ssl.client.props 클라이언트 구성 파일
ssl.client.props 파일을 사용하여 클라이언트용 SSL(Secure Sockets Layer)을 구성하십시오. WebSphere® Application Server의 이전 릴리스에서는 SSL 특성이 ssl.client.props 또는 soap.client.props 파일에 지정되었거나 시스템 특성으로 지정되었습니다. WebSphere Application Server 는 구성을 통합하여 서버측 구성 관리와 유사한 방식으로 보안을 관리할 수 있도록 합니다. 다중 SSL 구성으로 ssl.client.props 파일을 구성할 수 있습니다.
클라이언트에 대한 SSL 구성 설정
클라이언트 런타임은 WebSphere Application Server ssl.client.props 구성에 종속됩니다.
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
명령행에서 setupCmdLine.bat 스크립트를 사용하여 com.ibm.SSL.ConfigURL 시스템 특성입니다.
com.ibm.SSL.ConfigURL ssl.client.props 파일을 가리키는 URL 참조합니다. 다음을 사용하는 스크립트의 명령행에서 CLIENTSSL 변수를 참조할 수 있습니다.setupCmdLine.bat파일로 내보내집니다.
com.ibm.SSL.ConfigURL
시스템 특성을 지정하는 경우 SSL을 사용하는 모든 프로토콜에 대해 SSL을 구성할 수 있습니다. ssl.client.props 파일에서
참조되는 SSL 구성에도 참조할 수 있는 별명이 있습니다. sas.client.props 파일의 다음 샘플 코드에서
모든 SSL 특성은 ssl.client.props 파일의 SSL 구성을 가리키는 특성으로 대체됩니다.
com.ibm.ssl.alias=DefaultSSLSettings다음 샘플 코드에서는 com.ibm.SSL.ConfigURL 특성과 비슷한 soap.client.props
파일의 특성을 표시합니다. 이 특성은
클라이언트 측에서 다른 SSL 구성을 참조합니다.
com.ibm.ssl.alias=DefaultSSLSettings팁: SSL 특성에 대한 지원은 여전히 ssl.client.props 및 soap.client.props 파일에 지정되어 있습니다. 그러나 SSL 구성을 ssl.client.props 파일로 이동하는 것을 고려해 보십시오.
이 파일은 클라이언트 SSL에 대한 새 구성 모델이기 때문입니다.
ssl.client.props 파일의 특성
이 섹션에서는 기본 ssl.client.props 파일 특성을 파일 내 섹션별로 세부 설명합니다. javax.net.ssl 시스템 특성을 지정하는 경우 이러한 특성이 ssl.client.props 파일의 설정을 대체함을 알아야 합니다.글로벌 특성:
글로벌 SSL 특성은 FIPS (Federal Information Processing Standard) 사용, 기본 SSL 별명, 키 및 신뢰 저장소 경로의 루트 위치를 지정하기 위한 user.root 특성 등을 포함하는 프로세스 특정 특성입니다.
| 특성 | 기본값 | 설명 |
|---|---|---|
| com.ibm.ssl.defaultAlias | DefaultSSLSettings | JSSEHelper API를 호출하여 SSL 구성을 검색하는 프로토콜에서 별명이 지정되지 않을 때마다 사용되는 기본 별명을 지정합니다. 이 특성은 사용할 SSL 구성을 판별하기 위한 클라이언트 측의 최종 조정자입니다. |
| com.ibm.ssl.validationEnabled | 아니오 | true로 설정되는 경우 이 특성은 로드되는 각 SSL 구성을 유효성 검증합니다. 이 특성은
디버그용으로만 사용하여 프로덕션 중 불필요한 성능 오버헤드를 피합니다. |
| com.ibm.ssl.performURLHostNameVerification | 아니오 | true로 설정되는 경우 이 특성은
URL 호스트 이름 확인을 실행합니다. 대상 서버에 HTTP URL이 연결되면
서버 인증서의 공통 이름(CN)이 대상 호스트 이름과 일치해야 합니다. 일치하지 않는 경우 호스트 이름 확인자가
연결을 거부합니다. 기본값은
false로, 이 검사를 생략합니다. 글로벌 특성이므로 기본 호스트 이름
확인자를 설정합니다. javax.net.ssl.HttpsURLConnection 오브젝트는 자체 HostnameVerifier 인스턴스로 setHostnameVerifier
메소드를 호출하여 해당 특정 인스턴스에 대한 호스트 이름 확인을 사용 설정하도록 선택할 수 있습니다.주의 : 이 속성은 SSL 채널에는 적용되지 않습니다.
