공용 키 저장소 배포
모든 정책 서버가 키 롤오버를 위해 단일 공용 키 저장소를 사용할 수 있습니다. 다음 그림에서는 공용 키 저장소 배포를 설정하는 과정을 보여 줍니다.
casso126kkr
모든 정책 서버가 키 롤오버를 위해 단일 공용 키 저장소를 사용할 수 있습니다. 다음 그림에서는 공용 키 저장소 배포를 설정하는 과정을 보여 줍니다.

다음 링크에서는 사용자가 완료해야 하는 그림의 각 태스크에 대해 설명합니다.
3
배포 개요
다음 그림에서는 다음을 포함하여 단일 공용 키 저장소를 사용하는 배포를 보여 줍니다.
- 공용 r12.x 키 저장소는 모든 정책 서버에 대한 키 데이터를 유지 관리합니다.공용 키 저장소를 사용하면 모든 정책 서버에 연결된 에이전트가 키를 공유할 수 있습니다. 키를 공유하면 두 환경 간에서 싱글 사인온을 사용할 수 있습니다.
- 모든 정책 서버는 공용 키 저장소에 연결하여 새 키를 검색합니다.
- 기존 정책 서버와 새 정책 서버는 해당하는 정책 저장소에 연결합니다.
- (그림에 표시되지 않음) 모든 웹 에이전트는 해당하는 정책 서버를 폴링하여 새 키를 검색합니다.
장애 조치를 위해 키 저장소 데이터를 복제할 수 있습니다. 데이터베이스 또는 디렉터리 서버 유형에 따라 데이터를 복제하는 방법이 결정됩니다.

공용 키 저장소 요구 사항
공용 키 저장소를 배포하려면 다음 요구 사항을 모두 충족하십시오. 그러지 않으면 Single Sign-On에 실패합니다.
- r12.x 정책 저장소와 키 저장소를 별도로 유지 관리하십시오. 다음 작업 중하나를 수행하십시오.
- r12.x 환경의 정책 저장소와 키 저장소가 결합된 경우 r12.x 키를 독립된 키 저장소로 분리하십시오. 이 섹션 다음에 나오는 지침을 참조하십시오.
- r12.x 환경에 이미 별도의 키 저장소가 있으면 해당 키 저장소를 r12.x에서 유지하십시오. 12.6.01 정책 서버는 r12.x 키 저장소와 통신할 수 있습니다. 그러나 r12.x 정책 서버는 12.6.01 키 저장소와 통신할 수 없습니다.
- 모든 정책 서버가 공용 r12.x 키 저장소를 사용하도록 구성하십시오.
- 모든 정책 서버가 동일한 암호화 키를 사용하는지 확인하십시오. 암호화 키 값을 알 수 없는 경우에는 정책 저장소의 r12.x 값을 재설정하십시오. 12.6.01 정책 서버를 설치할 때 새 값을 사용하십시오.
- 동적 에이전트 키를 생성하는 단일 정책 서버를 선택하십시오. 나머지 정책 서버에 대한 에이전트 키 생성이 사용되지 않도록 설정합니다.
결합된 정책 저장소에서 r12.x 키 저장소 분리
r12.x 환경에 결합된 정책/키 저장소가 있는 경우 r12.x 키 저장소를 정책 저장소와 분리하십시오.
정책 저장소에서 키를 분리하려면 다음과 같은 태스크를 포함하는 다단계 프로세스를 수행해야 합니다.
- 결합된 정책/키 저장소로 구성되지 않은12.x정책 서버를 설치하거나 찾습니다.
- r12.x 환경에서 동적 에이전트 키 생성이 사용되지 않도록 설정합니다.참고:현재 환경에서 정적 키를 사용하는 경우에는 이 단계가 필요하지 않습니다. 그러나 정책 저장소에서 키를 내보낸 후에는 CA Single Sign-On 관리자가 임의 에이전트 키를 생성할 수 없습니다.
- r12.x의 결합된 저장소에서 에이전트 키를 내보냅니다.
