윈도우 Tivoli Workload Scheduler에서 SSL 지원 구성

Tivoli Workload Scheduler에서 SSL 지원 구성

네트워크에 대한 SSL을 구성하려면 다음을 수행해야 합니다.

1. TWShome 디렉토리 아래에 SSL 디렉토리를 작성하십시오. 기본적으로 TWShomessl 경로는 localopts 파일에 등록되어 있습니다. TWShome 디렉토리에 ssl과 다른 이름으로 디렉토리를 작성하는 경우 그에 맞추어 localopts 파일을 갱신하십시오.
2. openssl.cnf 및 openssl.exe를 SSL 디렉토리에 복사하십시오.
3. 네트워크에서 사용하기로 계획한 수만큼 개인용 키, 인증서 및 신뢰성있는 CA 목록을 작성하십시오.
4. SSL 인증을 사용할 각 워크스테이션에 대해 다음을 수행하십시오.
   • Tivoli Workload Scheduler 데이터베이스의 정의를 SSL 속성으로 갱신하십시오.
   • localopts 파일에 SSL 로컬 옵션을 추가하십시오.

특정 순서를 따를 필요는 없지만 이러한 태스크는 모두 SSL 지원을 활성화하기 전에 완료해야 합니다.

Tivoli Workload Scheduler에서 SSL 지원은 확장 에이전트가 아닌 결함 허용 에이전트(마스터 및 도메인 매니저 포함)에 대해서만 사용 가능합니다. 확장 에이전트를 실행하는 워크스테이션에 대해 SSL 인증을 사용하려는 경우 확장 에이전트의 호스트 워크스테이션 정의에 이 매개변수를 지정해야 합니다.

개인용 키 및 인증서 설정

워크스테이션에서 SSL 인증을 사용하려면 다음을 작성 및 설치해야 합니다.

• SSL 세션에서 워크스테이션을 식별하는 개인용 키 및 인증서.
• 워크스테이션에서 신뢰할 수 있는 인증 기관 목록.

openssl 명령행 유틸리티를 사용하여 다음을 수행해야 합니다.

• 무작위로 유사 생성된 바이트를 포함하는 파일을 작성하십시오(TWS.rnd). 이 파일은 일부 플랫폼에서 SSL을 제대로 작동시키기 위해 필요합니다.
• 개인용 키를 작성하십시오.
• 파일에 키를 작성하는 데 사용되는 암호를 저장하십시오.
• 인증서 서명 요청을 작성하십시오.
• 서명을 위해 이 CSR(Certificate Signing Request)을 CA(Certifying Authority)에 보내거나 다음을 수행하십시오.
  • 사용자의 CA(Certificate Authority)를 작성하십시오.
  • 자신의 CA의 RSA 키로 자가 서명 CA 인증서(X.509 구조)를 작성하십시오.
  • 자신의 CA(Certificate Authority)를 사용하여 실제 인증서를 서명하고 작성하십시오.

이러한 조치로 워크스테이션에 설치할 다음과 같은 파일들이 작성됩니다.

• 개인용 키 파일(예: TWS.key). 이 파일은 워크스테이션의 ID를 사용하기 위해 도용되지 않도록 보호되어야 합니다. TWShome/ssl/TWS.key와 같이 워크스테이션의 TWS 사용자에게 읽기 액세스를 허용하는 디렉토리에 이 파일을 저장해야 합니다.
• 해당 인증 파일(예: TWS.crt). TWShome/ssl/TWS.crt와 같이 워크스테이션의 TWS 사용자에게 읽기 액세스를 허용하는 디렉토리에 이 파일을 저장해야 합니다.
• 무작위 유사 생성된 바이트 순서를 포함하는 파일. TWShome/ssl/TWS.rnd와 같이 워크스테이션의 TWS 사용자에게 읽기 액세스를 허용하는 디렉토리에 이 파일을 저장할 수 있습니다.

또한 다음을 작성해야 합니다.