|
|
예 | 이 속성이 true로 설정되면, 클라이언트가 시작하는 모든 SSL 연결에서 대상 서버에 대한 호스트 이름과 IP 주소 확인이 강제 적용됩니다. WebSphere 소켓 팩토리는 클라이언트의 URL 에 지정된 호스트 이름 또는 IP 주소가 서버가 제시하는 SSL 인증서의 SAN(Subject Alternative Name)과 일치하는지 확인합니다. SAN에 관련 호스트 이름이 포함되어 있지 않으면, 인증서의 공통 이름(CN)과 호스트 이름이 일치하는지 확인합니다. 일치하지 않는 부분이 발견되면 SSL 연결이 거부됩니다. 이 속성은 전역 수준과 별칭 수준에서 구성할 수 있습니다. |
|
빈 문자열 | 이 속성에 대해 쉼표로 구분된 호스트 이름 또는 IP 주소 또는 둘 다의 목록을 지정할 수 있습니다. 이렇게 하면, com.ibm.ssl.verifyHostname 속성이 이 속성은 전역 수준과 별칭 수준에서 구성할 수 있습니다. 문제 발생 방지 : 다음 항목에는 이 기능이 작동하지 않습니다
|
| com.ibm.security.useFIPS | 아니오 | true로 설정되면 FIPS 준수 알고리즘이 SSL및 기타 JCE (Java™ Cryptography Extension) 특정 애플리케이션에 사용됩니다. 이 특성은 일반적으로 운영 환경에서 요구되지 않는 한 사용으로 설정되지 않습니다. |
| com.ibm.websphere.security.FIPSLevel | 아니오 | 사용할 보안 표준 레벨을 지정합니다. 올바른 값에는 140-2, SP800-131 및 상태 전이가 있습니다. suite B를 사용하려면 com.ibm.security.useFIPS 특성을 true로 설정해야 합니다. 이 특성은 글로벌 특성 섹션의 ssl.client.props 파일에 입력해야 합니다. 가급적이면 com.ibm.security.useFIPS 뒤에 입력하는 것이 좋습니다. |
| com.ibm.websphere.security.suiteB | 아니오 | 사용 설정할 Suite B 보안 표준의 레벨을 지정합니다. 올바른 값에는 128 및 192가 있습니다. com.ibm.security.useFIPS 특성을 사용으로 설정하려면 이 특성을 true로 설정해야
합니다. 이 특성은 글로벌 특성 섹션의 ssl.client.props 파일에 입력해야 합니다. 가급적이면 com.ibm.security.useFIPS 뒤에 입력하는 것이 좋습니다. |
![8.5.5.27 이상]](../images/ng_v85527.svg)
SSL 채널의 경우, ' com.ibm.ssl.verifyHostname ' 속성을 사용하십시오.인증서 작성 특성
인증서 작성 특성을 사용하여 인증서 주요 속성에 대해 기본 자체 서명 인증서 값을 지정합니다. 키 저장소에 저장되는 식별 이름(DN), 만기 날짜, 키 크기 및 별명을 정의할 수 있습니다.| 특성 | 기본값 | 설명 |
|---|---|---|
| com.ibm.ssl.defaultCertReqAlias | default_alias | 이 특성은 키 저장소에서 작성되는
자체 서명 인증서를 참조하기 위해 사용할 기본 별명을 지정합니다. 해당 이름의 별명이 이미 존재하는 경우
기본 별명에는 _#가 추가되며 번호 부호(#)는 1부터
시작되어 고유 별명을 찾을 때까지 증분되는 정수입니다. |
| com.ibm.ssl.defaultCertReqSubjectDN | cn=$ {hostname}, o=IBM, c=US | 이 특성은 인증서 작성 시 설정한 특성 식별 이름(DN)을 사용합니다. ${hostname} 변수는 호스트가 상주하는 호스트 이름으로 확장됩니다. X.509 인증서에서 지정되는 올바르게 구성된 DN을 사용할 수 있습니다. |
| com.ibm.ssl.defaultCertReqDays | 365 | 이 특성은 인증서의 유효성 기간을 지정하고 그 값은 최소 1일에서
최대로는 인증서를 설정할 수 있는 최대 일 수(약 15년)까지 될 수 있습니다. 참고: com.ibm.ssl.defaultCertReqDays 는 프로파일 작성 및 클라이언트 키 저장소 작성을 위한 것입니다. 갱신된 인증서는 원본과 완전히 동일하게
작성됩니다. 즉, 원래 인증서가 1년용이면 갱신된 인증서도
1년용입니다.
