3장 SSL 구성

SSL 요구사항 개요

이 절에서는 웹 사이트에서 SSL(Secure Sockets Layer)을 사용할 때 사이트에 필요한 각각의 주 구성 요소를 설명합니다. 이 절은 사용자가 보유해야 할 항목과 구성 요소의 상호 작용 방식을 개관합니다. SSL 구성 절차 목록은 "SSL 구성 프로시저"에 수록되어 있습니다.

웹 사이트에서 SSL을 사용하려면, 먼저 클라이언트에 제공할 수 있는 암호화 공용 및 전용 키와 X.509 보증서가 있어야 합니다. 이 보증서에는 웹 사이트 ID(고유 이름), 발행자 ID, 웹 사이트의 공용 키 및 발행자의 디지털 서명이 들어 있습니다. 공용 웹 사이트는 보통 보증서의 서명을 VeriSign 같은 협력업체 보증 기관(CA:certificat authority)에서 받습니다.; 클라이언트 역시 협력업체 CA의 공용 키가지면, 클라이언트는 사이트 ID를 확인 및 인증된 것으로 신뢰할 수 있습니다.

---

주 -

본 설명서에서 "증명서"는 키 패키지--공용 및 전용 암호화 키-와 관련 보증서를 말합니다.

---

Sun WebServer에는 CA 실행용 소프트웨어가 들어 있습니다. CA에서는 웹 사이트의 SSL 증명서를 작성할 수 있습니다. 다른 도구들은 Sun WebServer 인스턴스에서 사용할 수 있도록 웹 사이트 증명서를 설치하고, 증명서에 협력업체의 서명을 받으며, 협력업체 보증서를 설치합니다.

SSL을 실행하려면 사이트에서 다음 작업을 완료해야 합니다.

• 루트 보증 기관(Root CA)을 작성합니다.

• 연합 명명 시스템(FNS)을 설치합니다.

• Sun WebServer를 SSL과 함께 설치합니다.

• SSL을 사용하는 웹 사이트용 고유 IP 주소를 사용합니다.

• (권장) 독립 CA에 보증서 서명을 요청합니다.

루트 보증 기관(Root CA)

웹 사이트의 증명서를 작성하려면 사이트에 루트 CA를 작성해야 합니다. 루트 CA 사용자는 자체적으로 증명서를 작성한 다음, 이 증명서로 키 패키지를 작성하고 네트워크의 웹 서버용 보증서에 서명합니다. 이 증명서를 연합 명명 서비스(FNS)에 저장하면 다른 시스템에서 쉽게 액세스할 수 있으며, 액세스를 제한하려면 루트 CA 시스템의 파일에만 저장합니다. 기본적으로 증명서는 /var/fn에 저장됩니다.

증명서를 작성하는 루트 CA 호스트는 Sun WebServer와 동일한 시스템이 아니어도 되며, 보안을 위해 다른 시스템이나 네트워크 액세스를 전혀 할 수 없는 시스템에서 루트 CA를 실행할 수도 있습니다.

---

주 -

앞의 단계는 자체 서명한 보증서에만 필요하며 협력업체 보증서만을 사용한다면 필요 없습니다.

---

루트 CA 사용자

루트 CA 사용자가 되려면, 사용자 이름으로 루트 CA 호스트의 root (UID 0)를 제외한 모두를 사용할 수 있습니다. 루트 CA 사용자는 웹 사이트의 증명서를 작성할 수 있는 유일한 사용자입니다. 루트 CA 사용자는 암호로 보호된 자체 증명서를 가지고 있으며 이를 사용하여 자신이 작성하는 모든 보증서에 서명합니다.

루트 CA 증명서는 고유 이름(DN) 항목에 국한됩니다. 모든 증명서는 DN에 국한됩니다. 루트 CA 고유 이름에는 다음과 같은 속성을 사용합니다.

속성 유형	약어	예제
공통 이름	cn	cn=rootca
전자 우편 주소	em	em=rootca@A.net
일련 번호	serial	serial=no12345
조직 단위 이름	ou	ou=web
조직 이름	o	o=A.net
지역 이름	l	l=internet
주 또는 지방 이름	st	st=California
국가 이름	c	c=US

속성의 순서가 DN에서 중요합니다. DN은 가장 구체적인 속성부터 시작하여 가장 포괄적인 속성으로 끝나야 합니다. 테이블에 가장 구체적인 속성(공통 이름)에서 가장 포괄적인 속성(국가) 순으로 나열합니다.

