Dell Data Protection 구성 가이드
© 2014 Dell Inc. DDP|E, DDP|ST 및 DDP|CE 제품 문서에서 사용된 등록 상표 및 상표: Dell™과 Dell 로고, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, KACE™는 Dell Inc.의 상표입니다. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, Xeon®은 미국 및 기타 국 가에서 Intel Corporation의 등록 상표입니다. Adobe®, Acrobat®, Flash®는 Adobe Systems Incorporated의 등록 상표입니다. Authen Tec® 및 Eikon®은 Authen Tec의 등록 상표입니다. AMD®는 Advanced Micro Devices, Inc.의 등록 상표입니다.
목차 1 Compatibility Server 구성 server_config.xml . gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Core Server 구성 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 웹 서비스 비활성화 . . . . . . . . . . . . . .
강제 폴링 . 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 인벤토리 옵션 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 비도메인 등록 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Kerberos 인증을 위한 요소 구성 . Kerberos 인증을 위한 요소 구성 Windows Service 지침 . 예시 구성 파일: . 27 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Compatibility Server 구성 이 장에서는 Compatibility Server를 사용자 환경에 맞게 조정하기 위해 변경할 수 있는 매개 변수에 대해 설명합니다. 편집하기 전 항상 구성 파일을 백업해 두십시오. 이러한 파일에 나와 있는 매개 변수만 변경할 수 있습니다. 이러한 파일에서 태그를 포함한 다른 데이터를 변경할 경 우 시스템 손상 및 오류가 발생할 수 있습니다. 이러한 파일에서 허가되지 않은 매개 변수를 변경하여 문제가 발생하 는 경우 Compatibility Server를 다시 설치하지 않는 이상 문제가 해결되지 않을 수 있습니다. server_config.xml 다음 매개 변수 중 일부는 \conf\server_config.xml에서 변경할 수 있습니다. 변 경하면 안 되는 매개 변수는 변경할 수 없다는 내용이 표시되어 있습니다.
server_config.xml 매개 변수 기본값 rmi.recovery.host 설명 다중 서버 EMS 복구 사용: default.gatekeeper.group.remote CMGREMOTE 모든 Policy Proxy가 기본적으로 속한 그룹 의 기본 이름으로서 이 이름은 여기 또는 Device Server context.properties에서 변경 할 수 있습니다. 여기에서 그룹 이름을 변경할 경우 다음 작업을 계획한다면 Device Server에서도 변경해야 합니다.
server_config.xml 매개 변수 triage.execute.time 기본값 설명 0 0 0/6 * * 심사는 Server가 이미 알고 있는 사용자와 그룹을 조정하는 프로세스입니다. 기본 설정은 0 0 0/6 * * ?입니다. 즉, 자정부 터 시작하여 6시간마다(자정, 오전 6시, 정 오, 오후 6시...) 심사합니다. gatekeeper.service.max.sessions 5 정책 프록시 세션의 최대 수 gatekeeper.service.max.session.timeout 5 정책 프록시 세션의 최대 수에 설정된 제 한 시간 security.authorization.method.IAdministrat iveService.updateAdminRoles AcctAdmin 그룹 또는 사용자 관리 역할을 업데이트하 는 데 필요한 권한 security.authorization.method.IAdministrati veService.
server_config.xml 매개 변수 기본값 security.authorization.method.IAdministrat iveService.findLdapGroups SystemAdmin,SecAdmin LDAP 그룹을 검색하는 데 필요한 역할 security.authorization.method.IAdministrat iveService.findLdapUsers SystemAdmin,SecAdmin LDAP 사용자를 검색하는 데 필요한 역할 security.authorization.method.IAdministrat iveService.addUsers SystemAdmin,SecAdmin 사용자를 추가하는 데 필요한 역할 security.authorization.method.IAdministrat iveService.addLicense SystemAdmin 엔터프라이즈 라이센스를 추가하는 데 필 요한 역할 security.authorization.method.