|
| com.ibm.ssl.defaultCertReqKeySize | 1024 | 이 특성은 기본 키 크기입니다. 유효한 값은 설치된 JVM(Java Virtual Machine) 보안 정책 파일에 따라 다릅니다. 기본적으로 제품 JVM은 키 크기를 1024로 제한하는 내보내기 정책 파일과 함께 제공됩니다. 2048과 같은 큰 키 크기를 얻기 위해 웹 사이트에서 제한 정책 파일을 다운로드할 수 있습니다. |
인증서 폐기 확인
인증서 폐기 확인을 사용으로 설정하기 위해 OCSP(Online Certificate Status Protocol) 특성의 조합을 설정할 수 있습니다. 이러한 특성은 com.ibm.ssl.trustManager 특성을IbmPKIX로 설정하지 않으면 사용되지 않습니다. 또한 클라이언트에서 폐기 확인을 성공적으로 처리하기 위해 서명자 교환 프롬프트를 꺼야 합니다. 서명자 교환 프롬프트를 끄려면
com.ibm.ssl.enableSignerExchangePrompt 특성을 false로 변경하십시오.SSL 구성 특성
SSL 구성 특성 섹션을 사용하여 다중 SSL 구성을 설정합니다. 새 SSL 구성 스펙에 대해 com.ibm.ssl.alias 특성을 설정하십시오. 구문 분석기는 이 별명 이름으로 새 SSL 구성을 시작하기 때문입니다. SSL 구성은 기본 별명 특성을 통해 sas.client.props 또는 soap.client.props와 같은 다른 파일에서 별명 특성을 사용하여 참조됩니다. 다음 테이블에서 지정되는 특성을 통해 다른 SSL 오브젝트 사이에서 javax.net.ssl.SSLContext를 작성할 수 있습니다.| 특성 | 기본값 | 설명 |
|---|---|---|
| com.ibm.ssl.alias | DefaultSSLSettings | 이 특성은 이 SSL 구성의 이름이고 SSL 구성을 참조하므로
SSL 구성의 첫 번째 특성이어야 합니다. 이 특성이 구성의 다른 위치에서 참조된 후에 이 특성을 변경하면
참조를 찾을 수 없을 때마다 런타임이 com.ibm.ssl.defaultAlias 특성으로 기본값 설정됩니다. 더 이상 유효하지 않은 SSL 참조를 사용하여 애플리케이션을 시작하는 경우 오류 trust file is null 또는 key file is null이 표시될 수 있습니다. |
| com.ibm.ssl.protocol | SSL_TLSv2 | 이 특성은 이 SSL 구성에 사용되는 SSL 핸드쉐이크 프로토콜입니다. 이 특성은
먼저 TLS(Transport Layer Security)를 시도하지만 SSLv3 및 TLSv1을 포함한 원격 핸드쉐이크 프로토콜을 허용합니다. 이 특성의 유효값은 다음과 같습니다.