모든 증명서는 루트 CA 사용자의 디렉토리에 저장되며, 공용으로 읽을 수 없습니다. 각 웹 사이트의 증명서와 마찬가지로 루트 CA 사용자의 증명서는 연합 명명 서비스(FNS)를 통해 사용할 수 있습니다.

루트 CA 호스트

SSL 또는 키 패키지를 사용하는 모든 컴퓨터에는 보안 도구 패키지를 설치해야 합니다. 컴퓨터에는 최소한 시스템 하나(루트 CA 호스트)는 있어야 합니다. 이 시스템에는

• 루트 CA의 사용자 이름이 있습니다.

• 루트 CA 증명서가 저장됩니다.

• FNS가 적절하게 설치됩니다.

루트 CA는 이 호스트의 웹 사이트용 증명서를 작성하고 저장합니다.

Sun WebServer는 루트 CA 호스트에서 실행하지 않아도 됩니다. Sun WebServer 시스템은 루트 CA 호스트의 파일을 복사함으로써 호스트하는 웹 사이트의 증명서에 액세스할 수 있습니다.

연합 명명 서비스(FNS)

FNS는 SSL 보안 도구가 증명서에 액세스할 때 사용하는 인터페이스입니다. Sun WebServer 보안 패키지에서는 파일의 증명서를 저장하고 검색할 이름 서비스 컨텍스트를 작성합니다.

기존 FNS 패키지를 제거하고 Sun WebServer와 함께 제공된 SUNWfns 패키지를 설치합니다.

이 단계는 Sun WebServer 설치 전에 수행합니다. SUNWfns 를 제거하지 않고 제공된 패키지를 설치하였다면, 루트 CA 호스트를 포함하여 SSL을 사용할 호스트에서 지금 그와 같이 실행합니다.

---

주 -

Solaris 2.6의 일부인 SUNWfns 패키지는 SSL과 함께 작동하지 않습니다. 패키지를 제거한다고 해서 데이터가 소실되지는 않으며, 일단 새SUNWfns 패키지를 설치하면 기존의 FNS 컨텍스트를 보존합니다. 양 패키지는 모두 11.6.0 버전이지만 pkginfo -l SUNWfns 의 완전 VERSION은 지원 패키지용 11.6.0,REV=1998.02.08.15.10입니다.

---

SSL 활성 Sun WebServer

웹 사이트에 SSL을 지원하려면 Sun WebServer의 인스턴스가 필요합니다. Sun WebServer에는 사용할 수 있는 모든 SSL 패키지와 라이브러리가 있으며, SSL을 사용할 각 IP 주소의 포트에서 SSL이 활성화되어 있어야 합니다.

루트 CA에서 증명서를 작성하면, 증명서를 사이트를 호스트하는 Sun WebServer 시스템에 설치해야 합니다.

웹 사이트의 고유 IP

루트 CA 사용자는 웹 사이트의 호스트 이름과 IP 주소를 사용하여 웹 사이트의 증명서를 작성합니다. 증명서는 고유 호스트 이름 및 IP 주소에만 국한되어야 하며, 따라서 각 SSL 활성 사이트의 SSL 포트에는 고유 IP 주소가 있어야 합니다.

증명서 서명

클라이언트가 웹 사이트의 SSL 활성 포트에 연결할 때 사이트의 증명서를 요구합니다. 클라이언트에서 공용 키를 가지며 신뢰하는 CA에서 서명을 받아야만 증명서를 확인할 수 있습니다.

대부분의 클라이언트는 사용자 지역 루트 CA의 공용키를 가지고 있지 않기 때문에, 사용자는 VeriSign 같이 잘 알려진 CA에서 사이트 증명서 서명을 받습니다.

SSL 구성 프로시저

이 절에서는 SSL 구성에 수행하는 최상위 레벨 프로시저를 설명합니다. 각 프로시저는 다시 세부 단계로 이어져 있습니다.

SSL 실행에 필요한 환경과 보증 기관에 익숙하지 않다면, 다음 프로시저를 수행하기 전에 "SSL 요구사항 개요"를 참조하십시오.