server_config.xml 매개 변수 기본값 db.schema.version.patch dao.db.driver.dir 설명 데이터베이스 스키마의 패치 버전 $dell.home$/lib/mssql-microsoft dao.db.host 데이터베이스 드라이버의 기본 위치. 이 파일을 기본 위치에서 변경할 경우 이 매 개 변수를 업데이트하십시오. 데이터베이스 서버의 호스트 이름. 이 매개 변수는 구성 도구에서 변경합니다. dao.db.name 데이터베이스 이름. 이 매개 변수는 구성 도구에서 변경합니다. dao.db.user 데이터베이스에 대한 전체 권한이 있는 사 용자 이름. 이 매개 변수는 구성 도구에서 변경합니다. dao.db.password 데이터베이스에 대한 전체 권한이 있는 사 용자 이름의 암호. 이 매개 변수는 구성 도구에서 변경합니다. dao.db.max.retry.
server_config.xml 매개 변수 vfs.file.handler.event gatekeeper.resource 기본값 설명 com.credant.guardian.server.vfs.EventFileH 이벤트 파일 처리기 andler $dell.home$/conf/gkresource.xml Gatekeeper 리소스 파일을 기본 위치에서 이동할 경우 이 매개 변수를 업데이트하십 시오. $dell.home$/conf/gkconfig.xml Gatekeeper 리소스 파일을 기본 위치에서 이동할 경우 이 매개 변수를 업데이트하십 시오. rmi.server.registry.host localhost 호스트 속성은 레지스트리 위치를 확인하 기 위해 클라이언트 프로그램에서만 사용 합니다. RMI 레지스트리 및 원격 개체를 생성하는 동안에는 사용되지 않습니다. localhost에서 생성됩니다. rmi.server.registry.
server_config.xml 매개 변수 기본값 설명 security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,SystemAdmin 사용자 세부 정보 보고서를 보는 데 필요 rvice.getUserDetail ,SecAdmin 한 역할 security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,SystemAdmin 그룹 세부 정보 보고서를 보는 데 필요한 rvice.getGroupDetail ,SecAdmin 역할 security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,SystemAdmin 도메인 보고서 목록을 보는 데 필요한 역할 rvice.getDomainDetail ,SecAdmin security.authorization.method.IKeyService. getKeys accountType.
run-service.conf \conf\run-service.conf에서 다음 매개 변수 중 일부를 변경할 수 있습니다. 이러 한 매개 변수는 설치 시 자동으로 설정됩니다. Service를 사용자 지정하거나 구성을 변경하려면 다음과 같이 하십시오. 1 Service를 중지합니다. 2 Service를 제거합니다. 3 run-service.conf 파일을 편집하고 저장합니다. 파일 앞부분에서 주석의 변경 사항을 추적하는 것이 좋습니다. 4 Service를 다시 설치합니다. 5 Service를 시작합니다. run-service.conf 매개 변수 JAVA_HOME 기본값 Dell\Java Runtime\jreX.x wrapper.java.additional.5 해당 없음 설명 Java 설치 디렉토리 위치 이 행의 mac 주소는 로컬 이더넷 어댑터의 mac 주소입니다.
2 Core Server 구성 이 장에서는 Core Server를 사용자 환경에 맞게 조정하기 위해 변경할 수 있는 매개 변수에 대해 설명합니다. 이러한 파일에 나와 있는 매개 변수만 변경할 수 있습니다. 이러한 파일에서 태그를 포함한 다른 데이터를 변경할 경 우 시스템 손상 및 오류가 발생할 수 있습니다. 이러한 파일에서 허가되지 않은 매개 변수를 변경하여 문제가 발생하 는 경우 Core Server를 다시 설치하지 않는 이상 문제가 해결되지 않을 수 있습니다. 정책 중재를 가장 안전에서 가장 취약으로 변경 PolicyService.config 정책 중재를 가장 안전에서 가장 취약으로 변경하려면 이 설정을 수정합니다. \PolicyService.config에서 설정을 변경합니다. Core Server가 실행 중인 경우 Service를 중단하고 PolicyService.