• 개인용 키를 암호화하는 데 사용되는 암호를 포함하는 파일. TWShome/ssl/TWS.sth와 같이 워크스테이션의 TWS 사용자에게 읽기 액세스를 허용하는 디렉토리에 이 파일을 저장해야 합니다.
• 인증서 체인 파일. 워크스테이션 인증서의 인증서 체인을 형성하는 인증 기관의 PEM 인코드 인증서 연결을 포함합니다. 이것은 워크스테이션 인증서의 CA 인증서 발행으로 시작하여 루트 CA 인증서에 이르기까지 범위를 확장할 수 있습니다. 이러한 파일은 보통 인증서 체인 순서로 된 여러 가지 PEM 인코드 CA 인증서 파일의 단순한 연결입니다.
• 신뢰성있는 CA 파일. 인증 중에 사용할 신뢰성있는 CA 인증서가 포함됩니다. 이 파일의 CA는 연결의 서버측에서 클라이언트 인증서를 요청할 때 클라이언트에 전달되는 허용 가능한 클라이언트 CA 목록을 작성하는 데도 사용됩니다. 이 파일은 원하는 순서로 된 여러 가지 PEM 인코드 CA 인증서 파일의 단순한 연결입니다.

자신의 인증 기관 작성

외부 인터넷 Commerce가 아닌 회사 경계 안에서 SSL 인증을 사용하려는 경우 모든 IBM Tivoli Workload Scheduler 설치를 신뢰하는 자신의 인증 기관(CA)을 작성하는 것이 간단할 수 있습니다. 이를 수행하려면 아래 나열된 단계를 따르십시오.

1. CA 루트 설치로서 워크스테이션을 선택하십시오.
2. SSL 디렉토리에서 다음 명령을 입력하여 무작위 유사 숫자 생성기를 초기화하십시오. 그렇지 않으면 이어지는 명령이 작동하지 않을 수 있습니다.
   • UNIX의 경우

     $ openssl rand -out TWS.rnd -rand ./openssl 8192

   • Windows의 경우

     $ openssl rand -out TWS.rnd -rand ./openssl.exe 8192

3. 다음 명령을 입력하여 CA 개인용 키를 작성하십시오.

   $ openssl genrsa -out TWSca.key 1024

4. 다음 명령을 입력하여 자가 서명 CA 인증서(X.509 구조)를 작성하십시오.

   $ openssl req -new -x509 -days 365 -key TWSca.key -out TWSca.crt -config ./openssl.cnf

이제 사용자의 모든 설치를 신뢰할 수 있는 인증 기관이 작성되었습니다. 원하는 경우 하나 이상의 CA를 작성할 수 있습니다.

개인용 키 및 인증서 작성

다음 단계는 하나의 키와 하나의 인증서를 작성하는 방법에 대해서 설명합니다. 전체 네트워크에 대해, 각 도메인에 대해 또는 각 워크스테이션에 대해 하나의 키와 인증서 쌍을 사용할 지 여부를 결정할 수 있습니다. 아래 단계는 각 워크스테이션에 대해 하나의 키 및 인증서 쌍을 작성하며 프로세스 중에 작성된 출력 파일 이름이 workstationname으로 일반화됨을 가정합니다.

각 워크스테이션에서 다음 단계를 수행하여 개인용 키와 인증서를 작성하십시오.

1. SSL 디렉토리에서 다음 명령을 입력하여 무작위 유사 숫자 생성기를 초기화하십시오. 그렇지 않으면 이어지는 명령이 작동하지 않을 수 있습니다.
   • UNIX의 경우

     $ openssl rand -out workstationname.rnd -rand ./openssl 8192

   • Windows의 경우

     $ openssl rand -out workstationname.rnd -rand ./openssl.exe 8192

2. 다음 명령을 입력하여 개인용 키를 작성하십시오(이 예에서는 트리플 DES 암호화를 보여줍니다).

   $ openssl genrsa -des3 -out workstationname.key 1024

   그런 후 요청된 암호를 저장하여 workstationname.pwd 파일에 키를 암호화하십시오.

   주:
   workstationname.pwd 파일이 암호의 문자만 포함하는지 확인하십시오. 예를 들어, 암호로 maestro 단어를 지정한 경우 workstationname.pwd 파일의 끝에 CR 또는 LF 문자가 포함되어서는 안됩니다(7 바이트 길이어야 함).
3. 다음 명령을 입력하여 해당 은닉 파일에 base64로 인코딩된 암호를 저장하십시오.

   $ openssl base64 -in workstationname.pwd -out workstationname.sth

   그런 다음, workstationname.pwd 파일을 삭제할 수 있습니다.

4. 다음 명령을 입력하여 CSR(Certificate Signing Request)을 작성하십시오.

   $ openssl req -new -key workstationname.key -out workstationname.csr   -config ./openssl.cnf

   일부 값(예: 회사 이름, 개인 이름 등)은 화면에서 요청합니다. 이후 호환성을 위해 구별 이름으로 워크스테이션 이름을 지정할 수 있습니다.