1. "루트 CA 구성"

2. "증명서 작성"

3. "웹 사이트에서 SSL 활성화"

4. (선택 사항) "서명된 보증서 요청"

루트 CA 구성

루트 보증 기관(CA)은 네트워크 웹 사이트의 키 패키지 및 증명서를 작성하는 데 필요합니다. 루트 CA 사용자와 루트 CA 시스템에 익숙하지 않다면 "SSL 요구사항 개요"를 참조하십시오.

우선 루트 CA 시스템을 구성하고, 웹 사이트 증명서를 작성할 루트 CA를 작성합니다.

루트 CA 시스템 구성

1. 증명서를 작성하는 올바른 패키지가 시스템에 설치되었는지 확인합니다.

   SUNWhttp

   루트 CA 실행에 필요한 도구 및 스크립트가 들어 있습니다.

   SUNWfns

   최신 연합 명명 서비스 파일.

   SUNWski

   SKI 라이브러리.

   SUNWskica

   키 패키지와 증명서를 생성하는 암호화 소프트웨어.

   SUNWskicw

   루트 CA 사용 허가 소프트웨어.

   SUNWskimc

   SKI 1.0 소프트웨어(CA 매뉴얼 페이지 패키지)

   SUNWskimu

   SKI 1.0 소프트웨어(CA 사용자 매뉴얼 페이지 패키지)

   SUNWssl

   SSL 1.0 소프트웨어(국제화 버전 라이브러리)

   SUNWskild

   SKI 1.0 소프트웨어 패키지(미국 및 캐나다 라이브러리)

   SUNWssld

   SSL 1.0 소프트웨어(미국 및 캐나다 라이브러리)

   이들 패키지는 SSL 설치를 선택하면 Sun WebServer 설치 중에 설치됩니다.

2. Sun WebServer를 설치하면 보안 키와 보증서의 생성에 필요한 프로세스를 시작합니다. 다음 프로세스가 실행되는 지 확인합니다.

   • /usr/lib/security/skiserv

   • /usr/lib/security/cryptorand

3. 루트 CA 사용자가 될 사용자를 선택하거나 작성합니다.

   ---

   주 -

   본 설명서에서는 이 사용자를 rootca로 부르지만, /etc/passwd에서 UNIX 사용자 이름을 선택해도 됩니다.

   ---

4. 증명서를 저장할 rootca의 디렉토리를 작성합니다.

   이 디렉토리는 다른 사람이 읽을 수 없습니다. 예를 들면:

   # mkdir /var/SSL_CERTS# chmod 700 /var/SSL_CERTS# chown rootca /var/SSL_CERTS

루트 CA 작성

1. 루트 CA의 고유 이름(DN) 항목을 지정합니다.

   자세한 내용은 "루트 CA 사용자"를 참조하십시오. 다음은 DN의 한 예입니다. cn=rootca, o=A.net, st=California, c=US.

2. 루트 CA 시스템에 루트 CA 사용자로서 로그인합니다.

3. create_rootca를 실행합니다.

   /usr/bin에서 create_rootca를 사용할 수 없다면, 이 시스템에 SUNWski 패키지를 설치하지 않았기 때문입니다.

4. 루트 CA의 DN을 입력합니다.

   Enter Distinguished Name(e.g. "o=SUN, c=US"). or q[uit]: cn=rootca, o=A.net, st=California, c=US

5. 증명서를 저장할 디렉토리 이름을 입력합니다.

   Enter directory pathname under which the key package and certificate will be stored, or q[uit]. Directory name ? /var/SSL_CERTS

   스크립트에서 루트 CA의 공용 및 전용 암호화 키를 생성합니다. 모든 키 패키지는 무단 사용을 방지하기 위해 암호로 보호됩니다.

6. 루트 CA 키 패키지의 암호를 입력합니다.

   keypkg: Enter your NEW key package password: keypkg: Reenter your NEW key package password:

7. 키 패키지를 명명 서비스에서 사용할 수 있게 하는 옵션이 있습니다. 명명 서비스에 키 패키지를 저장하려면 시스템의 루트의 암호가 필요합니다.