Credant.Server2.WindowsService.exe.Config 다음 섹션을 제거합니다. Spring.config 다음을 제거합니다. AOP Advice, 웹 서비스 대상 정의, 웹 서비스 호스트 정의 제목 아래의 모든 정의를 제거합니다. 라이센스 이메일 알림에 SMTP 서버 사용 Dell Data Protection | Cloud Edition을 사용할 경우 이러한 설정은 서버 구성 도구를 사용하여 자동화됩니다.
Compatibility Server의 폴더 위치를 Core Server 구성 파일에 추가 Core Server는 .Net 응용 프로그램이기 때문에 권한으로 인해 레지스트리 정보에 액세스하지 못할 수 있습니다. 문제 는 Core Server가 secretkeystore(데이터베이스 암호화 키)를 읽기 위해 Compatibility Server의 레지스트리 구성 정보에 액세스하여 secretkeystore 위치를 확인해야 한다는 점입니다. 레지스트리 권한으로 인해 이 액세스가 차단되면 Core Server가 Console 사용자를 인증할 수 없습니다. 이 설정은 레지스트리 액세스 문제가 발생할 경우 Compatibility Server의 폴더 위치를 Core Server의 구성 파일에 추가합니다. 1 \EntityDataAccessObjects.config를 탐색합니다. 2 아래에서 굵은 글꼴 항목을 변경합니다.
구성 가이드
3 Device Server 구성 이 장에서는 Device Server를 사용자 환경에 맞게 조정하기 위해 변경할 수 있는 매개 변수에 대해 설명합니다. 이러한 파일에 나와 있는 매개 변수만 변경할 수 있습니다. 이러한 파일에서 태그를 포함한 다른 데이터를 변경할 경 우 시스템 손상 및 오류가 발생할 수 있습니다. 이러한 파일에서 허가되지 않은 매개 변수를 변경하여 문제가 발생하 는 경우 Device Server를 다시 설치하지 않는 이상 문제가 해결되지 않을 수 있습니다. eserver.properties \conf\eserver.properties에서 다음 매개 변수를 변경할 수 있습니다. 파일 앞부분에서 주석의 변경 사항을 추적하는 것이 좋습니다. 그러면 업그레이드할 때 변경 사항이 새 파일로 쉽게 옮겨가도록 할 수 있습니다. eserver.properties 매개 변수 기본값 eserver.default.
eserver.properties 매개 변수 기본값 eserver.ciphers 설명 암호화 방법의 목록을 설정합니다. 각 암 호화 방법은 쉼표로 구분해야 합니다. 이 목록을 비워두는 경우 소켓은 Tomcat에서 지원하는 암호화 중 사용 가능한 모든 암 호화 방법을 허용합니다. 아래 예에서 주석 처리를 제거하고 암호화 방법 목록을 설정합니다. 각 암호화 방법 은 쉼표로 구분합니다. 유효한 암호화 그 룹 이름 목록을 보려면 Sun의 JSSE 참조 안내서를 참조하십시오. #eserver.ciphers= SSL_RSA_WITH_RC4_128_MD5,SSL_RS A_WITH_RC4_128_SHA,SSL_DHE_RSA _WITH_3DES_EDE_CBC_SHA run-service.conf \conf\run-service.conf에서 다음 매개 변수 중 일부를 변경할 수 있습니다. 이러한 매개 변수는 설치 시 자동으로 설정됩니다.
run-service.conf 매개 변수 wrapper.ntservice.interactive 기본값 설명 false true로 설정하면 Service가 데스크톱과 상 호 작용할 수 있습니다.
구성 가이드
4 Security Server 구성 이 장에서는 Security Server를 사용자 환경에 맞게 조정하기 위해 변경할 수 있는 매개 변수에 대해 설명합니다. 이러한 파일에 나와 있는 매개 변수만 변경할 수 있습니다. 이러한 파일에서 태그를 포함한 다른 데이터를 변경할 경 우 시스템 손상 및 오류가 발생할 수 있습니다. 이러한 파일에서 허가되지 않은 매개 변수를 변경하여 문제가 발생하 는 경우 Security Server를 다시 설치하지 않는 이상 문제가 해결되지 않을 수 있습니다. context.properties \webapps\xapi\WEB-INF\context.properties에서 다음 매개 변수를 변경할 수 있습니 다. 파일 앞부분에서 주석의 변경 사항을 추적하는 것이 좋습니다. 그러면 업그레이드할 때 변경 사항이 새 파일로 쉽게 옮겨가도록 할 수 있습니다. context.properties 매개 변수 default.gatekeeper.
