LDAP 데이터 저장소에 대한 SSL 연결 구성
목차
casso12kr
목차
2
LDAP 디렉터리 저장소에 대한 SSL 연결을 구성하려면 사용자의 인증서 데이터베이스 파일을 사용하도록
Single Sign-On
을 구성해야 합니다.SSL 사전 요구 사항 검토
다음 SSL 사전 요구 사항을 고려하십시오.
- 디렉터리 서버가 SSL을 지원하는지 확인합니다. 자세한 내용은 해당 공급업체의 설명서를 참조하십시오.
- Single Sign-On에서는 Mozilla LDAP SDK를 사용하여 LDAP 디렉터리와 통신하므로 데이터베이스 파일이 Netscape 버전 파일 형식(cert8.db)이어야 합니다.중요!cert8.db 데이터베이스 파일에 인증서를 설치할 때 Microsoft Internet Explorer를 사용하지 마십시오.
인증서 데이터베이스 파일 만들기
인증서 데이터베이스 파일을 만들려면 정책 서버에 포함된 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.
casso12kr
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.casso12kr
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 다음 단계를 수행하십시오.
- 명령 프롬프트에서 설치 bin 디렉터리로 이동합니다.예:C:\Program Files\CA\siteminder\bin참고:Windows에는 네이티브 certutil 유틸리티가 있습니다. 정책 서버의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
- 다음 명령을 입력합니다.certutil -N -dcertificate_database_directory
- -Ncert8.db, key3.db 및 secmod.db 인증서 데이터베이스 파일을 생성합니다.
- -dcertificate_database_directorycertutil 도구가 인증서 데이터베이스 파일을 생성할 디렉터리를 지정합니다.
참고:certificate_database_directory에서 지정한 디렉터리가 이미 존재해야 합니다. 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.데이터베이스 키 암호화에 사용할 암호를 묻는 메시지가 표시됩니다. - 암호를 입력하고 확인합니다.필요한 다음 인증서 데이터베이스 파일이 생성됩니다.
- cert8.db
- key3.db
- secmod.db
예: 인증서 데이터베이스 파일 만들기
certutil -N -d C:\certdatabase
인증서 데이터베이스에 루트 인증 기관 추가
루트 인증 기관(CA)을 추가하려면 정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.
casso12kr
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.casso12kr
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 다음 단계를 수행하십시오.
- 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.예:C:\Program Files\CA\siteminder\bin참고:Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
- 다음 명령을 실행합니다.certutil -A -nalias-ttrust_arguments-iroot_CA_path-dcertificate_database_directory
- -A인증서 데이터베이스에 인증서를 추가합니다.
- -nalias인증서의 별칭을 지정합니다.참고:별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
- -ttrust_arguments인증서에 적용할 트러스트 특성을 지정합니다. 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.p유효한 피어입니다.P트러스트된 피어입니다. 이 인수는 p를 내포합니다.c유효한 CA입니다.T클라이언트 인증서를 발급하도록 트러스트된 CA입니다. 이 인수는 c를 내포합니다.C서버 인증서를 발급하도록 트러스트된 CA입니다(SSL만 해당). 이 인수는 c를 내포합니다.중요!이 인수는 SSL 트러스트 범주에 필요합니다.u인증 또는 서명에 인증서를 사용할 수 있습니다.
- -iroot_CA_path루트 CA 파일의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.참고:파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
- -dcertificate_database_directory인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.참고:파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
예: 인증서 데이터베이스에 루트 CA 추가
certutil -A -n "My Root CA" -t "C,," -i C:\certificates\cacert.cer -d C:\certdatabase
인증서 데이터베이스에 서버 인증서 추가
SSL을 통한 통신을 사용하려면 인증서에 서버 인증서를 추가하십시오. 서버 인증서가 인증 기관에서 발급된 경우 각 인증 기관의 루트 인증서를 인증서 데이터베이스에도 추가하십시오.
정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.
casso12kr
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.casso12kr
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 다음 단계를 수행하십시오.
- 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.예:C:\Program Files\CA\siteminder\bin참고:Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
- 다음 명령을 실행합니다.certutil -A -nalias-ttrust_arguments-iserver_certificate_path-dcertificate_database_directory
- -A인증서 데이터베이스에 인증서를 추가합니다.
- -nalias인증서의 별칭을 지정합니다.참고:별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
- -ttrust_arguments트러스트 인수를 지정합니다. 각 인증서에 대한 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.p유효한 피어입니다.P트러스트된 피어입니다. 이 인수는 p를 내포합니다.중요!이 인수는 SSL 트러스트 범주에 필요합니다.
- -iserver_certificate_path서버 인증서의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.참고:파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
- -dcertificate_database_directory인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.참고:파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
예: 인증서 데이터베이스에 서버 인증서 추가
certutil -A -n "My Server Certificate" -t "P,," -i C:\certificates\servercert.cer -d C:\certdatabase
인증서 데이터베이스의 인증서 목록 표시
인증서가 인증서 데이터베이스에 있는지 확인하려면 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오. 정책 서버에는 이 도구가 포함되어 있습니다.
casso12kr
참고:
다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.casso12kr
중요!
Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오. 다음 단계를 수행하십시오.
- 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.예:C:\Program Files\CA\siteminder\bin참고:Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
- 다음 명령을 실행합니다.certutil -L -dcertificate_database_directory
- -L인증서 데이터베이스에 있는 모든 인증서의 목록을 표시합니다.
- -dcertificate_database_directory인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.
casso12kr
참고:
파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.이 명령은 루트 CA 별칭, 서버 인증서 별칭, 그리고 인증서를 인증서 데이터베이스에 추가할 때 지정한 트러스트 특성을 표시합니다.
예: 인증서 데이터베이스의 인증서 목록 표시
certutil -L -d C:\certdatabase
정책 서버를 인증서 데이터베이스에 연결
SSL을 통해 사용자 디렉터리와 통신하려면 정책 서버에서 인증서 데이터베이스를 지정해야 합니다.
다음 단계를 수행하십시오.
- 정책 서버 관리 콘솔을 시작합니다.casso12kr중요!Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은Single Sign-On구성 요소의 릴리스 정보를 참조하십시오.
- "데이터" 탭을 클릭합니다.
- "Netscape 인증서 데이터베이스 파일" 필드에 인증서 데이터베이스 파일의 경로를 입력합니다.예:C:\certdatabase\cert8.db참고:key3.db 파일은 cert8.db 파일과 동일한 디렉터리에 있어야 합니다.
- 정책 서버를 다시 시작합니다.정책 서버가 SSL을 통하여 사용자 디렉터리와 통신할 수 있습니다.