   키 패키지는 항상 파일에 저장됩니다. 키 패키지를 명명 서비스에서 사용할 수 있도록 하면 다른 보안 도구에서 전체 경로 이름 없이도 키를 찾을 수 있습니다.

   이제 루트 CA가 구성되었습니다. 다음 단계는 루트 CA에서 웹 사이트의 키 패키지 및 보증서를 생성하는 것입니다.

   다음 구성 프로시저, "증명서 작성"를 계속합니다.

8. 이 옵션을 선택하지 않을 경우, FNS에 증명서를 저장한 다음 증명서를 수동으로 저장합니다.

   # skistore -d dirname

   dirname은 단계 5에서 지정된 대로 있습니다.

증명서 작성

루트 CA는 루트 CA 시스템에서 웹 사이트 증명서를 작성하고 저장합니다. 이후 증명서는 VerSign 같은 또 다른 CA에서 선택적으로 서명 받을 수 있습니다. 증명서 작성이 끝나면 웹 사이트에서 사용할 수 있도록 Sun WebServer 시스템에 설치합니다.

---

주 -

본 설명서에서 "증명서"는 키 패키지 -공용 및 전용 암호화 키-와 관련 보증서를 말합니다.

---

웹 사이트의 증명서 작성

1. Fully Qualified Domain Name(FQDN)을 공통 이름(cn)으로 사용하여 웹 사이트의 고유 이름 항목을 결정합니다.

   보증서의 고유 이름에 관한 자세한 내용은 "루트 CA 사용자"를 참조하십시오.

2. 루트 CA 사용자로서 루트 CA 시스템에 로그인합니다.

3. 작성하는 증명서를 저장할 디렉토리를 작성합니다.

   rootca % mkdir /var/SSL_CERTS/121.122.123.12/

4. 적절한 옵션으로 /usr/http/bin/setup_creds를 실행합니다.

   유효한 옵션은 다음과 같습니다.

   -d output_directory

   증명서를 저장할 디렉토리를 지정합니다. 예를 들면: /var/SSL_CERTS/121.122.123.12/.

   -f trusted_file

   (필수 사항이 아님; 설정할 때 다른 신뢰된 CA의 보증서 추가에 사용.) 루트 CA 보증서가 들어있는 파일의 전체 경로 이름을 지정합니다. 예를 들면: /export/skirca2/certs/skirca2.CERT.

   -i IP_Address

   증명서를 작성하는 웹 사이트의 IP 주소를 지정합니다.

   -r rootca

   (선택 사항) 루트 CA 사용자의 이름(스크립트를 실행한 사용자 이름)을 지정합니다. -r을 생략하면 setup_creds 에서 이 시스템의 루트 CA 사용자 이름을 요구합니다.

   # /usr/http/bin/setup_creds -r rootca \ -d /var/SSL_CERTS/121.122.123.12/ -i 121.122.123.12

5. 웹 사이트 이름으로 호스트 이름만 입력합니다. 다음에 도메인 이름을 입력하라는 메시지가 나옵니다.

   예를 들어, 웹 사이트가 www.V.com일 경우 www를 입력합니다.

   Enter host name on which you run httpd server: (Hit return to use localhost)www

6. 웹 사이트의 도메인 이름을 입력합니다.

   Enter domain name for your server (for example, eng.sun.com)V.com

7. 공통 이름(cn)을 빼고 웹 사이트의 DN 2성을 입력합니다.

   Enter Distinguished Name Suffix for your server (eg: o=SUN, c=US) :o="Company V", st=California, c=US

8. 웹 사이트 증명서의 새 암호를 입력합니다.

   각 키 패키지에는 암호가 있으며, 이는 루트 CA 증명서의 암호와 달라야 합니다.

   Please provide the password to encrypt your server's private key. You will need it when you install the certificates. Enter password: Reenter password: Using configuration file '/tmp/try/host_config skilogin: Enter your own key package password:

9. 사이트의 키 패키지와 보증서는 사용자가 명명한 출력 디렉토리에서 생성되어 저장됩니다.

   보증서의 위치는 output_directory/certs/IP_Address.cert입니다. 이 예제에서는 /var/SSL_CERTS/121.122.123.12/certs/121.122.123.12.cert가 됩니다.

   이 보증서를 다른 곳에 재설치할 경우 보증서가 필요합니다.