|
| com.ibm.ssl.securityLevel | STRONG | 이 특성은 SSL 핸드쉐이크에 사용되는 암호 그룹을 지정합니다. 일반적인 선택은
STRONG이며 이는 128비트 이상 암호를 지정합니다. MEDIUM을 선택하면 40비트 암호를 제공합니다. WEAK 선택은
암호화를 수행하지 않지만 데이터 무결성을 위한 서명을 수행하는 암호를 제공합니다. 자체 암호 목록 선택을 지정하는 경우 특성
com.ibm.ssl.enabledCipherSuites의 주석을 해제하십시오. javax.net.ssl 시스템 특성을 사용하면 이 값은 항상 HIGH가 됩니다. |
| com.ibm.ssl.trustManager | IbmX509 | 이 특성은 대상 서버가 전송한 인증서를 유효성 검증하는 데
사용해야 하는 기본 신뢰 관리자를 지정합니다. 이 신뢰 관리자는 인증서 폐기 목록(CRL) 확인을
수행하지 않습니다. 인증서에서 CRL 분배 목록을 사용하는 CRL 확인에 대해 이 값을
IbmPKIX로 변경하도록 선택할 수 있으며 이는 CRL 확인을 수행하는 표준 방식입니다. 사용자 정의 CRL 확인을 수행하려는 경우
사용자 정의 신뢰 관리자를 구현하고 com.ibm.ssl.customTrustManagers
특성에서 신뢰 관리자를 지정해야 합니다. IbmPKIX 옵션은 성능에 영향을 미칠 수 있습니다. 이 옵션에는
신뢰 유효성 검증을 위한 IBMCertPath가 필요하기 때문입니다. CRL 확인이 필요하지 않은 경우
IbmX509를 사용하십시오. OCSP(Online Certificate
Status Protocol) 특성을 사용하는 경우 이 특성 값을 IbmPKIX로 설정하십시오. |
| com.ibm.ssl.keyManager | IbmX509 | 이 특성은 지정된 키 저장소에서 클라이언트 별명을 선택하기 위해 사용할 기본 키 관리자를 지정합니다. 이 키 관리자는 com.ibm.ssl.keyStoreClientAlias 특성을 사용하여 키 저장소 별명을 지정합니다. 이 특성을 지정하지 않으면 JSSE(Java Secure Socket Extension)에서 선택하도록 위임됩니다. JSSE는 일반적으로 처음 찾는 별명을 선택합니다. |
| com.ibm.ssl.contextProvider | IBMJSSE2 | 이 특성은 SSL 컨텍스트 작성을 위한 JSSE 제공자 선택에 사용됩니다. JVM(Java Virtual Machine)을 사용하는 경우 기본값을 IBMJSSE2로 설정하는 것이 좋습니다. 클라이언트 플러그인은 Sun JVM을 사용할 때 SunJSSE 제공자를 사용할 수 있습니다. |
| com.ibm.ssl.enableSignerExchangePrompt | 예 | 이 특성은 서명자가 클라이언트 신뢰 저장소에 없는 경우
서명자 교환 프롬프트를 표시할지 여부를 판별합니다. 프롬프트는 WebSphere Application Server 가 서명자를 신뢰할지 여부를 결정할 수 있도록 원격 인증서에 대한 정보를 표시합니다. 인증 서명의
유효성을 검증하는 작업은 매우 중요합니다. 이 서명은
인증서가 원래 서버 인증서에서 수정되지 않았음을 보장할 수 있는 유일하게 신뢰 가능한 정보입니다. 자동화 시나리오에서
이 특성을 사용 안함으로 설정하여 SSL 핸드쉐이크 예외를 피하십시오. SSL 서명자 교환을 설정하는 retrieveSigners 스크립트를 실행하여
클라이언트를 실행하기 전에 서버에서 서명자를 다운로드하십시오. OCSP(Online Certificate
Status Protocol) 특성을 사용하는 경우 이 특성 값을 false로 설정하십시오. |
| com.ibm.ssl.keyStoreClientAlias | 기본값 | 이 특성은 대상이 클라이언트 인증을 요청하지 않는 경우 지정된 키 저장소에서 별명을 참조하기 위해 사용됩니다. WebSphere Application Server 가 SSL 구성에 대해 자체 서명된 인증서를 작성할 때 이 특성은 별명을 판별하고 글로벌 com.ibm.ssl.defaultCertReqAlias 특성을 대체합니다. |
| com.ibm.ssl.customTrustManagers | 기본적으로 주석 처리됨 | 이 특성을 통해 쉼표로 구분되는 하나 이상의 사용자 정의 신뢰 관리자를 지정할 수 있습니다. 이러한 신뢰 관리자의 양식은 algorithm|provider 또는 classname일 수 있습니다. 예를 들어, IbmX509|IBMJSSE2는 algorithm|provider 형식이고