구성 가이드
5 암호화 기능 구성 이 섹션에서는 암호화 기능을 독립적으로 관리하는 방법에 대해 설명합니다. 임시 파일 삭제 방지 기본적으로 c:\windows\temp directory에 있는 모든 임시 파일은 DDPE 설치/업그레이드 중 자동으로 삭제됩니다. 임 시 파일을 삭제하면 초기 암호화가 빠르게 수행됩니다. 임시 파일은 초기 암호화 스윕 전에 삭제됩니다. 하지만 조직에서 \temp 디렉토리 내에 파일 구조를 유지해야 하는 타사 응용 프로그램을 사용하는 경우에는 이와 같 이 삭제되지 않도록 해야 합니다. 임시 파일이 삭제되지 않도록 하려면 다음과 같이 레지스트리 설정을 만들거나 수정합니다. HKLM\SOFTWARE\CREDANT\CMGShield DeleteTempFiles (REG_DWORD)=0 임시 파일을 삭제하지 않으면 초기 암호화 시간이 늘어납니다. 오버레이 아이콘 숨기기 기본적으로 설치 중 모든 암호화 오버레이 아이콘이 표시되도록 설정됩니다.
슬롯 등록은 Shield 설치 프로그램 또는 Shield 워크스테이션을 통해 사용하도록 설정 및 구성됩니다. VPN을 통해 등록해야 하는 사용자의 경우 VPN 클라이언트 소프트웨어가 네트워크 연결을 설정할 수 있도록 Shield 에 대한 슬롯 등록 구성으로 초기 등록을 충분한 시간 동안 지연해야 할 수 있습니다. 주의: 슬롯 등록을 구성할 경우 반드시 고객 지원 센터의 도움을 받으십시오. 시간 슬롯을 잘못 구성할 경우 많은 클라이언트가 동 시에 등록을 시도하여 심각한 성능 문제가 발생할 수 있습니다. 다음 레지스트리 키를 사용하여 슬롯 등록을 구성합니다. 이러한 레지스트리 키를 변경할 경우 업데이트를 적용하려 면 Shield 워크스테이션을 다시 시작해야 합니다. • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation • 이 설정으로 슬롯 등록 기능을 사용하거나 사용하지 않도록 지정할 수 있습니다.
Shield 버전에 따라 레지스트리 설정이 자동으로 사라집니다. 또는 폴링이 완료된 후 1에서 0으로 변경합니다. 관리자의 권한 설정에 따라, 이 레지스트리 설정을 만들려면 권한을 변경해야 할 수 있습니다. 새 DWORD를 만드는 데 문제가 발생할 경우 다음 단계에 따라 권한을 변경하십시오. 1 Windows 레지스트리에서 HKLM\SOFTWARE\Credant\CMGShield\Notify로 이동합니다. 2 마우스 오른쪽 버튼으로 알림 > 권한을 클릭합니다. 3 알림 권한 창이 열리면 모든 권한 확인란을 선택합니다. 4 확인을 클릭합니다. 이제 새 레지스트리 설정을 만들 수 있습니다. 인벤토리 옵션 Shield에서 Server에 최적화된 인벤토리를 전송하거나, 전체 인벤토리를 Server로 전송하거나, 등록된 모든 사용자의 전체 인벤토리를 Server로 전송할 수 있도록 허용하려면 다음 레지스트리 설정을 사용합니다.