10. 추가 웹 사이트의 증명서를 생성하려면 단계 1에서 9를 반복합니다.

이제 "자체 서명한" 보증서를 작성하였습니다. 사용자는 연결 브라우저의 신뢰된 CA 목록 안에 루트 CA가 있는 경우, SSL 암호화에 이 증명서를 사용할 수 있습니다. 이는 SSL 사용이 필요한 브라우저를 갱신할 수 있는 사용자의 조직 안에서 유용합니다(예를 들어 SSL로 Sun WebServer Administration Console을 보호하는 경우). 그러나 인터넷 상의 대부분의 클라이언트는 사용자 루트 CA를 모르기 때문에, 공용 SSL 사이트에서 협력업체에서 서명한 보증서를 필요로 하게 됩니다. Sun WebServer 시스템에 증명서를 설치한 후"서명된 보증서 요청"를 참조하십시오.

"웹 사이트에서 SSL 활성화"의 프로시저를 계속합니다.

웹 사이트에서 SSL 활성화

웹 사이트에서 SSL를 활성화하는 데는 SSL 패키지 설치 확인, Sun WebServer 실행 시스템에 증명서 설치, 웹 사이트에서 사용할 수 있는 포트에 SSL 구성의 3가지 프로시저가 필요합니다.

사이트 증명서 작성

Sun WebServer 시스템에 사이트 증명서 설치

1. 사이트의 증명서를 저장하는 디렉토리를 Sun WebServer 시스템에 복사해야 합니다.

   루트 CA 시스템과 Sun WebServer 시스템이 동일한 경우 이 단계는 생략합니다.

   플로피 디스크나 다른 휴대용 매체로 디렉토리를 이동하거나, NFS에서 Sun WebServer 시스템과 디렉토리를 공유할 수 있습니다.

   어느 경우든지 setup_creds 출력을 위해 지정한 디렉토리 및 그 하위 디렉토리를 복사합니다. 디렉토리에는 다음 항목이 있어야 합니다.

   • certs/IP_Address.CERT

   • keypkgs/IP_Address.KEYPKG

   IP_Address는 웹 사이트에서 사용하는 주소입니다.

2. Sun WebServer 시스템의 루트로 /usr/http/bin/install_certs를 실행합니다.

   사용자는 증명서 경로, 웹 사이트의 IP 주소 및 Sun WebServer 프로세스의 사용자 ID(uid)를 지정해야 합니다. 예를 들면:

   # /usr/http/bin/install_certs -p /floppy/cert_floppy -i \ 121.122.123.12 0

3. 웹 사이트의 키 패키지 암호를 입력합니다.

   암호는 "증명서 작성"의 단계 단계 8에서 지정한 암호입니다.

   /usr/bin/skilogin: Enter host key package password

   이제 증명서가 Sun WebServer 시스템에 저장되었습니다. SSL을 사용하는 웹 사이트를 구성하려면 다음 프로시저를 따르십시오.

SSL의 웹 사이트 구성

우선 SSL을 사용하는 웹 사이트 IP 주소의 포트를 작성해야 합니다. SSL 연결에 사용되는 기본 포트는 443입니다.

본 지시사항은 Sun WebServer Administration Console을 사용한다는 것을 전제로 합니다. 웹 사이트의 서버 인스턴스 구성 파일(예를 들면: /etc/http/sws_server.httpd.conf)을 편집해도 포트를 구성할 수 있습니다 구성 파일 편집을 선택할 경우 httpd.conf(4) 의 man 페이지를 참조하십시오.

SSL의 웹 사이트 구성

1. Sun WebServer 관리 콘솔에 연결하여 로그인합니다.

   연결에 관한 자세한 내용은 제 2 장을 참조하십시오.

2. 서버 목록에서 웹 사이트를 호스트하는 서버 인스턴스를 찾습니다. 구성 페이지가 나타나지 않을 경우 + 표시를 눌러 폴더를 확장합니다.

3. 웹 사이트의 IP 주소를 모를 경우 웹 사이트 페이지를 선택합니다.

   웹 사이트에서 사용하는 IP 주소는 목록에 있습니다.

   ---

   주 -

   IP 주소를 여러 웹 사이트에 사용하면 안됩니다. SSL 보증서는 고유 IP 주소 및 호스트 이름에 국한됩니다.

