멀티플렉서 및 Instant Messenger를 위한 레거시 SSL 설정

TLS를 지원하지 않는 Instant Messaging 클라이언트를 사용하는 경우에도 클라이언트 대 멀티플렉서 통신을 위해 TLS 대신 SSL을 사용할 수 있습니다. 그러나 SSL을 사용하도록 멀티플렉서를 구성하면 클라이언트 대 서버 통신에 TLS를 사용할 수 없습니다. 멀티플렉서와 서버 간의 모든 통신은 비보안 전송을 통해 일반 텍스트로 수행됩니다.

멀티플렉서에서 레거시 SSL을 설정하고 XMPP/HTTP 게이트웨이를 사용하는 경우 멀티플렉서가 아니라 서버와 직접 통신하도록 게이트웨이를 구성해야 합니다. 이 게이트웨이는 레거시 SSL을 지원하지 않습니다.

멀티플렉서와 Instant Messenger 간에 SSL을 활성화하려면 다음이 필요합니다.

1. CA에 Instant Messaging 멀티플렉서에 대한 SSL 인증서 요청

2. 인증서 설치

3. 멀티플렉서와 Instant Messenger 간 레거시 SSL 활성화

4. Instant Messaging 서버에서 TLS 활성화

5. Instant Messenger의 보안 버전 호출

CA에 Instant Messaging 멀티플렉서에 대한 SSL 인증서 요청

멀티플렉서에서 SSL을 활성화하려면 인증서를 요청해야 합니다.

Instant Messaging 멀티플렉서에 대한 인증서를 요청하려면

여기서는 Sun Java System Web Server 또는 Sun Java System Application Server를 웹 컨테이너로 사용하여 인증서를 요청한다고 가정합니다.

멀티플렉서는 인증서 관리에 NSS를 사용하므로 NSS 유틸리티를 사용하여 인증서와 인증서 데이터베이스를 만들고, 관리하고, 사용할 수 있습니다.

1. 웹 브라우저에서 다음 URL을 입력하여 웹 컨테이너의 관리 서버를 시작합니다.

   http://hostname.domain-name:administration-port

   아이디와 비밀번호를 묻는 창이 표시됩니다.

2. Web Server 또는 Application Server를 설치할 때 지정한 관리 아이디와 비밀번호를 입력합니다.

   Administratoin Server 페이지가 표시됩니다.

3. 별도의 Web Server 또는 Application Server 인스턴스를 만듭니다.

   여러 Application Server 인스턴스 설치에 대한 자세한 내용은 Sun Java System Application Server Enterprise Edition 8.2 Installation Guide를 참조하십시오. 여러 Web Server 인스턴스 설치에 대한 자세한 내용은 Sun Java Communications Suite 5 Installation Guide를 참조하십시오.

4. 공개 키와 개인 키(키 쌍 파일이라고 함)를 저장하는 신뢰할 수 있는 데이터베이스를 만듭니다.

   키 쌍 파일은 SSL 암호화에 사용됩니다.

   신뢰할 수 있는 데이터베이스를 만드는 방법에 대한 내용은 Application Server의 경우 Sun Java System Application Server Enterprise Edition 8.2 Administration Guide의 9 장, Configuring Security을 참조하고, Web Server의 경우 Sun Java System Web Server 7.0 Administrator’s Guide의 6 장, Certificates and Keys를 참조하십시오.

5. CA에 인증서를 요청합니다.

   인증서 요청에 대한 자세한 내용은 Application Server의 경우 Sun Java System Application Server Enterprise Edition 8.2 Administration Guide의 9 장, Configuring Security, Web Server의 경우 Sun Java System Web Server 7.0 Administrator’s Guide의 6 장, Certificates and Keys를 참조하십시오.

인증서 설치

인증 기관에서 서명된 서버 인증서를 받은 후에는 보안 통신을 위해 인증서를 설치하고 데이터베이스를 만들어야 합니다.

Instant Messaging 멀티플렉서에 대한 인증서를 설치하려면

1. 웹 브라우저에서 다음 URL을 입력하여 관리 서버를 시작합니다.

   http://hostname.domain-name:administration-port

   아이디와 비밀번호를 묻는 창이 표시됩니다.

2. Web Server 또는 Application Server를 설치할 때 지정한 관리 아이디와 비밀번호를 입력합니다.

   Administration Sevrer 페이지가 표시됩니다.

3. 서버 인증서를 설치합니다.

   인증서 설치에 대한 자세한 내용은 http://docs.sun.com에 있는 Web Server 또는 Application Server 제품 설명서를 참조하십시오.

