인증서 폐기 목록 구성 설정

이 페이지에서는 인증서의 유효성을 검사하는 인증서 폐기 목록을 지정합니다. 애플리케이션 서버는 인증서 폐기 목록(CRL)을 검사하여 클라이언트 인증서의 유효성을 판별합니다. 인증서 폐기 목록에 있는 인증서는 만기되지 않지만 인증서를 발행한 인증 기관(CA)에서 이 인증서를 더 이상 신뢰하지 않습니다. CA가 클라이언트 권한이 훼손된 것으로 여기는 경우 인증서를 인증서 폐기 목록에 추가할 수 있습니다.
서버 레벨에서 콜렉션 인증서 저장소의 WebSphere® Application Server 관리 콘솔 패널을 보려면 다음 단계를 완료하십시오.
  1. 서버 > 애플리케이션 서버 > server_name을 클릭하십시오.
  2. 보안에서 웹 서비스: 웹 서비스 보안에 대한 기본 바인딩을 클릭하십시오.
  3. 추가 특성에서 콜렉션 인증서 저장소를 클릭하십시오.
  4. 구성된 콜렉션 인증서 저장소의 이름을 클릭하거나 새 콜렉션 인증서 저장소를 먼저 작성하십시오.
  5. 추가 특성에서 인증서 폐기 목록 > 새로 작성을 클릭하여 새 목록의 경로를 지정하거나 인증서 폐기 목록의 이름을 클릭하여 해당 목록의 경로를 수정하십시오.
애플리케이션 레벨에서 콜렉션 인증서 저장소의 이 WebSphere Application Server 관리 콘솔 페이지를 보려면 다음 단계를 완료하십시오.
  1. 애플리케이션 > 엔터프라이즈 애플리케이션 > application_name을 클릭하십시오.
  2. 관련 항목에서 EJB 모듈 또는 웹 모듈 > URI_name을 클릭하십시오.
  3. 추가 특성에서 다음 바인딩에 필요한 콜렉션 인증서 저장소에 액세스할 수 있습니다.
    • 요청 생성기의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 요청 생성기(송신기) 바인딩에서 사용자 정의 편집 > 콜렉션 인증서 저장소를 클릭하십시오.
    • 요청 이용자의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 요청 이용자(수신기) 바인딩에서 사용자 정의 편집 > 콜렉션 인증서 저장소를 클릭하십시오.
    • 응답 생성기의 경우 웹 서비스: 서버 보안 바인딩을 클릭하십시오. 응답 생성기(송신기) 바인딩에서 사용자 정의 편집 > 콜렉션 인증서 저장소를 클릭하십시오.
    • 응답 이용자의 경우 웹 서비스: 클라이언트 보안 바인딩을 클릭하십시오. 응답 이용자(수신기) 바인딩에서 사용자 정의 편집 > 콜렉션 인증서 저장소를 클릭하십시오.
  4. 구성된 콜렉션 인증서 저장소의 이름을 클릭하거나 새 콜렉션 인증서 저장소를 먼저 작성하십시오.
  5. 추가 특성에서 인증서 폐기 목록 > 새로 작성을 클릭하여 새 목록의 경로를 지정하거나 인증서 폐기 목록의 이름을 클릭하여 해당 목록의 경로를 수정하십시오.

인증서 폐기 목록 경로

유효하지 않은 인증서의 목록을 찾을 수 있는 위치에 완전한 경로를 지정합니다.

이식성 때문에 WebSphere Application Server 변수를 사용하여 인증서 폐기 목록에 상대 경로를 지정하는 것이 좋습니다. 이 권장사항은 특히 WebSphere Application Server 네트워크 배치 환경에서 작업 중인 경우 중요합니다. 예를 들어, USER_INSTALL_ROOT 변수를 사용하여 $USER_INSTALL_ROOT/mycertstore/mycrl과 같은 경로를 정의할 수 있습니다. 여기서 mycertstore는 인증서 저장소의 이름을 나타내며 mycrl은 인증서 폐기 목록을 나타냅니다. 지원되는 변수 목록은 관리 콘솔에서 환경 > WebSphere 변수를 클릭하십시오.

다음 목록은 CRL 사용과 관련된 권장사항을 제공합니다.
  • CRL이 콜렉션 인증서 저장소 콜렉션에 추가되는 경우 루트 인증 기관의 CRL 및 각 중개 인증서를 추가할 수 있는 경우에는 이들을 추가하십시오. CRL이 인증서 콜렉션 저장소에 있는 경우 발행자의 CRL에 대해 체인에 있는 모든 인증서의 인증서 폐기 상태를 검사합니다.
  • CRL 파일이 업데이트된 경우, 새 CRL을 적용하려면 웹 서비스 애플리케이션을 다시 시작해야 합니다.
  • CRL 만기 이전에 새 CRL을 인증서 콜렉션 저장소에 로드하여 이전 CRL을 바꿔야 합니다. 콜렉션 인증서 저장소에 있는 만기된 CRL은 인증서 경로(CertPath) 빌드 실패의 원인이 됩니다.

피드백