   ---

4. IP/포트 페이지를 눌러 웹 사이트 IP 주소에 포트를 추가합니다.

   네트워크 연결 목록이 오른쪽에 표시되어 이 서버 인스턴스에서 사용하는 모든 IP 주소 및 포트를 보여줍니다.

5. [추가]를 눌러 웹 사이트의 IP 주소 및 포트 443을 사용하는 네트워크 연결을 작성합니다.

   [네트워크 연결] 대화 상자가 열립니다.

6. IP 주소와 포트 필드에 SSL을 활성화할 웹 사이트의 IP 주소 및 포트를 입력합니다(보통 443). 시간 제한과 HTTP 1.0 Keepalive 허용 여부를 설정합니다.

   시간 제한과 HTTP 1.0 Keepalive 허용에 관한 정보는 대화 상자 안의 [도움말]을 누르십시오. 적절한 성능을 위해서는 시간 제한은 300 초로 설정하고 HTTP 1.0 Keepalive는 허용합니다.

7. [SSL 활성화] 상자를 누릅니다.

8. 유효한 개인 보증서를 가진 클라이언트의 연결만 허용하려면 [클라이언트 보증서 요구] 상자를 누릅니다.

   이 필드에 관한 자세한 내용은 대화 상자 안의 [도움말]을 누르십시오.

9. 활성화하려는 암호군을 설정합니다.

   서버는 클라이언트와 절충하여 서로 공통인 암호군을 사용합니다. 클라이언트와 서버의 공통 암호군이 한 개 이상인 경우, 가장 강력한 암호군을 사용합니다.

   미국/캐나다 암호화 소프트웨어를 가지고 있는 경우, 128비트나 40비트 또는 양쪽 모두를 선택할 수 있습니다. 클라이언트에 특정 설정을 요청하려는 경우가 아니면 양쪽 모두를 선택합니다.

   전역 암호화 소프트웨어를 가지고 있는 경우, 40비트 암호군만 사용할 수 있습니다. [40 비트] 상자를 누릅니다.

10. [확인]을 눌러 변경 사항을 저장한 다음, [Serve->IP/포트 저장]을 선택합니다.

11. 서버 인스턴스의 기본 사이트에서 SSL을 구성하는 경우, 나머지 단계는 생략합니다.

    서버의 기본 사이트는 해당 서버에 정의된 모든 연결 끝점을 청취하므로, 웹 사이트에 새로운 SSL 연결을 추가할 필요가 없습니다.

12. [서버 목록]에서 [웹 사이트] 페이지를 선택하고 목록에서 웹 사이트를 선택합니다. [서버->웹 사이트 편집]을 선택합니다.

    [웹 사이트 편집] 대화 상자에서 [연결] 목록에 있는 SSL 활성 네트워크 연결을 찾아 선택합니다. 연결은 IP_Address:Port 조합으로 나열되어 있습니다.

13. [사이트 연결]목록의 연결을 이동하려면 >을 누릅니다.

    ---

    주 -

    기본 사이트에서는 이 옵션이 비활성화됩니다. 기본 사이트는 자동적으로 서버의 모든 연결 끝점을 청취하기 때문입니다. 서버 인스턴스의 기본 사이트를 구성하는 경우, 단계 12에서 15까지 생략합니다.

    ---

14. Save을 눌러서 웹 사이트 변경 사항을 확인합니다.

15. Server->Save을 선택해서 변경 사항을 저장합니다.

    다음 구성 프로시저 ,"서명된 보증서 요청"를 계속합니다.

서명된 보증서 요청

독립 CA에서 서명한 웹 사이트 보증서를 보유한다는 것은 사이트 ID의 독립 감사자 보증을 가진 것과 같습니다. 클라이언트는 자신이 신뢰하는 CA에서 증명서를 "디지털 서명"하지 않을 경우 안전한 사이트가 아니라는 불신감을 가질 것입니다.

Sun WebServer는 현재 협력업체 CA로 VeriSign만을 지원합니다. Sun WebServer에 들어 있는 도구를 사용하면 보증서 및 보증서 서명 요청(certificate signing request:CSR)을 공용 웹 사이트를 통해 VeriSign에 전송할 수 있습니다.