5. 이 개인용 키에 대해 일치하는 인증서를 얻으려면 CA에 workstationname.csr 파일을 보내십시오.

   해당 개인용 키(TWSca.key)와 인증서(TWSca.crt)를 사용하여 CA는 다음 명령으로 CSR(workstationname.csr)에 서명하고 서명된 인증서(workstationname.crt)를 작성합니다.

   $ openssl x509 -req -CA TWSca.crt -CAkey TWSca.key -days 365   -in workstationname.csr   -out workstationname.crt -CAcreateserial

6. 새 인증서 workstationname.crt와 공용 CA 인증서 TWSca.crt를 워크스테이션에 분배하십시오.

아래 표는 워크스테이션 로컬 옵션에 대한 값으로 설정되어야 하는 프로세스 중에 작성된 파일에 대해 요약합니다.

SSL 속성 구성

composer 명령행 또는 Job Scheduling Console을 사용하여 데이터베이스에서 워크스테이션 정의를 갱신하십시오. 자세한 내용은 Tivoli Workload Scheduler Reference Guide 또는 Tivoli Workload Scheduler Job Scheduling Console 사용자 안내서를 참조하십시오.

다음 속성을 구성하십시오.

secureaddr

들어오는 SSL 연결을 인식하는 데 사용되는 포트를 정의합니다. 이 값은 워크스테이션의 nm SSL port 로컬 옵션에 정의된 것과 일치해야 합니다. 일반 통신에 사용되는 포트를 정의하는 nm port 로컬 옵션과 달라야 합니다. securitylevel이 지정되었지만 이 속성이 없는 경우 31113이 기본값으로 사용됩니다.

securitylevel

워크스테이션의 SSL 인증 유형을 지정합니다. 다음 값 중 하나여야 합니다.

사용 가능

도메인 계층 구조에서 도메인 매니저 워크스테이션 또는 그 아래 또다른 결함 허용 에이전트에서 필요한 경우만 워크스테이션이 SSL 인증을 사용합니다.

온

도메인 매니저와 연결된 경우 워크스테이션은 SSL 인증을 사용합니다. 도메인 매니저는 해당 상위 도메인 매니저에 연결된 경우 SSL 인증을 사용합니다. 결함 허용 에이전트는 SSL 연결이 아닌 경우 도메인 매니저로부터 들어오는 모든 연결을 거부합니다.

강제 실행

워크스테이션은 모든 연결에 대해 SSL 인증을 사용하고 상위 및 부속 도메인 매니저로부터의 연결을 허용합니다. SSL 연결이 아닌 경우 들어오는 연결이 거부됩니다.

이 속성이 생략된 경우 SSL 연결에 대해 워크스테이션이 구성되지 않습니다. 이 경우 secureaddr 값은 무시됩니다. 또한 이 포트가 netman에 의해 열리지 않게 하려면 nm ssl port 로컬 옵션을 0으로 설정해야 합니다. 다음 표는 각 securitylevel 설정 유형에 대해 사용된 통신 유형에 대해 설명합니다.

표 37. securitylevel 값에 따른 통신 유형.

결함 허용 에이전트(도메인 매니저)	도메인 매니저(상위 도메인 매니저)	연결 유형
-	-	TCP/IP
사용 가능	-	TCP/IP
온	-	연결 없음
강제 실행	-	연결 없음
-	온	TCP/IP
사용 가능	온	TCP/IP
온	온	SSL
강제 실행	온	SSL
-	사용 가능	TCP/IP
사용 가능	사용 가능	TCP/IP
온	사용 가능	SSL
강제 실행	사용 가능	SSL
-	강제 실행	연결 없음
사용 가능	강제 실행	SSL
온	강제 실행	SSL
강제 실행	강제 실행	SSL

다음 예제에서는 보안 속성을 포함하는 워크스테이션 정의를 보여줍니다.

cpuname ENNETI3os WNTnode apollotcpaddr 30112secureaddr 32222for maestroautolink offfullstatus onsecuritylevel onend

SSL 로컬 옵션 설정

워크스테이션의 localopts 파일에서 다음 항목을 지정하십시오. 동일한 localopts 파일에서 이들 항목을 보려면 로컬 옵션 파일 예제를 참조하십시오.

nm SSL port

들어오는 SSL 연결을 인식하는 데 사용되는 포트. 이 값은 IBM Tivoli Workload Scheduler 데이터베이스의 워크스테이션 정의에서 secureaddr 속성에 정의된 값과 일치해야 합니다. 일반 통신에 사용되는 포트를 정의하는 nm port 로컬 옵션과 달라야 합니다. 기본값은 31113입니다.

