공용 키 저장소 배포

모든 정책 서버가 키 롤오버를 위해 단일 공용 키 저장소를 사용할 수 있습니다. 다음 그림에서는 공용 키 저장소 배포를 설정하는 과정을 보여 줍니다.
casso127kkr
모든 정책 서버가 키 롤오버를 위해 단일 공용 키 저장소를 사용할 수 있습니다. 다음 그림에서는 공용 키 저장소 배포를 설정하는 과정을 보여 줍니다.
Common Keystore Deployment
다음 링크에서는 사용자가 완료해야 하는 그림의 각 태스크에 대해 설명합니다.
3
배포 개요
다음 그림에서는 다음을 포함하여 단일 공용 키 저장소를 사용하는 배포를 보여 줍니다.
  • 공용 r12.x 키 저장소는 모든 정책 서버에 대한 키 데이터를 유지 관리합니다.
    공용 키 저장소를 사용하면 모든 정책 서버에 연결된 에이전트가 키를 공유할 수 있습니다. 키를 공유하면 두 환경 간에서 싱글 사인온을 사용할 수 있습니다.
  • 모든 정책 서버는 공용 키 저장소에 연결하여 새 키를 검색합니다.
  • 기존 정책 서버와 새 정책 서버는 해당하는 정책 저장소에 연결합니다. 
  • (그림에 표시되지 않음) 모든 웹 에이전트는 해당하는 정책 서버를 폴링하여 새 키를 검색합니다.
장애 조치를 위해 키 저장소 데이터를 복제할 수 있습니다. 데이터베이스 또는 디렉터리 서버 유형에 따라 데이터를 복제하는 방법이 결정됩니다.
single common key store
공용 키 저장소 요구 사항
공용 키 저장소를 배포하려면 다음 요구 사항을 모두 충족하십시오. 그러지 않으면 Single Sign-On에 실패합니다.
  • r12.x 정책 저장소와 키 저장소를 별도로 유지 관리하십시오. 다음 작업 중
    하나
    를 수행하십시오.
    • r12.x 환경의 정책 저장소와 키 저장소가 결합된 경우 r12.x 키를 독립된 키 저장소로 분리하십시오. 이 섹션 다음에 나오는 지침을 참조하십시오.
    • r12.x 환경에 이미 별도의 키 저장소가 있으면 해당 키 저장소를 r12.x에서 유지하십시오. 12.7 정책 서버는 r12.x 키 저장소와 통신할 수 있습니다. 그러나 r12.x 정책 서버는 12.7 키 저장소와 통신할 수 없습니다.
  • 모든 정책 서버가 공용 r12.x 키 저장소를 사용하도록 구성하십시오.
  • 모든 정책 서버가 동일한 암호화 키를 사용하는지 확인하십시오. 암호화 키 값을 알 수 없는 경우에는 정책 저장소의 r12.x 값을 재설정하십시오. 12.7 정책 서버를 설치할 때 새 값을 사용하십시오.
  • 동적 에이전트 키를 생성하는 단일 정책 서버를 선택하십시오. 나머지 정책 서버에 대한 에이전트 키 생성이 사용되지 않도록 설정합니다.
결합된 정책 저장소에서 r12.x 키 저장소 분리
r12.x 환경에 결합된 정책/키 저장소가 있는 경우 r12.x 키 저장소를 정책 저장소와 분리하십시오.
정책 저장소에서 키를 분리하려면 다음과 같은 태스크를 포함하는 다단계 프로세스를 수행해야 합니다.
  1. 결합된 정책/키 저장소로 구성되지 않은
    12.x
    정책 서버를 설치하거나 찾습니다.
  2. r12.x 환경에서 동적 에이전트 키 생성이 사용되지 않도록 설정합니다.
    참고:
    현재 환경에서 정적 키를 사용하는 경우에는 이 단계가 필요하지 않습니다. 그러나 정책 저장소에서 키를 내보낸 후에는 CA Single Sign-On 관리자가 임의 에이전트 키를 생성할 수 없습니다.
  3. r12.x의 결합된 저장소에서 에이전트 키를 내보냅니다.
  4. 새로운 r12.x 키 저장소로 에이전트 키를 가져옵니다.