- 새로운 r12.x 키 저장소로 에이전트 키를 가져옵니다.
- 모든 정책 서버가 별도의 키 저장소를 사용하도록 구성합니다.
- 동적 에이전트 키 생성을 다시 활성화합니다.
결합된 정책/키 저장소를 사용하지 않는 12.x 정책 서버 설치 또는 찾기
키 저장소를 분리하려면 일련의 정책 서버 유틸리티가 필요합니다. 이미 결합된 저장소를 관리하도록 구성된 정책 서버에 있는 유틸리티는 사용하지 마십시오. 결합된 저장소로 구성되지 않은 정책 서버에서는 독립적인 필수 유틸리티 집합을 사용할 수 있습니다. 이러한 유틸리티를 사용하면 결합된 저장소에 영향을 주지 않고 키 저장소를 구성할 수 있습니다.
다음 단계를 수행하십시오.
- 결합된 저장소로 구성되지않은12.x 정책 서버를 설치하거나 찾습니다.
- 아직 키 저장소를 사용하지 않는 12.x 정책 서버를 사용합니다. 결합된 저장소로 구성되지 않은 정책 서버에 별도의 r12.x 키 저장소 인스턴스를 새로 생성합니다. 다음 사항을 고려하십시오.
- 키 저장소에는 기본 정책 저장소 스키마만 필요합니다.
- 키 저장소에서는 슈퍼 사용자 암호를 설정하거나 기본 정책 저장소 개체를 가져올 필요가 없습니다.
동적 에이전트 키 생성 사용 안 함
키 저장소 분리를 완료하기 전에는 r12.x 환경이 두 개의 키 저장소를 사용하여 작동합니다.
- 일부 정책 서버는 결합된 정책/키 저장소에 있는 에이전트 키를 사용합니다.
- 일부 정책 서버는 별도의 키 저장소에 있는 에이전트 키를 사용합니다.
별도의 저장소로 키를 내보낸 후 동적 에이전트 키 생성이 사용되지 않도록 설정하면 정책 서버가 키를 생성하는 것을 방지할 수 있습니다. 정책 서버가 키를 생성하지 못하도록 설정하면 모든 저장소에서 키가 동기화되지 않을 때 발생할 수 있는 Single Sign-On 문제를 방지할 수 있습니다.
다음 단계를 수행하십시오.
- r12.x 관리 UI에 로그인합니다.
- "관리", "정책 서버"를 차례로 클릭합니다.
- "키 관리", "에이전트 키 관리"를 차례로 클릭합니다.
- "정적 에이전트 키 사용" 옵션을 선택합니다.
- 제출을 클릭합니다.
정책 서버가 정적 키를 사용하도록 구성됩니다. 정책 서버가 키를 자동으로 생성하지 않습니다.
12.x의 결합된 저장소에서 에이전트 키 내보내기
결합된 정책/키 저장소에서 키를 내보내 별도의 키 저장소에서 키가 사용되도록 설정할 수 있습니다.
다음 단계를 수행하십시오.
- r12.x 정책 서버 호스트 시스템에 로그인합니다. 이 정책 서버가 결합된 정책/키 저장소로 구성되어 있는지 확인합니다.
- 다음 명령을 실행하여 정책 저장소에서 키만 내보냅니다.smkeyexport -dadministrator-wpassword-ofile_name중요!Windows Server에서 UAC(사용자 계정 컨트롤)가 활성화된 경우 관리자 권한으로 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.예:smkeyexport -dsuperuser -wpassword -oagentkeys결합된 정책/키 저장소에서 에이전트 키를 내보냈습니다.
- 에이전트 키가 들어 있는 파일을 올바로 설정된 정책 서버 호스트 시스템에 복사합니다.
새 키 저장소로 에이전트 키 가져오기
결합된 저장소에서 에이전트 키를 내보낸 후에는 해당 키를 새 키 저장소로 가져오십시오.
다음 단계를 수행하십시오.
- r12.x 정책 서버 호스트 시스템에 로그인합니다.