com.acme.myCustomTrustManager 인터페이스는 classname 형식입니다. 이 클래스는 javax.net.ssl.X509TrustManager 인터페이스를 구현해야 합니다. 선택적으로,
클래스는 com.ibm.wsspi.ssl.TrustManagerExtendedInfo 인터페이스를 구현할 수 있습니다. 이러한 신뢰 관리자는 com.ibm.ssl.trustManager 인터페이스가 지정하는 기본 신뢰 관리자에 추가하여 실행됩니다. 기본 신뢰 관리자는
이러한 신뢰 관리자로 바뀌지 않습니다. |
| com.ibm.ssl.customKeyManager | 기본적으로 주석 처리됨 | 이 특성을 통해 하나(단 하나)의 사용자 정의 키 관리자를
가질 수 있습니다. 키 관리자는 com.ibm.ssl.keyManager
특성에서 지정되는 기본 키 관리자를 대체합니다. 키 관리자의 양식은
algorithm|provider 또는
classname입니다. com.ibm.ssl.customTrustManagers 특성에 대한 형식 예제를 참조하십시오. 클래스는 javax.net.ssl.X509KeyManager 인터페이스를 구현해야 합니다. 선택적으로,
클래스는 com.ibm.wsspi.ssl.KeyManagerExtendedInfo 인터페이스를 구현할 수 있습니다. 이 키 관리자는 별명 선택을 담당합니다. |
| com.ibm.ssl.dynamicSelectionInfo | 기본적으로 주석 처리됨 | 이 특성을 사용하여 SSL 구성과 동적으로
연관할 수 있습니다. 동적 연관에 대한 구문은 outbound_protocol, target_host 또는 target_port입니다. 다중 스펙에서는
세로 막대( | )를 구분 기호로 사용하십시오. 이러한 값은 별표(*)로 대체하여
와일드카드 값을 표시할 수 있습니다. 유효한 outbound_protocol 값에는 IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ,
BUS_TO_BUS 및 ADMIN_SOAP이 있습니다. 동적 선택 기준이 SSL 구성을 선택하게 하려면
기본 특성을 주석 해제하고 연결 정보를 추가하십시오. 예를 들어, 다음을 한 행에 추가하십시오. |
| com.ibm.ssl.enabledCipherSuites | 기본적으로 주석 처리됨 | 이 특성을 통해 사용자 정의 암호 스위트 목록을 지정하고 com.ibm.ssl.securityLevel 특성에서 그룹 선택을 대체할 수 있습니다. 유효한 암호 목록은 적용되는 제공자 및 JVM 정책 파일에 따라 다릅니다. Cipher suite의 경우 공백을 분리문자로 사용하십시오. |
| com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | 이 특성은 키 저장소 구성 이름을 참조합니다. 키 저장소를 이미 정의하지 않은 경우 나머지 키 저장소 특성은 이 특성을 따라야 합니다. 키 저장소를 정의한 후 이전에 지정된 키 저장소 구성을 참조하도록 이 특성을 지정할 수 있습니다. ssl.client.props 파일에서 새 키 저장소 구성은 고유 이름을 가집니다. |
| com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | 이 특성은 truststore 구성 이름을 참조합니다. 신뢰 저장소를 이미 정의하지 않은 경우 나머지 신뢰 저장소 특성은 이 특성을 따라야 합니다. 신뢰 저장소를 정의한 후 이전에 지정된 신뢰 저장소 구성을 참조하도록 이 특성을 지정할 수 있습니다. ssl.client.props 파일에서 새 신뢰 저장소 구성은 고유 이름이 있어야 합니다. |
|
예 | 이 속성이 true로 설정되면, 클라이언트가 시작하는 모든 SSL 연결에서 대상 서버에 대한 호스트 이름과 IP 주소 확인이 강제 적용됩니다. WebSphere 소켓 팩토리는 클라이언트의 URL 에 지정된 호스트 이름 또는 IP 주소가 서버가 제시하는 SSL 인증서의 SAN(Subject Alternative Name)과 일치하는지 확인합니다. SAN에 관련 호스트 이름이 포함되어 있지 않으면, 인증서의 공통 이름(CN)과 호스트 이름이 일치하는지 확인합니다. 일치하지 않는 부분이 발견되면 SSL 연결이 거부됩니다. 이 속성은 전역 수준과 별칭 수준에서 구성할 수 있습니다. |
|
빈 문자열 | 이 속성에 대해 쉼표로 구분된 호스트 이름 또는 IP 주소 또는 둘 다의 목록을 지정할 수 있습니다. 이렇게 하면, com.ibm.ssl.verifyHostname 속성이 이 속성은 전역 수준과 별칭 수준에서 구성할 수 있습니다. 문제 발생 방지 : 다음 항목에는 이 기능이 작동하지 않습니다