구성 가이드
6 Kerberos 인증을 위한 요소 구성 이 섹션에서는 Kerberos 인증에 사용하기 위한 요소를 구성하는 방법에 대해 설명합니다. Kerberos 인증을 위한 요소 구성 참고: Kerberos 인증을 사용하려는 경우 Key Server 구성 요소가 포함된 서버가 영향을 받는 도메인에 포함되어야 합니다. Key Server는 소켓에서 연결할 클라이언트를 수신 대기하는 Service입니다. 클라이언트가 연결되면 보안 연결이 협상, 인 증되고 Kerberos API를 사용하여 암호화됩니다(보안 연결을 협상할 수 없는 경우 클라이언트 연결이 끊어집니다). 그런 다음 Key Server가 Device Server와 함께 클라이언트를 실행하는 사용자가 키에 액세스할 수 있는지 여부를 확인 합니다. 이 액세스 권한은 개별 도메인을 통해 Remote Management Console에 부여됩니다. Windows Service 지침 1 Windows Service 패널로 이동합니다(시작 > 실행...
4 으로 가서 "epw"를 "password"로 변경합니다. 그런 다음 "<암호 의 암호화된 값>"을 3단계의 사용자 암호로 변경합니다. 이 암호는 Server가 다시 시작할 때 다시 암호화됩니다. 3단계에서 "superadmin"을 사용할 경우 superadmin 암호가 "changeit"이 아니면 여기에서 변경해야 합니다. 5 변경 사항을 저장하고 파일을 닫습니다. 예시 구성 파일: [Server가 수신 대기할 TCP 포트. 기본값은 8050입니다. 필요하면 변경합 니다.] [Server가 허용할 활성 소켓 연결 수.
Remote Management Console 지침 1 필요할 경우 Remote Management Console에 로그인합니다. 2 도메인을 클릭하고 세부 정보 아이콘을 클릭합니다. 3 Key Server를 클릭합니다. 4 Key Server 계정 목록에서 관리자 활동을 수행할 사용자를 추가합니다. 형식은 도메인\사용자 이름입니다. 계정 추 가를 클릭합니다. 5 왼쪽 메뉴에서 사용자를 클릭합니다. 검색 상자에 4단계에서 추가한 사용자 이름을 입력하여 검색합니다. 검색을 클릭합니다. 6 올바른 사용자를 찾았으면 세부 정보 아이콘을 클릭합니다. 7 Forensic 관리자를 선택합니다. 업데이트를 클릭합니다. Kerberos 인증을 위한 요소가 구성되었습니다.
구성 가이드
7 Forensic 관리자 역할 할당 기본적으로 Forensic 인증은 백 엔드 서버에서 사용하고 프런트 엔드 서버에서는 사용하지 않도록 설정되어 있습니다. 이러한 설정은 Device Server 및 Security Server를 설치할 때 적절히 지정됩니다. Remote Management Console 지침 1 필요할 경우 Remote Management Console에 로그인합니다. 2 왼쪽 창에서 관리자 > 사용자를 클릭합니다. 3 사용자 검색 페이지에서 Forensic 관리자 역할을 부여하려는 사용자의 이름을 입력하고 검색을 클릭합니다(이 사용 자의 자격 증명은 Forensic 모드에서 CMGAd, CMGAu, CMGAlu 유틸리티 및 Decryption Agent를 실행하는 동안 제 공됨). 4 사용자 검색 결과 페이지에서 세부 정보 아이콘을 클릭합니다. 5 다음의 사용자 세부 정보: <사용자 이름> 페이지에서 관리자를 선택합니다.
구성 가이드
8 Cron 식 이 섹션에서는 Cron 식의 형식과 특수 문자를 사용하는 방법에 대해 설명합니다. Cron 식 소개 Cron은 오랫동안 사용되어 왔으며 강력하고 입증된 예약 기능을 제공하는 UNIX 도구입니다. CronTrigger 클래스는 Cron의 예약 기능을 기반으로 합니다. CronTrigger는 발생 일정을 만들 수 있는 Cron 식을 사용합니다. 예를 들어, 매주 월요일부터 금요일까지 오전 8시에 발생하거나 매월 마지막 금요일 오전 1시 30분에 발생하도록 예약할 수 있습니다. Cron 식은 강력하지만 혼동하기 쉽습니다. 이 문서는 Cron 식 작성 시 까다로운 부분에 대해 설명하고 외부 도움을 구 하기 전 참조할 수 있는 리소스를 제공합니다. Cron 식의 형식 Cron 식은 공백으로 구분된 6개의 필수 필드와 1개의 옵션 필드로 구성되어 있습니다. 필드에는 허용된 모든 값과 해 당 필드에 허용되는 특수 문자의 다양한 조합을 포함할 수 있습니다.