- 다음 명령을 실행하여 에이전트 키를 키 저장소로 가져옵니다.smkeyimport -iinput_filename-dAdminName-wAdminPW[-c] [-cb] [-cf] [-l] [-v] [-t]명령 인수:
-
i
input_filename
생성한 출력 파일의 이름을 지정합니다. 지정하는 파일 이름에는
.smdif
확장명을 포함해야 합니다.-
d
Admin_Name
정책 서버 관리자 계정의 이름을 지정합니다. 관리자 암호는 일반 텍스트로 입력합니다.
-w
Admin_PW
관리자 계정의 암호를 지정합니다.
-c
(선택 사항) 입력 파일에 일반 텍스트 암호가 표시됨을 나타냅니다.
-cf
(선택 사항) smkeyimport가 FIPS 마이그레이션 모드에서 실행되도록 지정합니다. 이 도구는 FIPS 140 호환 암호화 알고리즘을 사용하여 일반 텍스트 암호와 공유 암호를 가져옵니다.
-
cb
(선택 사항) 도구가 이전 버전과 호환되는 암호화 알고리즘을 사용하여 일반 텍스트 암호와 공유 암호를 가져오도록 지시합니다.
-l
(선택 사항) 항목을 생성하여
input_filename
.log 파일에 로깅합니다.-v
(선택 사항) 문제 해결을 위한 세부 정보 표시 모드가 사용되도록 설정합니다.
-t
(선택 사항) 문제 해결을 위한 추적이 사용되도록 설정합니다.
예:
smkeyimport -iagentkeys -dmyadmin -wsamplepw
smkeyimport 도구가 다시 암호화된 에이전트 키를 키 저장소로 가져옵니다.
모든 정책 서버가 별도의 키 저장소를 사용하도록 구성
병렬 환경의 모든 정책 서버가 공용 r12.x 키 저장소를 사용하도록 구성하여 두 환경 간에서 Single Sign-On을 유지합니다.
다음 단계를 수행하십시오.
- 에이전트 키를 동적으로 생성하도록 지정된 정책 서버를 파악합니다. 가장 마지막에 이 정책 서버에서 키 저장소를 구성합니다.
- 환경의 다른 모든 정책 서버에 대해 다음 단계를 수행하십시오.
- 정책 서버 호스트 시스템에 로그인합니다.
- 정책 서버 관리 콘솔을 엽니다.
- 데이터 탭을 클릭합니다.
- 데이터베이스 목록에서 키 저장소를 선택하고 "정책 저장소 데이터베이스 사용" 옵션을 해제합니다.
- 저장소 목록에서 키 저장소 유형을 선택합니다.
- 다음 단계 중 하나를 완료하십시오.
- (LDAP) "LDAP 키 저장소" 섹션에 필수 연결 정보를 입력합니다.
- (ODBC)데이터 원본 정보섹션에 데이터 원본 정보를 입력합니다.
- 연결을 테스트합니다.
- "확인"을 클릭합니다.
- 정책 서버를 다시 시작하여 정책 서버가 키 저장소를 사용하도록 구성합니다.
- 에이전트 키를 생성하도록 지정된 정책 서버가 키 저장소를 사용하도록 구성합니다.
동적 에이전트 키 생성을 사용하도록 다시 설정
동적 에이전트 키 생성이 사용되지 않도록 설정한 경우 에이전트 키를 생성하도록 지정된 정책 서버에서 이 기능을 다시 사용하도록 설정합니다. 환경의 모든 정책 서버가 새 키 저장소를 사용하도록 구성된 후에만 이 절차를 완료하십시오.
다음 단계를 수행하십시오.
- r12.x 관리 UI에 로그인합니다.
- "관리", "정책 서버"를 차례로 클릭합니다.
- "키 관리", "에이전트 키 관리"를 차례로 클릭합니다.
- "동적 에이전트 키 사용" 옵션을 선택합니다.
- 제출을 클릭합니다.지정된 정책 서버가 키를 동적으로 생성하도록 설정됩니다.
정책 저장소에서 키 저장소를 분리하는 데 필요한 태스크를 완료했습니다.