4. Web Server 또는 Application Server의 /alias 디렉토리로 이동합니다.

5. 데이터베이스 파일을 /alias 디렉토리에서 Instant Messaging 서버의 im-cfg-base 디렉토리로 복사합니다.

   예를 들어 Solaris의 경우 다음과 같습니다.

   cp https-serverid-hostname-cert8.db /etc/opt/SUNWiim/default/config/cert8.db

   cp https-serverid-hostname-key3.db /etc/opt/SUNWiim/default/config/key3.db

   cp secmod.db /etc/opt/SUNWiim/default/config/secmod.db

   Linux의 경우 다음과 같습니다.

   cp https-serverid-hostname-cert8.db /etc/opt/sun/im/default/config/cert8.db

   cp https-serverid-hostname-key3.db /etc/opt/sun/im/default/config/key3.db

   cp secmod.db /etc/opt/sun/im/default/config/secmod.db

   ---

   주 –

   멀티플렉서에서 사용되는 시스템 사용자에게 cert7.db, key3.db 및 secmod.db 파일에 대한 읽기 권한을 허용해야 합니다. 또한 여러 Instant Messaging 인스턴스를 만든 경우 /default 디렉토리의 이름은 해당 인스턴스에 따라 달라집니다.

   ---

   im-cfg-base의 기본 위치는 표 3–1을 참조하십시오.

6. 멀티플렉서 호스트의 im-cfg-base로 이동합니다.

   im-cfg-base 찾기에 대한 내용은 Instant Messaging 서버 디렉토리 구조를 참조하십시오.

7. 선택한 텍스트 편집기를 사용하여 sslpassword.conf 파일을 만듭니다.

8. sslpassword.conf에 다음 줄을 입력합니다.

   Internal (Software) Token:password

   여기서 password는 신뢰할 수 있는 데이터베이스를 만들 때 지정한 비밀번호입니다.

9. sslpassword.conf를 저장한 다음 닫습니다.

10. 모든 Instant Messenger 최종 사용자가 sslpassword.conf 파일에 대한 소유권 및 읽기 권한을 갖도록 합니다.

11. 멀티플렉서를 다시 시작합니다.

12. SSL이 제대로 작동하는지 확인합니다.

    이 작업은 다양한 방식으로 수행할 수 있습니다. 예를 들어 Instant Messenger의 보안 버전 호출의 단계를 수행하는 것도 여기에 포함됩니다.

13. Web Server 또는 Application Server에 관리자로 로그인합니다.

14. 인증서를 요청할 때 만든 서버 인스턴스를 제거합니다.

멀티플렉서와 Instant Messenger 간 레거시 SSL 활성화

Instant Messenger 클라이언트의 보안 버전을 사용하여 iim.conf의 매개 변수를 수정한 다음 멀티플렉서에 연결하여 클라이언트 대 멀티플렉서 통신을 위한 SSL을 활성화할 수 있습니다.

표 12–2에는 Instant Messenger와 멀티플렉서 간에 SSL을 활성화하기 위한 iim.conf 의 매개 변수가 나열되어 있습니다. 또한 이러한 매개 변수의 기본값과 설명도 나열되어 있습니다.

Instant Messenger와 멀티플렉서 간에 SSL을 활성화하려면

1. iim.conf를 엽니다.

   iim.conf 파일 찾기 및 수정에 대한 지침은 iim.conf 파일 구문을 참조하십시오.

2. 표 12–2의 값을 iim.conf의 멀티플렉서 구성 매개 변수에 추가합니다.

예 12–2 iim.conf의 레거시 SSL 멀티플렉서 구성

다음은 멀티플렉서 구성 매개 변수가 있는 iim.conf의 예입니다.

! IIM multiplexor configuration
! =============================
!
! Multiplexor specific options

! IP address and listening port for the multiplexor.
! WARNING: If this value is changed, the port value of ’-server’
! argument in the client’s im.html and im.jnlp files should 
! also be changed to match this.
iim_mux.listenport = "siroe.com:5222"

! The IM server and port the multiplexor talks to.
iim_mux.serverport = "siroe.com:45222"

! Number of instances of the multiplexor.
iim_mux.numinstances = "1"

! Maximum number of threads per instance
iim_mux.maxthreads = "10"

! Maximum number of concurrent connections per multiplexor process
iim_mux.maxsessions = "1000"

                         
iim_mux.usessl = "on"
iim_mux.secconfigdir = "/etc/opt/SUNWiim/default/config"
iim_mux.keydbprefix = "This-Database"
iim_mux.certdbprefix = "Secret-stuff"
iim_mux.secmodfile = "secmod.db"
iim_mux.certnickname = "Multiplexor_Cert"
iim_mux.keystorepasswordfile = "sslpassword.conf"