|
![[8.5.5.20 이상]](../images/ng_v85520.svg)
TLSv1.3키 저장소 구성:
SSL 구성은 인증서의 위치 식별이 목적인 키 저장소 구성을 참조합니다. 인증서는 SSL 구성을 사용하는 클라이언트의 ID를 나타냅니다. 기타 SSL 구성 특성을 사용하여 키 저장소 구성을 지정할 수 있습니다. 그러나 com.ibm.ssl.keyStoreName 특성이 새 키 저장소 구성의 시작을 식별한 후에 ssl.client.props 파일의 이 섹션에서 키 저장소 구성을 지정하도록 권장됩니다. 키 저장소 구성을 완전히 정의한 후에는 com.ibm.ssl.keyStoreName 특성이 파일의 다른 위치에서 키 저장소 구성을 참조할 수 있습니다.| 특성 | 기본값 | 설명 |
|---|---|---|
| com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | 이 특성은 런타임에서 참조되는 키 저장소의 이름을 지정합니다. 다른 SSL 구성은ssl.client.props중복되지 않도록 하십시오. |
| com.ibm.ssl.keyStore | ${user.root}/etc/key.p12 | 이 특성은 com.ibm.ssl.keyStoreType
특성의 필수 형식으로 키 저장소의 위치를 지정합니다. 일반적으로, 이 특성은 키 저장소 파일 이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL(Dynamic Link Library) 파일을 참조합니다. 문제점 방지: 4764암호화 카드를 사용하는 경우, 클라이언트 구성의 키 저장소 파일 이름은 선택한 디렉토리 구조에서
4764.cfg 파일로 지정되어야 하며 해당 com.ibm.ssl.keyStoreType 은 PKCS11로 설정되어야 합니다. 4764.cfg 파일은 WebSphere Application Server와 함께 제공되지 않습니다. |
| com.ibm.ssl.keyStorePassword | WebAS | 이 특성은 프로파일이 작성될 때 프로파일의 셀 이름인 기본 비밀번호입니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 다음 이 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 인증서가 작성되는 경우 이 특성에서 비밀번호를 변경한 다음 이 비밀번호가 상주하는 위치에서 키 저장소를 삭제하십시오. 새 비밀번호를 사용하여 키 저장소를 다시 작성하려면 클라이언트를 다시 시작하십시오. 단, 키 저장소 이름이 다음으로 끝나는 경우에만 가능합니다. DefaultKeyStore 그리고 만약 fileBased 재산은true. 키 저장소와 신뢰 저장소를 동시에 삭제하여 둘 다 함께 다시 작성할 때 적절한 서명자 교환이 발생할 수 있도록 하십시오. |
| com.ibm.ssl.keyStoreType | PKCS12 | 이 특성은 키 저장소 유형입니다. 다른 애플리케이션과의 그 상호 운용성으로 인해 기본값 PKCS12를 사용합니다. 제공자 목록에서 JVM이 지원하는 유효한 키 저장소 유형으로 이 특성을 지정할 수 있습니다. |
| com.ibm.ssl.keyStoreProvider | IBMJCE | IBM® Java Cryptography Extension 특성은 키 저장소 유형의 키 저장소 제공자입니다. 이 제공자는 일반적으로 암호화 디바이스에 대해 IBMJCE 또는 IBMPKCS11Impl입니다. |
| com.ibm.ssl.keyStoreFileBased | 예 | 이 특성은 키 저장소가 파일 시스템에 있음을 의미하는 파일 기반 런타임을 나타냅니다. |
| com.ibm.ssl.keyStoreReadOnly | 아니오 | 이 특성은 런타임 중 키 저장소를 수정할 수 있는지 여부를 WebSphere Application Server 의 런타임에 표시합니다. |
신뢰 저장소 구성:
SSL 구성은 이 클라이언트에 의해 신뢰되는 서버의 서명자 인증서를 포함하는 것이 목적인 신뢰 저장소 구성을 참조합니다. 기타 SSL 구성 특성을 사용하여 이 특성을 지정할 수 있습니다. 그러나 com.ibm.ssl.trustStoreName 특성이 새 신뢰 저장소 구성의 시작을 식별한 후에 ssl.client.props 파일의 이 섹션에서 신뢰 저장소 구성을 지정하도록 권장됩니다. 신뢰 저장소 구성을 완전히 정의한 후에는 com.ibm.ssl.trustStoreName 특성이 파일의 다른 위치에서 구성을 참조할 수 있습니다.
