IBM HTTP / Websphere SSL 인증서 설치/설정/적용 가이드

IBM HTTP / Websphere SSL 인증서 설치/적용 가이드

본 설치/적용 가이드는, IBM 공식 매뉴얼에서 SSL 적용 관련 부분만 발췌/참고를 기반으로 하였습니다. SSL 설정 부분에서 발급 받은 인증서 파일 지정에 대해서만 표기한 설명 내용이며, 이는 SecureSign 또는 CA 만의 고유한 적용 방법이 아니므로 착오 없으시기 바랍니다.

고객사의 특정 환경에서는 미작동/오작동이 발생할수 있으며, 본 가이드는 "설치/설정/적용/작동/오류" 등에 대해서 보증 및 관여하지 않습니다. SecureSign 에서는 설정/적용 지원을 직접 제공하고 있지 않으며, 고객사에서 직접 설정/작업 진행이 어렵다면 별도의 외부 유료 기술지원 을 이용을 권장드립니다.

사전 구성 환경

TLS 1.2 / SHA-2(sha256RSA) 암호화 지원 모듈 구성/활성 확인 필수
SNI(Server Name Indication, 서버 이름 표시) 기능 지원하는 웹서버 버전 권장 (443공용)
MD5, RC4 등 국제 보안 기구에서 해제를 권장하는 취약한 암호화 모듈 비활성화
SSL 2.0, 3.0 및 TLS 1.0 1.1 프로토콜 접속 허용 해제. 최신 TLS 1.2 1.3 설정 권장

진행 과정

CSR(Certificate Signing Request) 생성
인증서 발급 신청 제출
인증서 발급 완료 (발급내역서/파일설명서 PDF 참조)
인증서 설치 적용 - 신규,갱신,재발급,도메인추가
정상 적용 완료 테스트

개인키 및 CSR 생성

⦁ SSL 인증서 발급 신청시, CSR 입력 단계에서 "CSR 자동생성" 선택시 수작업 생성 과정은 필요가 없습니다. (자동 이용 권장)
⦁ CSR 자동 발급 완료시, "개인키 / 서버인증서 / 체인인증서 / 루트인증서" 의 pem(crt,key), pfx, jks, p7b 파일이 첨부 제공됩니다.

- FAQ : 개인키(private key) 생성/보관 관련 참고 사항
- FAQ : SSL 발급 신청시 CSR 생성 관련 참고 사항
- FAQ : SSL 발급 신청시 도메인 형식 예제 및 참고 사항

Single

CN : sub.example.com 처럼 FQDN 도메인 형식 이어야 합니다.

Wildcard

CN : *.example.com 과 같은 패턴 이어야 합니다.

MultiDomain

CN : example.com 대표성을 가진 FQDN 도메인 1개만 입력 합니다.
SAN : 인증서에 포함될 나머지 FQDN 도메인은, 신청서 작성중 DCV 설정 단계에서 추가 입력합니다.

Multi-Wildcard

CN : example.com 대표 루트 도메인 1개을 CN으로 입력 합니다.
SAN : *.example.com 형식의 와일드카드 도메인은, 신청서 작성중 DCV 설정 단계에서 추가 입력합니다.

SSL 인증서 신청 하기

인증서 발급 완료

- 발급 완료 후에는, 메일첨부 또는 주문상세의 압축파일(zip)에 인증서 파일이 포함되어 있습니다.
- 서버 적용에 필요한 파일 정보는, zip 파일내 '발급내역서 및 루트/체인' PDF 에서 확인해야 합니다. (필수)
- 이후 과정 부터는, 서버에 SSL 인증서 설치/적용/확인 절차 입니다. (인터넷에 공개된 설정법과 차이 없음)

.pfx .kdb(CMS Keystore) 변환 (CSR 자동생성 발급)

ikeyman GUI

Import (.pfx)
[가져오기] 버튼 .pfx 찾아보기 지정 .pfx 비밀번호(발급내역서PDF) 가져온 .pfx 의 인증서 정보가 '개인 인증' 목록에 표시됨

Export (.kdb)
'개인 인증' 목록에서 대상 선택 [내보내기] 버튼 '키 내보내기' / 유형:CMS / 저장위치 설정 .kdb 파일 변환 저장 완료 (key.kdb, key.rdb 파일 생성됨)

* ikeyman 기능/메뉴/사용법 등은 IBM 고객센터 문의 또는 IBM 자체 매뉴얼을 참조하시기 바랍니다.
* CSR 자동생성 발급의 경우, .pfx 포맷 파일도 첨부 제공되며, 첨부된 .pfx 파일 가져오기를 하면 됩니다.
* 제공되는 .pfx 파일에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 포함되어 있습니다.

