MID 서버 통합 키 저장소
MID 서버 통합 키 스토어를 사용하면 MID 서버의 모든 제품이 공통 인증서와 키 쌍을 사용할 수 있습니다. 이 기능을 사용하면 애플리케이션에서 MID 서버가 인스턴스에 연결하는 데 사용하는 것과 동일한 보안 통신 채널을 MID 서버에 사용할 수 있습니다.
MID 서버가 시작되면 사용자 지정 인증서가 설치되었는지 확인하기 위해 인증서의 CN(일반 이름)이 검사됩니다. 사용자 지정 인증서가 탐지되면 인증서/키 페어 생성을 건너뛰고 사용자 지정 인증서의 사용을 나타내는 속성이 ecc_agent 기록에 설정됩니다.
사용자 지정 인증서를 사용하면 MID 서버의 인스턴스에서 UI 키 다시 입력 이 비활성화됩니다. 사용자 지정 키 페어 제거라는 새 UI 작업을 사용하여 자체 서명된 인증서 사용으로 다시 전환할 수 있습니다. 이 작업을 사용하면 MID 서버가 사용자 지정 인증서를 제거하고 키 다시 입력 옵션과 비슷한 자체 서명된 새 인증서를 작성합니다.
MID가 업그레이드되면 설치된 사용자 지정 인증서가 유지됩니다.
PEM 번들 지원
MID 서버 통합 키 스토어는 PEM 번들 인증서 및 키 쌍을 지원합니다.
샘플 PEM 번들
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9
...
oPdU+h0grs9SJp6rFx0PzDY=
-----END PRIVATE KEY-----
Bag Attributes
friendlyName: <myCustomCert>
localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31
subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
-----BEGIN CERTIFICATE-----
MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV
...
4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs=
-----END CERTIFICATE----- MID 서버 통합 키 저장소에 사용자 지정 인증서 설치
사용자 지정 인증서를 설치하여 다양한 애플리케이션의 보안 채널을 통합합니다.
시작하기 전에
필요한 역할: 관리자
install-certificate.sh 이 응답하지 않을 수 있습니다. 다음 명령을 사용하여 Linux PRNG(의사 난수 생성기)의 엔트로피 수를 확인합니다. cat /proc/sys/kernel/random/entropy_avail프로시저
다음에 수행할 작업
- 상호 인증 활성화
Windows의 경우
bin\scripts\manage-certificates.bat -m명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -m명령을 사용합니다.- 상호 인증 제거 및 기본 인증 복구
Windows의 경우
bin\scripts\manage-certificates.bat -b <myUserName myPassword>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -b <myUserName myPassword>명령을 사용합니다.- 지정된 별칭으로 새 인증서 및 인증서 체인 추가
Windows의 경우
bin\scripts\manage-certificates.bat -a <alias> <fileName>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -a <alias> <fileName>명령을 사용합니다.별칭은 임포트되는 인증서에 지정된 고유 이름입니다. MID 서버에는 기본 별칭 이름인defaultsecuritykeypairhandle과 함께 상호 인증을 위한 사용자 지정 인증서가 필요합니다. MID 서버와 인스턴스 간의 MTLS 통신을 구성하려면 별칭 이름defaultsecuritykeypairhandle을 사용하여 인증서 항목을 키 저장소에 추가해야 합니다.fileName은 PEM 인증서 또는 인증서 체인 및 PCKS#8 개인 키를 포함할 수 있는 파일 경로입니다. PEM 번들에 대한 파일 경로에는 여러 인증서와 단일 개인 키가 포함될 수 있습니다. 각 PEM 인증서의 헤더와 바닥글은 다음과 같아야 합니다.-----BEGIN CERTIFICATE----------END CERTIFICATE-----PKCS#8 구문의 헤더와 바닥글은 다음과 같아야 합니다.
-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----인증서 체인이 확인에 실패하면 예외가 발생합니다. 파일에 여러 인증서가 포함되어 있는 경우 리프 인증서, 중간 인증서, 루트 인증서 순서여야 합니다.
- 지정된 별칭에 대한 인증서 상세 정보 표시
Windows의 경우
bin\scripts\manage-certificates.bat -g <alias>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -g <alias> 명령을 사용합니다.이 명령은 인증서의 주체 고유 이름, 발급자 이름 및 만료 날짜와 같은 정보를 표시합니다.
- 모든 기존 별칭 나열
Windows의 경우
bin\scripts\manage-certificates.bat -l명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -l명령을 사용합니다.이 명령은 에서 agent_keystore사용할 수 있는 모든 별칭 이름을 나열합니다.
- 별칭을 사용하여 인증서 삭제
Windows의 경우
bin\scripts\manage-certificates.bat -d <alias>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -d <alias>명령을 사용합니다.이 명령은 키 저장소에서 별칭과 기록을 삭제합니다. 이 명령을 사용하여 별칭 DefaultSecurityKeyPairHandle 항목을 삭제할 수 있습니다.
- 키 저장소에서 모든 항목 제거
Windows의 경우
bin\scripts\manage-certificates.bat -r명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -r명령을 사용합니다.이 명령은 별칭 DefaultSecurityKeyPairHandle을 제외하고 키 저장소에서 기존 항목을 삭제합니다.
백업으로 MID 서버 키 스토어 복원
키 스토어가 손상되거나 실수로 삭제된 경우 MID Server 키 스토어의 백업을 복원할 수 있습니다. 사용자 지정 키 페어 데이터를 다시 생성하는 것이 어렵고 시간이 많이 걸릴 수 있으므로 사용자 지정 키 페어가 있는 키 스토어에 특히 유용합니다.
시작하기 전에
필요한 역할: 에이전트 admin
이 태스크 정보
Tokyo 릴리스부터 MID 서버는 agent_keystore 파일이 변경될 때 자동으로 백업을 만듭니다. 백업은 에이전트 폴더 아래 security_backup 에 저장됩니다. 실수로 보안 폴더가 삭제되거나 손상되지 않도록 보안 폴더 외부에 저장됩니다.
백업 폴더에는 전용 백업 로그 파일인 keystore_backup_audit_trail.log가 있습니다. 이 로그는 백업 파일 및 백업 활동을 추적합니다. 각 백업 로그 항목에는 타임 스탬프가 있는 백업 파일 이름, 일치하는 keypairs.mid_id 및 백업의 키 쌍 별칭 목록이 있습니다.
키 저장소 백업은 MID 서버 속성 mid.keystore.max_backups, mid.keystore.max_live_backups 및 mid.keystore.backup_overwrite_timespan 사용하여 수정할 수 있습니다. 자세한 내용은 MID 서버 속성 문서를 참조하십시오.