데이터베이스 비밀번호를 /etc/opt/SUNWics5/config/sslPasswordFile에 지정합니다. 예를 들면 다음과 같습니다.

# echo "password"
> /etc/opt/SUNWics5/config/sslPasswordFile

여기서 password는 고유 비밀번호입니다.

인증서 데이터베이스 alias 디렉토리를 만듭니다. 예를 들면 다음과 같습니다.

# cd /var/opt/SUNWics5
# mkdir alias

bin 디렉토리로 이동하고 인증서 데이터베이스(cert7.db)와 키 데이터베이스(key3.db)를 만듭니다. 예를 들면 다음과 같습니다.

# cd /opt/SUNWics5/cal/bin
# ./certutil -N -d /var/opt/SUNWics5/alias
-f /etc/opt/SUNWics5/config/sslPasswordFile

자체 서명된 기본 루트 인증 기관 인증서를 생성합니다. 예를 들면 다음과 같습니다.

# ./certutil -S -n SampleRootCA -x -t "CTu,CTu,CTu"
-s "CN=My Sample Root CA, O=sesta.com" -m 25000
-o /var/opt/SUNWics5/alias/SampleRootCA.crt
-d /var/opt/SUNWics5/alias
-f /etc/opt/SUNWics5/config/sslPasswordFile -z
/etc/passwd

호스트를 위한 인증서를 생성합니다. 예를 들면 다음과 같습니다.

# ./certutil -S -n SampleSSLServerCert -c SampleRootCA -t "u,u,u"
-s "CN=hostname.sesta.com, O=sesta.com" -m 25001
-o /var/opt/SUNWics5/alias/SampleSSLServer.crt
-d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile
-z /etc/passwd

여기서 hostname.sesta.com은 서버 호스트 이름입니다.

인증서를 검증합니다. 예를 들면 다음과 같습니다.

# ./certutil -V -u V -n SampleRootCA -d /var/opt/SUNWics5/alias
# ./certutil -V -u V -n SampleSSLServerCert -d /var/opt/SUNWics5/alias

인증서를 나열합니다. 예를 들면 다음과 같습니다.

# ./certutil -L -d /var/opt/SUNWics5/alias
# ./certutil -L -n SampleSSLServerCert -d /var/opt/SUNWics5/alias

modutil을 통해 사용 가능한 보안 모듈을 나열합니다(secmod.db). 예를 들면 다음과 같습니다.

# ./modutil -list -dbdir /var/opt/SUNWics5/alias

alias 파일의 소유자를 icsuser 및 icsgroup(또는 Calendar Server를 실행할 사용자 및 그룹 아이디)으로 변경합니다. 예를 들면 다음과 같습니다.

# find /var/opt/SUNWics5/alias -exec chown icsuser {} \;
# find /var/opt/SUNWics5/alias -exec chgrp icsgroup {} \;

루트 인증 기관(CA)에 인증서 요청 및 가져오기

다음 단계에서는 인증서 요청을 생성하고 이를 PKI (Public Key Infrastructure) 웹 사이트에 제출하고 나서 해당 인증서를 가져옵니다.

루트 인증 기관에 인증서를 요청하고 가져오는 방법

수퍼유저(root)로 로그인합니다.

bin 디렉토리로 이동합니다.

# cd /opt/SUNWics5/cal/bin

certutil을 사용하여 인증 기관이나 PKI (Public Key Infrastructure) 웹 사이트를 기반으로 인증서 요청을 만듭니다. 예를 들면 다음과 같습니다.

# ./certutil -R -s "CN=hostname.sesta.com, OU=hostname / SSL Web Server, O=Sesta C=US" -p "408-555-1234" -o hostnameCert.req -g 1024
-d /var/opt/SUNWics5/alias
-f /etc/opt/SUNWics5/config/sslPasswordFile
-z /etc/passwd -a

여기서 hostname.sesta.com 은 호스트 이름입니다.

인증 기관이나 PKI (Public Key Infrastructure) 웹 사이트에 SSL 웹 서버에 대한 테스트 인증서를 요청합니다. hostnameCert.req 파일의 내용을 복사하여 인증서 요청에 붙입니다.

인증서가 서명되어 찾아갈 수 있게 되면 관리자에게 알립니다.

인증 기관 인증서 체인 및 SSL 서버 인증을 텍스트 파일로 복사합니다.

CA 인증서 체인을 인증서 데이터베이스로 가져와서 인증 체인을 설정합니다. 예를 들면 다음과 같습니다.

# ./certutil -A -n "GTE CyberTrust Root" -t "TCu,TCu,TCuw"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_1.txt
-f /etc/opt/SUNWics5/config/sslPasswordFile

# ./certutil -A -n "Sesta TEST Root CA" -t "TCu,TCu,TCuw"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_2.txt
-f /etc/opt/SUNWics5/config/sslPasswordFile

서명된 SSL 서버 인증서를 가져옵니다.

# ./certutil -A -n "hostname SSL Server Test Cert" -t "u,u,u"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/SSL_Server_Certificate.txt
-f /etc/opt/SUNWics5/config/sslPasswordFile

인증서 데이터베이스의 인증서를 나열합니다.