• / 문자는 증분을 지정하는 데 사용합니다. 초 필드의 0/15는 0, 15, 30, 45를 의미합니다. 초 필드의 5/15는 5, 20, 35, 50을 의미합니다. / 앞에 *을 지정할 경우 시작 값으로 0을 지정하는 것과 동일합니다. 일 필드의 1/3은 1일부터 시작하여 3일마다 발생함을 의미합니다. 기본적으로 식의 각 필드에 켜거나 끌 수 있는 숫자 집합이 있습니다. 초와 분의 숫자 범위는 0 ~ 59이며, 시는 0 ~ 23, 일은 0 ~ 31, 월은 1 ~ 12입니다. / 문자를 사용하면 지정된 집합에서 '몇 번째'마다가 적용됩니다. 따라서 월 필드의 7/6의 경우 7월에만 켜지며 6개월마다를 의미하지 않습니다. • L 문자는 일 및 요일 필드에 허용됩니다. 이 문자는 마지막을 의미하지만 두 필드에 다른 의미로 사용됩니다. 일 필드의 L 값은 월의 마지막 날을 의미합니다(1월은 31일, 윤년이 아닌 해의 2월의 경우 28일). 요일 필드에 단독으로 사용할 경우 7 또는 SAT를 의미합니다.
예 식 의미 0 0 12 * * ? 매일 오후 12시(정오)에 발생 0 15 10 ? * * 매일 오전 10시 15분에 발생 0 15 10 * * ? 매일 오전 10시 15분에 발생 0 15 10 * * ? * 매일 오전 10시 15분에 발생 0 15 10 * * ? 2005 2005년 동안 매일 오전 10시 15분에 발생 0 * 14 * * ? 매일 오후 2시부터 오후 2시 59분까지 1분마다 발생 0 0/5 14 * * ? 매일 오후 2시부터 오후 2시 55분까지 5분마다 발생 0 0/5 14,18 * * ? 0 0-5 14 * * ? 0 10,44 14 ? 3 WED 0 15 10 ? * MON-FRI 매일 오후 2시부터 오후 2시 55분까지 5분마다 발생하며 매일 오 후 6시부터 오후 6시 55분까지 5분마다 발생 매일 오후 2시부터 오후 2시 05분까지 1분마다 발생 3월 동안 수요일마다 오후 2시 10분과 오후 2시 44분에 발생 월요일, 화요일, 수요일, 목요일
구성 가이드
9 Keytool을 이용한 자체 서명 인증서 생성 및 CSR(Certificate Signing Request) 생성 참고: 이 섹션에서는 Java 기반 구성 요소의 자체 서명 인증서를 만드는 단계에 대해 설명합니다. 이 프로세스는 .NET 기반 구성 요 소의 자체 서명 인증서를 만드는 데 사용할 수 없습니다. 자체 서명 인증서는 개발 및 테스팅 환경에서만 사용하는 것이 좋습니다. 조직에서 SSL 서버 인증서를 요구하거나 다른 이유로 인증서를 만들어야 할 경우 이 섹션에서 Keytool을 이용한 Java 키 저장소를 만드는 방법을 참조할 수 있습니다. Keytool은 VeriSign® 또는 Entrust®와 같은 CSR(Certificate Signing Request)의 형식으로 CA(인증 기관)에 전달해야 하는 개인 키를 만듭니다. 그런 다음 CA가 이 CSR을 기준으로 서명하는 서버 인증서를 만들고 서버 인증서가 서명 기관 인증서와 함께 파일로 다운로드됩니다.
