'클라이언트인증'에 해당되는 글 1건

  1. 2008.08.14 Tomcat에서 KeyStore 파일 등록(SSL 서버 인증)
posted by 동건이 2008. 8. 14. 12:34

Tomcat에서 KeyStore 파일 등록(SSL 서버 인증)

Keytool 로 생성한 JKS 형식의 KeyStore와 Openssl 로 생성한 PKCS#12 형식의 KeyStore 파일을 Tomcat에서
설정하려면 다음과 같이 하면 된다. (server.xml)


<Connector classNam="org.apache.coyote.tomcat4.CoyoteConnector"
                              port="9443" minProcessors="5" maxProcessors="75"
                              enableLookups="true"
                              acceptCount="100" debug="0" scheme="https" secure="true"
                              useURIValidationHack="false" disableUploadTimeout="true">


    <Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
                              clientAuth="false" protocol="TLS"
                              keystoreFile="D:/key/esum.pfx"
                              keystorePass="passwordexample" keystoreType="PKCS12"/>
</Connector>


Tomcat 에서는 Private Key 보안을 위해 설정한 암호화 Keystore 암호는 반드시 같아야 한다.


Tomcat에서 client 인증을 위한 설정
<Connector classNam="org.apache.coyote.tomcat4.CoyoteConnector"
                              port="9443" minProcessors="5" maxProcessors="75"
                              enableLookups="true"
                              acceptCount="100" debug="0" scheme="https" secure="true"
                              useURIValidationHack="false" disableUploadTimeout="true">


    <Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
                              clientAuth="true" protocol="TLS"
                              keystoreFile="D:/key/esum.pfx"
                              keystorePass="passwordexample" keystoreType="PKCS12"/>
</Connector>


클라이언트 인증을 위해서는 클라이언트 인증서를 서버에 등록할 필요는 없다. 클라이언트가 전송한 인증서를
서버는 인증서 검증만 한다.
따라서, 클라이언트 인증을 사용하기 위해서는 먼저 발급 인증기관이나 중계기관의 인증서가
서버의 CA Certs File에  저장을 해야한다.

보통 JAVA 2RunTime 환경에서는 Versign 의 인증기관은 CA Certs File에 포함되어 있다.
우리나라에서 인증서를 발급하는 중계 인증 기관에 대한 정보는 java 2 runtime 환경에 포함되어 있지 않으므로
CA CERT File에 저장해야 한다.


- IE에서 클라이언트 인증을 하려면 클라이언트 인증서를 PKCS #12 형태로 변환한 후 PC에 설치하면 된다.
  (메뉴-도구-인터넷옵션-내용-인증서-개인)


*참고 사이트
-http://jakarta.apache-korea.org/tomcat4/tomcat-4.1-doc/ssl-hoto.html
-http://www.developer.com/java/ent/article.php/10933_3105261_1
-http://kr.bea.com
-http://en.wikipedia.org
-http://www.securitytechnet.com
-http://www.drh-consultancy.demon.co.uk/pkcs12faq.html
-http://network.hanbitbook.co.kr/view.php?bi_id=655&pg=6
-http://www.mkssoftware.com/docs/man1/openssl_pkcs8.1.asp
-http://access1.sun.com/techarticles/Keytool.html
-http://mindprod.com/jgloss/keytool.html
-http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html
-http://docs.hp.com/en/5991-0777/ch01s07.html






댓글을 달아 주세요