신뢰 저장소는 신뢰 평가를 위해 JSSE가 사용하는 키 저장소입니다. 신뢰 저장소에는 핸드쉐이크 중에 원격 연결을 신뢰하기 위해 WebSphere Application Server 에 필요한 서명자가 포함되어 있습니다. com.ibm.ssl.trustStoreName=ClientDefaultKeyStore 특성을 구성하는 경우 키 저장소를 신뢰 저장소로 참조할 수 있습니다. 신뢰 저장소에 대한 추가 구성은 필요하지 않습니다. 서명자 교환을 통해 생성되는 모든 서명자를 런타임에 의해 호출되는 키 저장소로 가져오기 때문입니다.
| 특성 | 기본값 | 설명 |
|---|---|---|
| com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | 이 특성은 런타임에서 참조되는 신뢰 저장소의 이름을 지정합니다. 기타 SSL 구성은 중복을 피하기 위해 ssl.client.props 파일에서 더 아래 단계까지 참조할 수 있습니다. |
| com.ibm.ssl.trustStore | ${user.root}/etc/trust.p12 | 이 특성은
com.ibm.ssl.trustStoreType 특성에서 참조되는 신뢰 저장소 유형이 요구하는 형식으로 신뢰 저장소의 위치를 지정합니다. 일반적으로, 이 특성은 truststore 파일
이름을 참조합니다. 그러나 암호화 토큰 유형의 경우 이 특성은 DLL 파일을 참조합니다. 문제점 방지: 4764암호화 카드를 사용하는 경우, 클라이언트 구성의 키 저장소 파일 이름은 선택한 디렉토리 구조에서
4764.cfg 파일로 지정되어야 하며 해당 com.ibm.ssl.keyStoreType 은 PKCS11로 설정되어야 합니다. 4764.cfg 파일은 WebSphere Application Server와 함께 제공되지 않습니다. |
| com.ibm.ssl.trustStorePassword | WebAS | 이 특성은 프로파일이 작성될 때 프로파일의 셀 이름인 기본 비밀번호를 지정합니다. 이 비밀번호는 일반적으로 {xor} 알고리즘을 사용하여 인코드됩니다. iKeyman을 사용하여 키 저장소에서 비밀번호를 변경한 다음 이 특성에서 참조를 변경할 수 있습니다. 비밀번호를 모르는 경우 및 인증서가 작성된 경우 이 특성에서 비밀번호를 변경한 다음 이 비밀번호가 상주하는 위치에서 신뢰 저장소를 삭제하십시오. 새 비밀번호를 사용하여 신뢰 저장소를 다시 작성하려면 클라이언트를 다시 시작하십시오. 단, 키 저장소 이름이 다음으로 끝나는 경우에만 해당됩니다. DefaultTrustStore 그리고 fileBased 재산은true. 키 저장소와 신뢰 저장소를 동시에 삭제하여 둘 다 함께 다시 작성할 때 적절한 서명자 교환이 발생할 수 있도록 하는 것이 좋습니다. |
| com.ibm.ssl.trustStoreType | PKCS12 | 이 특성은 신뢰 저장소 유형입니다. 다른 애플리케이션과의 그 상호 운용성으로 인해 기본값 PKCS12 유형을 사용합니다. 제공자 목록에서 JVM 기능이 지원하는 유효한 신뢰 저장소 유형으로 이 특성을 지정할 수 있습니다. |
| com.ibm.ssl.trustStoreProvider | IBMJCE | 이 특성은 신뢰 저장소 유형에 대한 신뢰 저장소 제공자입니다. 이 제공자는 일반적으로 암호화 디바이스에 대해 IBMJCE 또는 IBMPKCS11Impl입니다. |
| com.ibm.ssl.trustStoreFileBased | 예 | 이 특성은 신뢰 저장소가 파일 시스템에 있음을 의미하는 파일 기반 런타임을 나타냅니다. |
| com.ibm.ssl.trustStoreReadOnly | 아니오 | 이 특성은 런타임 중 신뢰 저장소를 수정할 수 있는지 여부를 WebSphere Application Server 의 런타임에 표시합니다. |