서명된 웹 사이트 보증서 요청

1. 사용자의 지역 루트 CA에서 증명서를 생성하여 Sun WebServer 시스템에 저장해야 합니다.

   "증명서 작성" 및 "웹 사이트에서 SSL 활성화"를 참조하십시오.

2. 수퍼 유저(root)로서 Sun WebServer 시스템에 로그인합니다.

3. send_request유틸리티를 실행하여 CA에 전송할 수 있는 보증서를 생성합니다.

   명령줄에서 서명 받고자 하는 보증서에 사이트의 IP 주소를 지정해야 합니다. -o을 사용하여 이미 존재하는 다른 디렉토리를 지정하지 않는 한, 보증서는 /tmp의 파일에 저장됩니다.

   # mkdir /var/SSL_CERTS/requests # /usr/http/bin/send_request -o /var/SSL_CERTS/requests \ 121.122.123.12

4. 웹 사이트의 키 패키지 암호를 입력합니다.

   이 암호는 루트 CA의 키 패키지 암호가 아니라 setup_creds를 실행할 때 작성한 암호입니다.

5. 보증서 서명 요청은 사용자가 명명한 디렉토리 또는 /tmp의 cert.request로 명명된 파일에 저장됩니다.

   이 파일의 내용은 해당 웹 사이트를 통해 VeriSign에 전송할 수 있습니다.

6. 서명된 보증서를 요청하려면 CA의 프로시저를 따라야 합니다. 어떤 경우에는 작성한 보증서 파일을 CA에 제공해야 합니다.

   VeriSign 보증서를 요청하려면 http://www.verisign.com/idcenter/new/를 방문하십시오. 사용자는 Sun Microsystems에서 서버 소프트웨어의 서버 보증서를 요청합니다.

7. CA에서 서명한 보증서를 전송하면 이를 파일에 저장합니다.

   예를 들어 /tmp/121.122.123.12.cert에 보증서를 저장합니다.

   ---

   주의 -

   CA의 보증서는 루트 CA가 증명서를 저장할 때 사용하는 디렉토리에 저장하지 않습니다.

   ---

8. 루트로서 /usr/http/bin/install_external을 실행하여 서명된 보증서를 SSL에 사용할 수 있도록 합니다.

클라이언트 인증 활성화

클라이언트가 디지털 ID를 가진 경우, 클라이언트 연결을 인증하는 방법으로 SSL을 사용할 수 있습니다. 현재 Sun WebServer에서는 VeriSign의 개인 디지털 ID를 지원합니다. VeriSign에서는 키와 보험 보호의 강도에 따라 다음과 같은 3가지 레벨의 개인 디지털 ID를 제공합니다.

• 클래스 1

• 클래스 2

• 클래스 3

SSL 웹 사이트를 구성하여 클라이언트 인증을 요청할 수 있고 수용할 개인 ID 레벨을 정의할 수 있습니다.

SSL 클라이언트 인증 요청

1. Sun WebServer Administratioj Console에 로그인하고 SSL 활성 웹 사이트를 호스트하는 서버의 IP/포트 목록으로 갑니다.

2. 이 웹 사이트에서 사용하는 SSL 활성 연결을 선택한 다음 [편집]을 누릅니다.

   [네트워크 연결 편집] 대화 상자가 열립니다.

3. 대화 상자에서 "Require Client Certificate" 상자를 누른 다음 [확인]을 누릅니다.

4. [선택->IP/포트 저장]을 선택하여 구성을 저장합니다.

5. 명령 줄로 복귀하여 수퍼 유저가 됩니다.

6. 명령 구문은 다음과 같습니다.

   setup_client_auth -e | -d -i IP_Address Signer

   Signer 서명 보증서를 보유한 클라이언트의 액세스를, -e 플래그는 활성화하고 -d 플래그는 비활성화합니다. IP_Address는 SSL 활성 웹 사이트의 IP 주소입니다.

   Signer는 VeriSign 클래스 즉, 클래스 1, 클래스 2, 클래스 3 중 하나가 될 수 있습니다.

   setup_client_auth을 여러 번 실행하여 여러 서명자를 활성 또는 비활성화합니다. 활성화된 CA는 웹 사이트의 신뢰된 키 목록에 추가됩니다.