MID Server 통합 키 저장소
MID Server 통합 키 저장소를 사용하면 MID Server의 모든 제품에 공통 인증서와 키 쌍을 사용할 수 있습니다. 이 기능을 사용하면 애플리케이션에서 MID Server가 인스턴스에 연결하는 데 사용하는 것과 동일한 보안 통신 채널을 MID Server에 사용할 수 있습니다.
 |
MID Server가 시작되면 인증서의 CN(일반 이름)을 검사하여 사용자 지정 인증서가 설치되었는지 확인합니다. 사용자 지정 인증서가 검색되면 인증서/키 쌍 생성을 건너뛰고 사용자 지정 인증서의 사용을 나타내기 위해 ecc_agent 레코드에 특성이 설정됩니다.
사용자 지정 인증서를 사용하면 MID Server의 인스턴스에서 키 다시 입력 UI 동작이 비활성화됩니다. 사용자 지정 키 쌍 제거라는 새 UI 작업을 사용하여 자체 서명된 인증서를 사용하도록 다시 전환할 수 있습니다. 이 작업을 사용하면 MID Server가 사용자 지정 인증서를 제거하고 키 다시 입력 옵션과 유사한 자체 서명된 인증서를 새로 생성합니다.
MID가 업그레이드되면 설치된 사용자 지정 인증서가 유지됩니다.
PEM 번들 지원
MID Server 통합 키 저장소는 PEM 번들 인증서와 키 쌍을 지원합니다.
샘플 PEM 번들
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9
...
oPdU+h0grs9SJp6rFx0PzDY=
-----END PRIVATE KEY-----
Bag Attributes
friendlyName: <myCustomCert>
localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31
subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
-----BEGIN CERTIFICATE-----
MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV
...
4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs=
-----END CERTIFICATE----- MID Server 통합 키 저장소에 사용자 지정 인증서 설치
사용자 지정 인증서를 설치하여 다양한 애플리케이션의 보안 채널을 통합합니다.
시작하기 전에
필요한 역할: admin
install-certificate.sh 응답하지 않을 수 있습니다. 다음 명령을 사용하여 Linux PRNG(의사 난수 생성기)의 엔트로피 수를 확인합니다. cat /proc/sys/kernel/random/entropy_avail프로시저
다음에 수행할 작업
- 상호 인증 활성화
Windows의 경우
bin/scripts/management-certificates.bat -m명령을 사용합니다.Linux의 경우
.bin/scripts/manage-certificates.sh -m명령을 사용합니다.- 상호 인증 제거 및 기본 인증 복구
Windows의 경우
bin/scripts/manage-certificates.bat -b <myUserName myPassword>명령을 사용합니다.Linux의 경우
.bin/scripts/manage-certificates.sh -b <myUserName myPassword>명령을 사용합니다.- 지정된 별칭으로 새 인증서 및 인증서 체인 추가
Windows의 경우
bin/scripts/manage-certificates.bat -a <alias> <fileName>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -a <alias> <fileName>명령을 사용합니다.별칭은 임포트할 인증서에 지정된 고유한 이름입니다. MID Server에는 기본 별칭 이름defaultsecuritykeypairhandle과 함께 상호 인증을 위한 사용자 지정 인증서가 필요합니다. MID Server와 인스턴스 간의 MTLS 통신을 구성하려면 별칭 이름defaultsecuritykeypairhandle을 사용하여 인증서 항목을 키 저장소에 추가해야 합니다.fileName은 PEM 인증서 또는 인증 체인 및 PCKS#8 개인 키를 포함하는 파일 경로입니다. PEM 번들에 대한 파일 경로에는 여러 인증서와 단일 개인 키가 포함될 수 있습니다. 각 PEM 인증서의 헤더와 바닥글은 다음과 같아야 합니다.-----BEGIN CERTIFICATE----------END CERTIFICATE-----PKCS#8 구문의 헤더와 바닥글은 다음과 같아야 합니다.
-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----인증서 체인이 확인에 실패하면 예외가 발생합니다. 파일에 여러 인증서가 포함되어 있는 경우 리프 인증서, 중간 인증서, 루트 인증서 순서여야 합니다.
- 지정된 별칭에 대한 인증서 상세 정보 표시
Windows의 경우
bin/scripts/manage-certificates.bat -g <alias> 명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -g <alias> 명령을 사용합니다.이 명령은 인증서의 주체 고유 이름, 발급자 이름 및 만료 날짜와 같은 정보를 표시합니다.
- 모든 기존 별칭 나열
Windows의 경우
bin/scripts/manage-certificates.bat -l명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -l명령을 사용합니다.이 명령은 agent_keystore에서 사용할 수 있는 모든 별칭 이름을 나열합니다.
- 별칭을 사용하여 인증서 삭제
Windows의 경우
bin/scripts/manage-certificates.bat -d <alias>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -d <alias>명령을 사용합니다.이 명령은 키 저장소에서 별칭과 기록을 삭제합니다. 이 명령을 사용하여 별칭 DefaultSecurityKeyPairHandle 항목을 삭제할 수 있습니다.
- 키 저장소에서 모든 항목 제거
Windows의 경우
bin/scripts/manage-certificates.bat -r 명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -r명령을 사용합니다.이 명령은 별칭 DefaultSecurityKeyPairHandle을 제외하고 키 저장소에서 기존 항목을 삭제합니다.
백업을 사용하여 MID Server 키 저장소 복원
키 저장소가 손상되었거나 실수로 삭제된 경우 MID Server 키 저장소의 백업을 복원할 수 있습니다. 이는 사용자 지정 키 쌍이 있는 키 저장소에 특히 유용한데, 그렇지 않으면 사용자 지정 키 쌍 데이터를 다시 만드는 것이 어렵고 시간이 많이 걸릴 수 있기 때문입니다.
시작하기 전에
필요한 역할: 에이전트 관리자
이 태스크 정보
Tokyo 릴리스부터 MID Server는 agent_keystore 파일이 변경될 때 자동으로 백업합니다. 백업은 에이전트 폴더 아래의 security_backup 에 저장됩니다. 보안 폴더가 실수로 삭제되거나 손상되는 것을 방지하기 위해 보안 폴더 외부에 저장됩니다.
백업 폴더에는 전용 백업 로그 파일인 keystore_backup_audit_trail.log가 있습니다. 이 로그는 백업 파일 및 백업 작업을 추적합니다. 각 백업 로그 항목에는 타임스탬프가 있는 백업 파일 이름, 일치하는 keypairs.mid_id 및 백업의 키 쌍 별칭 목록이 있습니다.
키 저장소 백업은 MID Server 속성 mid.keystore.max_backups, mid.keystore.max_live_backups 및 mid.keystore.backup_overwrite_timespan를 사용하여 수정할 수 있습니다. 자세한 내용은 MID Server 속성 문서를 참조하십시오.