  5. 모든 정책 서버가 별도의 키 저장소를 사용하도록 구성합니다.
  6. 동적 에이전트 키 생성을 다시 활성화합니다.
결합된 정책/키 저장소를 사용하지 않는 12.x 정책 서버 설치 또는 찾기
키 저장소를 분리하려면 일련의 정책 서버 유틸리티가 필요합니다. 이미 결합된 저장소를 관리하도록 구성된 정책 서버에 있는 유틸리티는 사용하지 마십시오. 결합된 저장소로 구성되지 않은 정책 서버에서는 독립적인 필수 유틸리티 집합을 사용할 수 있습니다. 이러한 유틸리티를 사용하면 결합된 저장소에 영향을 주지 않고 키 저장소를 구성할 수 있습니다.
다음 단계를 수행하십시오.
  1. 결합된 저장소로 구성되지
    않은
    12.x 정책 서버를 설치하거나 찾습니다. 
  2. 아직 키 저장소를 사용하지 않는 12.x 정책 서버를 사용합니다. 결합된 저장소로 구성되지 않은 정책 서버에 별도의 r12.x 키 저장소 인스턴스를 새로 생성합니다. 다음 사항을 고려하십시오.
    • 키 저장소에는 기본 정책 저장소 스키마만 필요합니다. 
    • 키 저장소에서는 슈퍼 사용자 암호를 설정하거나 기본 정책 저장소 개체를 가져올 필요가 없습니다.
동적 에이전트 키 생성 사용 안 함
키 저장소 분리를 완료하기 전에는 r12.x 환경이 두 개의 키 저장소를 사용하여 작동합니다.
  • 일부 정책 서버는 결합된 정책/키 저장소에 있는 에이전트 키를 사용합니다.
  • 일부 정책 서버는 별도의 키 저장소에 있는 에이전트 키를 사용합니다.
별도의 저장소로 키를 내보낸 후 동적 에이전트 키 생성이 사용되지 않도록 설정하면 정책 서버가 키를 생성하는 것을 방지할 수 있습니다. 정책 서버가 키를 생성하지 못하도록 설정하면 모든 저장소에서 키가 동기화되지 않을 때 발생할 수 있는 Single Sign-On 문제를 방지할 수 있습니다.
다음 단계를 수행하십시오.
  1. r12.x 관리 UI에 로그인합니다.
  2. "관리", "정책 서버"를 차례로 클릭합니다.
  3. "키 관리", "에이전트 키 관리"를 차례로 클릭합니다.
  4. "정적 에이전트 키 사용" 옵션을 선택합니다.
  5. 제출을 클릭합니다.
정책 서버가 정적 키를 사용하도록 구성됩니다. 정책 서버가 키를 자동으로 생성하지 않습니다.
12.x의 결합된 저장소에서 에이전트 키 내보내기
결합된 정책/키 저장소에서 키를 내보내 별도의 키 저장소에서 키가 사용되도록 설정할 수 있습니다.
다음 단계를 수행하십시오.
  1. r12.x 정책 서버 호스트 시스템에 로그인합니다. 이 정책 서버가 결합된 정책/키 저장소로 구성되어 있는지 확인합니다.
  2. 다음 명령을 실행하여 정책 저장소에서 키만 내보냅니다.
    smkeyexport -d
    administrator
     -w
    password
     -o
    file_name
    중요!
    Windows Server에서 UAC(사용자 계정 컨트롤)가 활성화된 경우 관리자 권한으로 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.
    예:
    smkeyexport -dsuperuser -wpassword -oagentkeys
    결합된 정책/키 저장소에서 에이전트 키를 내보냈습니다.
  3. 에이전트 키가 들어 있는 파일을 올바로 설정된 정책 서버 호스트 시스템에 복사합니다.
새 키 저장소로 에이전트 키 가져오기
결합된 저장소에서 에이전트 키를 내보낸 후에는 해당 키를 새 키 저장소로 가져오십시오.
다음 단계를 수행하십시오.
  1. r12.x 정책 서버 호스트 시스템에 로그인합니다.