• 조직 부서: 적절한 값을 입력합니다(예: 보안). • 조직: 적절한 값을 입력합니다(예: Dell). • 시 또는 지역: 적절한 값을 입력합니다(예: Austin). • 주 또는 도: 주 또는 도의 전체 이름을 입력합니다(예: Texas). • 2문자로 이루어진 국가 코드: 미국 = US 캐나다 = CA 스위스 = CH 독일 = DE 스페인 = ES 프랑스 = FR 영국 = GB 아일랜드 = IE 이탈리아 = IT 네덜란드 = NL • 정보가 정확한지 확인을 요청하는 메시지가 표시됩니다. 정확할 경우 예를 입력합니다. 정확하지 않을 경우 아니요를 입력합니다. Keytool에 이전에 입력된 각 값이 표시됩니다. Enter를 클릭해서 값 을 승인하거나 값을 변경하고 Enter를 클릭합니다. • 별칭 키 암호: 여기에서 다른 암호를 입력하지 않을 경우 이 암호에 기본적으로 키 저장소 암호가 적용됩니다.
그림 9-1. 예제 .CSR 파일 2 조직이 인증 기관에서 SSL 서버 인증서를 취득하는 데 사용하는 절차를 따르십시오. 서명할 의 내 용을 전송합니다. 참고: 유효한 인증서를 요청하는 방법은 여러 가지가 있습니다. 인증서 요청 방법 예에 예시 방법이 나와 있습니다. 3 서명된 인증서를 받으면 파일에 저장하십시오. 4 가져오기 프로세스 중 오류가 발생할 경우에 대비하여 이 인증서를 백업해 두는 것이 좋습니다. 이와 같이 백업해 두면 프로세스를 다시 시작하지 않아도 됩니다. 루트 인증서 가져오기 참고: 루트 인증서 인증 기관이 Verisign(Verisign Test 제외)인 경우 다음 절차로 건너 뛰어 서명된 인증서를 가져오십시오. 인증 기관 루트 인증서는 서명된 인증서의 유효성을 검사합니다. 1 다음 중 하나를 수행하십시오. • 인증 기관 루트 인증서를 다운로드하고 파일에 저장합니다. • 엔터프라이즈 디렉토리 서버 루트 인증서를 얻습니다.
2 인증서 요청을 선택하고 다음을 클릭합니다. 그림 9-2. Microsoft 인증서 서비스 3 고급 요청을 선택하고 다음을 클릭합니다. 그림 9-3.
4 Base64로 인코딩된 PKCS #10 파일을 사용하여 인증서 요청을 제출하는 옵션을 선택하고 다음 >을 클릭합니다. 그림 9-4. 고급 인증서 요청 5 텍스트 상자에 CSR 요청의 내용을 붙여 넣습니다. Web Server의 인증서 템플릿을 선택하고 제출 >을 클릭합니다. 그림 9-5.
6 인증서를 저장합니다. DER 인코딩을 선택하고 CA 인증서 다운로드를 클릭합니다. 그림 9-6. CA 인증서 다운로드 7 인증서를 저장합니다. DER 인코딩을 선택하고 CA 인증서 다운로드 경로를 클릭합니다. 그림 9-7.
8 변환된 서명 기관 인증서를 가져옵니다. DOS 창으로 돌아갑니다. 유형: keytool -import -trustcacerts -file -keystore cacerts 9 서명 기관 인증서를 가져왔으므로 서버 인증서를 가져올 수 있습니다(신뢰 체인을 구축할 수 있음). 유형: keytool -import -alias dell -file -keystore cacerts 자체 서명 인증서의 별칭을 사용하여 CSR 요청과 서버 인증서를 연결합니다. 10 cacert 파일 목록에 서버 인증서의 인증서 체인 길이가 2라는 정보가 표시됩니다. 즉, 자체 서명된 인증서가 아님을 나타냅니다. 유형: keytool -list -v -keystore cacerts 체인에서 두 번째 인증서의 인증서 지문은 가져온 서명 기관 인증서(목록의 서버 인증서 아래에도 나열됨)입니다. 서버 인증서와 서명 기관 인증서를 가져왔습니다.
구성 가이드
0XXXXXA0X