# ./certutil -L -d /var/opt/SUNWics5/alias

ics.conf 파일의 SSL Server 별명이 서명된 SSL 서버 인증서가 되게 구성합니다. 예: "hostname SSL Server Test Cert"

주 ics.conf 파일에 있는 service.http.calendarhostname 및 service.http.ssl.sourceurl 매개 변수의 호스트 이름이 SSL 인증서의 호스트 이름과 일치해야 합니다(시스템에 여러 개의 별명이 있는 경우). 예: calendar.sesta.com

ics.conf 파일의 SSL 매개 변수 구성

Calendar Server에 SSL을 구현하려면 ics.conf 파일에 특정 매개 변수를 설정해야 합니다. 이 절은 다음 내용으로 구성되어 있습니다.

SSL 구성 매개 변수

Calendar Server 로그인 또는 전체 달력 세션 암호화

SSL 구성 매개 변수

코드 예 9-1에서는 SSL 구성 매개 변수를 보여 줍니다. 그 중 ics.conf 파일에 없는 매개 변수가 있다면 해당 변수를 파일에 추가합니다. 이 매개 변수를 설정한 다음 새 값을 적용하려면 Calendar Server를 다시 시작합니다. 이 SSL 매개 변수에 대한 자세한 내용은 "SSL 구성"을 참조하십시오.

코드 예 9-1 Calendar Server의 SSL 구성 매개 변수

service.http.ssl.cachedir = "."
service.http.ssl.cachesize = "10000"
service.http.ssl.certdb.password = "password"
service.http.ssl.certdb.path = "/var/opt/SUNWics5/alias"
service.http.ssl.port.enable = "yes"
service.http.ssl.port = "443"
service.http.ssl.securelogin = "yes"
service.http.ssl.securesession = "yes"

! localhost를 해당 로컬 호스트 이름으로 설정합니다.

! 포트 번호는 사용 중인 SSL 포트로 설정합니다(기본값: 443).

service.http.ssl.sourceurl = "https://localhost:443"

service.http.ssl.ssl2.ciphers = ""
service.http.ssl.ssl2.sessiontimeout = "0"
service.http.ssl.ssl3.ciphers = "rsa_rc4_40_md5,rsa_rc2_40_md5,rsa_des_sha,rsa_rc4_128_md5,rsa_3des_sha"
service.http.ssl.ssl3.sessiontimeout = "0"
service.http.ssl.usessl = "yes"
encryption.rsa.nssslactivation = "on"
encryption.rsa.nssslpersonalityssl = "SampleSSLServerCert"
encryption.rsa.nsssltoken = "internal"
service.http.tmpdir = "/var/opt/SUNWics5/tmp"
service.http.uidir.path = "html"



주의	Calendar Server에서는 원격 관리를 사용할 수 없습니다. service.admin.port 매개 변수를 바꾸지 마십시오. Calendar Server에 의해 이미 필요한 값으로 설정되어 있습니다. 그렇지 않으면 csadmind 프로세스가 올바르게 실행되지 않을 수 있습니다.

Calendar Server 로그인 또는 전체 달력 세션 암호화

다음 매개 변수를 설정하여 Calendar Server가 Calendar Server 로그인과 비밀번호만 암호화하거나 전체 달력 세션을 암호화하도록 구성할 수 있습니다.

service.http.ssl.securelogin = "yes"는 로그인을 암호화합니다.

service.http.ssl.securesession = "yes"는 전체 세션을 암호화합니다.

SSL 문제 해결

우선 복구 불가능한 문제가 발생할 경우를 대비하여 정기적으로 인증서 데이터베이스를 백업합니다. SSL에 문제가 있을 경우 다음 내용을 확인하십시오.

cshttpd 프로세스 점검

인증서 검증

Calendar Server 로그 파일 확인

SSL 포트에 연결

cshttpd 프로세스 점검

SSL을 사용하려면 Calendar Server cshttpd 프로세스가 실행 중이어야 합니다. cshttpd가 실행 중인지 확인하려면 Solaris 시스템의 경우 다음 명령을 사용합니다.

# ps -ef | grep cshttpd

인증서 검증

인증서 데이터베이스의 인증서를 나열하고 해당 유효 일자를 확인하려면 Solaris 시스템의 경우 다음 명령을 사용합니다.

# ./certutil -L -d /var/opt/SUNWics5/alias

Calendar Server 로그 파일 확인

Calendar Server 로그 파일에 SSL 오류가 있는지 확인합니다. 자세한 내용은 "Calendar Server 로그 파일 모니터링"을 참조하십시오.

SSL 포트에 연결

브라우저와 다음 URL을 사용하여 SSL 포트에 연결합니다.

https://server-name:ssl-port-number

여기서,

server-name은 Calendar Server가 실행 중인 서버 이름입니다.

ssl-port-number는 ics.conf 파일의 service.http.ssl.port 매개 변수가 지정하는 SSL 포트 번호입니다. 기본값은 443입니다.

이전 목차 색인 다음