주:

1. Windows에서는 이 옵션을 TWShome/localopts에도 지정하십시오.
2. 동일한 컴퓨터에 Tivoli Workload Scheduler 8.2의 복수 인스턴스를 설치하는 경우 모든 SSL 포트를 다른 값으로 설정하십시오.
3. SSL을 사용하지 않으려면 값을 0으로 설정하십시오.

SSL auth mode

SSL 데이터 교환 중 Tivoli Workload Scheduler의 작동은 다음과 같이 SSL auth mode 옵션 값을 기반으로 합니다.

caonly

Tivoli Workload Scheduler는 인증서의 유효성을 점검하고 인지된 CA에 의해 피어 인증서가 발행되었는지 확인합니다. 인증서에 포함된 정보는 조사되지 않습니다. 기본값입니다. SSL auth mode 옵션을 지정하지 않거나 유효하지 않은 값을 정의하면 caonly 값이 사용됩니다.

string

Tivoli Workload Scheduler는 인증서의 유효성을 점검하고 인지된 CA에 의해 피어 인증서가 발행되었는지 확인합니다. 또한 인증서 주체의 CN(Common Name)이 SSL auth string에 지정된 문자열과 일치하는지 확인합니다. ***을 참조하십시오.

CPU

Tivoli Workload Scheduler는 인증서의 유효성을 점검하고 인지된 CA에 의해 피어 인증서가 발행되었는지 확인합니다. 또한 인증서 주체의 CN(Common Name)이 서비스를 요청한 CPU 이름과 일치하는지 확인합니다.

SSL auth string

string 값을 지정할 때 SSL auth mode와 함께 사용됩니다. SSL auth string(1 -- 64 문자 범위)은 인증서 유효성을 확인하는 데 사용됩니다.SSL auth mode와 함께 SSL auth string 값을 지정하지 않는 경우 사용되는 기본 문자열 값은 tws입니다.

SSL key

개인용 키 파일의 이름. localopts 파일의 기본 경로는 TWShome/ssl/filename.key입니다.

SSL certificate

로컬 인증 파일의 이름. localopts 파일의 기본 경로는 TWShome/ssl/filename.crt입니다.

SSL key pwd

은닉 키의 암호를 포함하는 파일 이름. localopts 파일의 기본 경로는 TWShome/ssl/filename.sth입니다.

SSL CA certificate

인증에 요청된 신뢰성있는 CA 인증서를 포함하는 파일 이름. 이 파일의 CA는 연결의 서버측에서 클라이언트 인증서를 요청할 때 클라이언트에 전달되는 허용 가능한 클라이언트 CA 목록을 작성하는 데도 사용됩니다. 이 파일은 원하는 순서로 된 여러 가지 PEM 인코드 CA 인증서 파일의 연결입니다. localopts 파일의 기본 경로는 TWShome/ssl/filename.crt입니다.

SSL certificate chain

워크스테이션 인증서의 인증서 체인을 형성하는 인증 기관의 PEM 인코드 인증서 연결을 포함하는 파일 이름. 이 매개변수는 선택적입니다. 지정되어 있지 않으면, SSL CA 인증서에 지정된 파일이 사용됩니다.

SSL random seed

일부 플랫폼에서 OpenSSL에 의해 사용되는 무작위 유사 번호 파일. 이 파일이 없으면 SSL 인증이 제대로 작동하지 않을 수 있습니다. localopts 파일의 기본 경로는 TWShome/ssl/filename.rnd입니다.

SSL encryption cipher

SSL 연결 중에 워크스테이션이 지원하는 암호. 다음 단축키를 사용하십시오.

표 38. 암호화 암호의 단축키

단축키	암호화 암호
SSLv3	SSL 버전 3.0
TLSv	TLS 버전 1.0
EXP	반출
EXPORT40	40비트 반출
EXPORT56	56비트 반출
LOW	낮은 강도(반출 없음, 단일 DES)
MEDIUM	128비트 암호화로 된 암호
HIGH	트리플 DES를 사용한 암호
NULL	암호화를 사용하지 않은 암호