HTTP conf 설정

<IfModule mod_ibm_ssl.c>
   Listen 0.0.0.0:443
   <VirtualHost *:443>
      ServerName server_name
      SSLEnable
   </VirtualHost>
</IfModule>

SSLDisable
Keyfile 예) /cert/key.kdb (파일 경로 지정)

* HTTP Server 기본 설치 기준의 예제이며, 절대값은 아닙니다. 커스텀 설정은 자체적으로 확인/조정 하시기 바랍니다.
* HTTP Server 의 기능/사용법 등은 IBM 고객센터 문의 또는 HTTP 자체 매뉴얼에서 확인하시기 바랍니다.
* 예제에 표기되지 않은 conf 의 다양한 Property 는 필요시 자체적으로 확인/조정 하시기 바랍니다.

Websphere 인증서관리 .pfx Import (CSR 자동생성 발급)

WAS Admin Console

Console Root : ⊞ 보안(Security)
SSL 인증서 및 키 관리(SSL certificate and key management)
엔드포인트 보안 구성 관리(Manage endpoint security configurations)
인바운드(Inbound) 에서 nodes : 대상 노드 항목 선택
선택된 노드 보안 설정에서 [인증서 관리] 버튼
개인 인증서(Personal certificates) 화면
[가져오기 Import] 버튼 예) www.sslcert.co.kr.pfx 파일 경로 지정 / pkcs12 타입 지정 / .pfx 패스워드 입력
[키 파일 별명 가져오기 Get the key file aliases] 버튼 '가져올 인증서 별명' 목록에 표시 및 선택 적용 및 저장

WebSphere 재구동

* Websphere 기능/메뉴/사용법 등은 IBM 고객센터 문의 또는 IBM 자체 매뉴얼을 참조하시기 바랍니다.
* CSR 자동생성 발급의 경우, .pfx 포맷 파일도 첨부 제공되며, 첨부된 .pfx 파일 가져오기를 하면 됩니다.
* 제공되는 .pfx 파일에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 포함되어 있습니다.

Websphere Node에 SSL 바인딩

WAS Admin Console

[인증서바인딩]

보안 : SSL 인증서 및 키 관리 엔드포인트 보안 구성 관리 인바운드/nodes/servers/server1 (서버이름)
이 엔드포인트의 특정 SSL 구성
[인증서 별명 목록 업데이트] 버튼
'키 저장소의 인증서 별명' 에서 대상 인증서 Alias 선택
적용 및 저장

* Websphere 기능/메뉴/사용법 등은 IBM 고객센터 문의 또는 IBM 자체 매뉴얼을 참조하시기 바랍니다.

설치 적용 확인

- SSL 설정 적용 후, HTTP 서버를 재시작하여 정상 구동이 되는지 확인이 필요합니다.

- 서버 데몬 시작시 SSL 설정 관련 오류,경고가 있는지 콘솔/데몬/이벤트 로그 확인이 필요합니다.
- 서버 로컬에서 설정한 HTTPS 포트가 활성화 되어 있는지 netstat 등으로 확인해야 합니다.
- 외부에서 HTTPS 포트 접속이 되지 않는 다면 보안설정(방화벽등) 허용을 확인해야 합니다.
- L4 분산 환경은, HTTPS 패킷을 수신하는 모든 노드 웹서버에 SSL 적용이 필요합니다.
- L7 라우팅 환경은, L7 에도 HTTPS 활성 및 SSL 인증서 설정이 필요합니다. (장비별 자체 매뉴얼 참조)

- SSL 발급 도메인 웹페이지에 https:// 링크 적용을 별도 진행해야 최종적으로 SSL 암호화가 적용됩니다. (개발자,웹디자이너)
- PC 및 스마트폰의 "Chrome / Firefox / IE / Edge" 각 웹브라우져에서 "루트,체인,SSL,TLS" 경고가 발생 하는지 확인해야 합니다.

SSL 설치/적용 트러블슈팅 SSL 설치 적용 확인 하기 체인인증서 적용 여부 확인 인증서 포맷 변환 방법