MID 서버 통합 키 저장소
MID 서버 통합 키 저장소를 사용하면 MID 서버의 모든 제품에서 공통 인증서와 키 쌍을 사용할 수 있습니다. 이 기능을 사용하면 MID 서버가 인스턴스에 연결하는 데 사용하는 것과 동일한 보안 통신 채널을 MID 서버에서 사용할 수 있습니다.
MID 서버가 시작되면 인증서의 CN(일반 이름)을 검사하여 사용자 지정 인증서가 설치되었는지 확인합니다. 사용자 지정 인증서가 탐지되면 인증서/키 페어 생성을 건너뛰고 사용자 지정 인증서의 사용을 나타내는 속성이 ecc_agent 레코드에 설정됩니다.
사용자 지정 인증서를 사용하면 MID Server의 인스턴스에서 UI 키 다시 작업이 비활성화됩니다. 사용자 지정 키 페어 제거라는 새 UI 작업을 사용하여 자체 서명된 인증서를 사용하도록 다시 전환할 수 있습니다. 이 작업을 사용하면 MID Server가 사용자 지정 인증서를 제거하고 키 재설정 옵션과 유사하게 자체 서명된 인증서를 새로 작성합니다.
MID가 업그레이드되면 설치된 사용자 지정 인증서가 유지됩니다.
PEM 번들 지원
MID 서버 통합 키 저장소는 PEM 번들 인증서와 키 쌍을 지원합니다.
샘플 PEM 번들
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9
...
oPdU+h0grs9SJp6rFx0PzDY=
-----END PRIVATE KEY-----
Bag Attributes
friendlyName: <myCustomCert>
localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31
subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883
-----BEGIN CERTIFICATE-----
MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV
...
4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs=
-----END CERTIFICATE----- MID 서버 통합 키 저장소에 사용자 지정 인증서 설치
사용자 지정 인증서를 설치하여 다양한 애플리케이션의 보안 채널을 통합합니다.
시작하기 전에
필요한 역할: admin
install-certificate.sh 응답하지 않을 수 있습니다. 다음 명령을 사용하여 Linux PRNG(의사 난수 생성기)의 엔트로피 수를 확인합니다. cat /proc/sys/kernel/random/entropy_avail프로시저
다음에 수행할 작업
- 상호 인증 활성화
Windows의 경우
bin/scripts/management-certificates.bat -m명령을 사용합니다.Linux의 경우
.bin/scripts/manage-certificates.sh -m명령을 사용합니다.- 상호 인증 제거 및 기본 인증 복구
Windows의 경우
bin/scripts/manage-certificates.bat -b <myUserName myPassword>명령을 사용합니다.Linux의 경우
.bin/scripts/manage-certificates.sh -b <myUserName myPassword>명령을 사용합니다.- 지정된 별칭으로 새 인증서 및 인증서 체인 추가
Windows의 경우
bin/scripts/manage-certificates.bat -a <alias> <fileName>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -a <alias> <fileName>명령을 사용합니다.별칭은 임포트할 인증서에 지정된 고유한 이름입니다. MID 서버에는 기본 별칭 이름defaultsecuritykeypairhandle과 함께 상호 인증을 위한 사용자 지정 인증서가 필요합니다. MID 서버와 인스턴스 간의 MTLS 통신을 구성하려면 별칭 이름defaultsecuritykeypairhandle을 사용하여 인증서 항목을 키 저장소에 추가해야 합니다.fileName은 PEM 인증서 또는 인증 체인 및 PCKS#8 개인 키를 포함하는 파일 경로입니다. PEM 번들에 대한 파일 경로에는 여러 인증서와 단일 개인 키가 포함될 수 있습니다. 각 PEM 인증서의 헤더와 바닥글은 다음과 같아야 합니다.-----BEGIN CERTIFICATE----------END CERTIFICATE-----PKCS#8 구문의 헤더와 바닥글은 다음과 같아야 합니다.
-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----인증서 체인이 확인에 실패하면 예외가 발생합니다. 파일에 여러 인증서가 포함되어 있는 경우 리프 인증서, 중간 인증서, 루트 인증서 순서여야 합니다.
- 지정된 별칭에 대한 인증서 상세 정보 표시
Windows의 경우
bin/scripts/manage-certificates.bat -g <alias> 명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -g <alias> 명령을 사용합니다.이 명령은 인증서의 주체 고유 이름, 발급자 이름 및 만료 날짜와 같은 정보를 표시합니다.
- 모든 기존 별칭 나열
Windows의 경우
bin/scripts/manage-certificates.bat -l명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -l명령을 사용합니다.이 명령은 agent_keystore에서 사용할 수 있는 모든 별칭 이름을 나열합니다.
- 별칭을 사용하여 인증서 삭제
Windows의 경우
bin/scripts/manage-certificates.bat -d <alias>명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -d <alias>명령을 사용합니다.이 명령은 키 저장소에서 별칭과 기록을 삭제합니다. 이 명령을 사용하여 별칭 DefaultSecurityKeyPairHandle 항목을 삭제할 수 있습니다.
- 키 저장소에서 모든 항목 제거
Windows의 경우
bin/scripts/manage-certificates.bat -r 명령을 사용합니다.Linux의 경우
./bin/scripts/manage-certificates.sh -r명령을 사용합니다.이 명령은 별칭 DefaultSecurityKeyPairHandle을 제외하고 키 저장소에서 기존 항목을 삭제합니다.
백업으로 MID 서버 키 저장소 복원
키 저장소가 손상되었거나 실수로 삭제된 경우 MID 서버 키 저장소의 백업을 복원할 수 있습니다. 이는 사용자 지정 키 페어가 있는 키 스토어에 특히 유용한데, 그렇지 않으면 사용자 지정 키 페어 데이터를 다시 생성하는 것이 어렵고 시간이 많이 소요될 수 있기 때문입니다.
시작하기 전에
필요한 역할: 에이전트 관리자
이 태스크 정보
Tokyo 릴리스부터 MID Server는 agent_keystore 파일이 변경되면 자동으로 백업합니다. 백업은 에이전트 폴더 아래의 security_backup 에 저장됩니다. 보안 폴더가 실수로 삭제되거나 손상되는 것을 방지하기 위해 보안 폴더 외부에 저장됩니다.
백업 폴더에는 전용 백업 로그 파일인 keystore_backup_audit_trail.log가 있습니다. 이 로그는 백업 파일 및 백업 활동을 추적합니다. 각 백업 로그 항목에는 타임스탬프가 있는 백업 파일 이름, 일치하는 keypairs.mid_id 및 백업의 키 쌍 별칭 목록이 있습니다.
키 스토어 백업은 MID 서버 속성 mid.keystore.max_backups, mid.keystore.max_live_backups 및 mid.keystore.backup_overwrite_timespan를 사용하여 수정할 수 있습니다. 자세한 내용은 MID 서버 속성 문서를 참조하십시오.