  2. 다음 명령을 실행하여 에이전트 키를 키 저장소로 가져옵니다.
    smkeyimport -i
    input_filename
     -d
    AdminName
     -w
    AdminPW
     [-c] [-cb] [-cf] [-l] [-v] [-t]
    명령 인수:
-
i
input_filename
생성한 출력 파일의 이름을 지정합니다. 지정하는 파일 이름에는
.smdif
확장명을 포함해야 합니다.
-
d
A
dmin_Name
정책 서버 관리자 계정의 이름을 지정합니다. 관리자 암호는 일반 텍스트로 입력합니다.
-w
A
dmin_PW
관리자 계정의 암호를 지정합니다.
-c
(선택 사항) 입력 파일에 일반 텍스트 암호가 표시됨을 나타냅니다.
-cf
(선택 사항) smkeyimport가 FIPS 마이그레이션 모드에서 실행되도록 지정합니다. 이 도구는 FIPS 140 호환 암호화 알고리즘을 사용하여 일반 텍스트 암호와 공유 암호를 가져옵니다.
-
cb
(선택 사항) 도구가 이전 버전과 호환되는 암호화 알고리즘을 사용하여 일반 텍스트 암호와 공유 암호를 가져오도록 지시합니다.
-l
(선택 사항) 항목을 생성하여
input_filename
.log 파일에 로깅합니다.
-v
(선택 사항) 문제 해결을 위한 세부 정보 표시 모드가 사용되도록 설정합니다.
-t
(선택 사항) 문제 해결을 위한 추적이 사용되도록 설정합니다.
예:
smkeyimport -iagentkeys -dmyadmin -wsamplepw
smkeyimport 도구가 다시 암호화된 에이전트 키를 키 저장소로 가져옵니다.
모든 정책 서버가 별도의 키 저장소를 사용하도록 구성
병렬 환경의 모든 정책 서버가 공용 r12.x 키 저장소를 사용하도록 구성하여 두 환경 간에서 Single Sign-On을 유지합니다.
다음 단계를 수행하십시오.
  1. 에이전트 키를 동적으로 생성하도록 지정된 정책 서버를 파악합니다. 가장 마지막에 이 정책 서버에서 키 저장소를 구성합니다.
  2. 환경의 다른 모든 정책 서버에 대해 다음 단계를 수행하십시오.
    1. 정책 서버 호스트 시스템에 로그인합니다.
    2. 정책 서버 관리 콘솔을 엽니다.
    3. 데이터 탭을 클릭합니다.
    4. 데이터베이스 목록에서 키 저장소를 선택하고 "정책 저장소 데이터베이스 사용" 옵션을 해제합니다.
    5. 저장소 목록에서 키 저장소 유형을 선택합니다.
    6. 다음 단계 중 하나를 완료하십시오.
      • (LDAP) "LDAP 키 저장소" 섹션에 필수 연결 정보를 입력합니다.
      • (ODBC)
        데이터 원본 정보
        섹션에 데이터 원본 정보를 입력합니다.
    7. 연결을 테스트합니다.
    8. "확인"을 클릭합니다.
    9. 정책 서버를 다시 시작하여 정책 서버가 키 저장소를 사용하도록 구성합니다.
  3. 에이전트 키를 생성하도록 지정된 정책 서버가 키 저장소를 사용하도록 구성합니다.
동적 에이전트 키 생성을 사용하도록 다시 설정
동적 에이전트 키 생성이 사용되지 않도록 설정한 경우 에이전트 키를 생성하도록 지정된 정책 서버에서 이 기능을 다시 사용하도록 설정합니다. 환경의 모든 정책 서버가 새 키 저장소를 사용하도록 구성된 후에만 이 절차를 완료하십시오.
다음 단계를 수행하십시오.
  1. r12.x 관리 UI에 로그인합니다.
  2. "관리", "정책 서버"를 차례로 클릭합니다.
  3. "키 관리", "에이전트 키 관리"를 차례로 클릭합니다.
  4. "동적 에이전트 키 사용" 옵션을 선택합니다.
  5. 제출을 클릭합니다.
    지정된 정책 서버가 키를 동적으로 생성하도록 설정됩니다.
정책 저장소에서 키 저장소를 분리하는 데 필요한 태스크를 완료했습니다.