SSL용 IBM i 호스트 구성

이 태스크 정보

이 단계에서는 SSL(Secure Sockets Layer)을 자체 서명 인증 기관(CA)으로 실행하도록 IBM® i 호스트를 구성하는 방법에 대해 설명합니다. DCM(Digital Certificate Manager) 및 IBM HTTP Server for i를 통해 사용자 네트워크의 디지털 인증서를 관리할 수 있고 SSL을 사용하여 보안 통신을 사용할 수 있습니다.
참고: 아직 설치하지 않은 경우 DCM을 설치하십시오(기본 운영 체제의 옵션 34). DCM 설치 요구사항에 대한 자세한 정보는 http://publib.boulder.ibm.com/eserver/ibmi.html에서 사용자 릴리스의 Information Center를 참조하십시오.

프로시저

  1. 다음 단계에서는 DCM의 웹 페이지로 안내합니다.
    1. 사용자의 PC에서 브라우저를 열어서 다음 URL로 위치를 지정하십시오.
       http://[your_isystem]:2001
      참고: 호스트에서 HTTP 관리 서버를 아직 시작하지 않은 경우 다음을 사용하여 시작해야 할 수도 있습니다.
       strtcpsvr server(*HTTP) httpsvr(*admin)
    2. 웹 페이지를 사인온하려면 호스트 사용자 ID 및 비밀번호를 제공하십시오. 이제 IBM Systems Director Navigator for i를 시작합니다 페이지에 있습니다.
    3. 환영 페이지에서 IBM i 태스크 페이지 링크를 클릭하십시오.
    4. DCM(Digital Certificate Manager) 링크를 클릭하십시오.
    5. 사용자 ID 및 비밀번호를 다시 입력하십시오.
    6. 이제 DCM(Digital Certificate Manager)의 웹 페이지에 있습니다.
      참고: 또한 왼쪽 프레임에서 IBM i 관리 > 인터넷 구성 링크를 클릭한 다음 인터넷 구성 페이지에서 DCM(Digital Certificate Manager) 링크를 클릭하여 DCM 웹 페이지로 이동할 수도 있습니다.
  2. 그런 다음, 호스트에 *SYSTEM 유형의 인증서 저장소가 없다고 가정하고 해당 저장소 하나를 작성합니다. 이는 추가 단계에서 작성된 인증서를 저장하고 관리하눈 대 사용되는 파일입니다. 인증서 저장소 파일에는 해당 파일에 대한 액세스를 제어하기 위한 고유의 연관 비밀번호가 있습니다.
    1. 왼쪽 프레임에서 인증서 저장소 새로 작성 링크를 클릭하십시오.
    2. *SYSTEM을 선택하십시오. *SYSTEM이 표시되지 않은 경우 이미 인증서 저장소가 있을 수도 있습니다. 그런 경우에는 호스트의 인증 기관 인증서 보기 및 내보내기 단계로 이동하십시오.
    3. 계속을 클릭하십시오.
    4. 아니오 - 인증서 저장소에 인증서를 작성하지 마십시오를 선택하십시오.
    5. 계속을 클릭하십시오.
    6. 인증서 저장소 비밀번호:비밀번호 확인:을 설정하십시오.
    7. 계속을 클릭하십시오.
    8. 인증서 저장소가 작성되었습니다라는 메시지를 가져옵니다.
  3. 그런 다음, 다음과 같이 호스트의 CA 인증서를 작성합니다.
    1. 왼쪽 프레임에서 인증 기관(CA) 작성 링크를 클릭하십시오.
    2. 인증서 저장소 작성 시 이전 섹션에서 설정한 사항으로 인증서 저장소 비밀번호:비밀번호 확인:을 설정하십시오.
    3. 인증 기관(CA) 이름:을 system.domain의 소문자 값으로 설정하십시오. 예를 들면 다음과 같습니다.
      host001.dept2.corp123.com
    4. 필수 필드(조직 이름, 시/도 또는 군/구, 국가)를 설정하십시오.
    5. 인증 기관의 유효 기간을 설정하십시오. 이는 최대 "7300"일까지 설정할 수 있습니다.
    6. 이제 인증서 설치 링크를 클릭하여 브라우저에서 인증서를 설치할 수 있습니다. "이...를 신뢰합니다"의 상자를 모두 선택한 다음 확인을 클릭해도 됩니다.
    7. 계속을 클릭하여 인증 기관(CA) 정책 데이터 페이지로 이동하십시오.
    8. 사용자 인증서 작성 허용:에 대해서는 아니오를 선택하십시오.
    9. 이 인증 기관(CA)에서 발행되는 인증서의 유효 기간(1-2000):은 "1"일과 "2000"일 사이의 값으로 설정하십시오.
    10. 계속을 클릭하십시오.
    11. 애플리케이션 인증 기관(CA) 신뢰 목록에 이 인증 기관(CA)을 포함시킬 애플리케이션을 모두 선택하십시오.
    12. 선택한 애플리케이션이 이 인증 기관(CA)를 신뢰합니다라는 메시지를 가져옵니다.
    13. 계속을 클릭하여 CA 작성을 완료하십시오.
    14. 이제 웹 페이지에는 오브젝트 서명 인증서 작성이 표시됩니다. 지금은 이것이 필요하지 않으므로 취소를 클릭하십시오.
  4. 그런 다음, 다음과 같이 호스트의 CA 인증서를 보고 내보냅니다.
    1. 왼쪽 프레임에서 인증서 저장소 선택 단추를 클릭하십시오.
    2. *SYSTEM을 선택하십시오.
    3. 계속을 클릭하십시오.
    4. 인증서 저장소의 비밀번호를 입력하십시오.
    5. 왼쪽 프레임에서 인증서 관리 > 인증서 보기 링크를 클릭하십시오.
    6. 인증 기관(CA)을 선택하고 인증 기관(CA) 인증서를 보십시오.
    7. 계속을 클릭하십시오.
    8. LOCAL_CERTIFICATE _AUTHORITY_... 목록이 표시되었는지 확인하십시오. 해당 목록을 보고 입력한 사항을 확인할 수 있습니다.
  5. 다음과 같이 CA 인증서를 IFS의 파일로 내보낼 수 있습니다.
    1. 왼쪽 프레임에서 인증서 관리 > 인증서 내보내기 링크를 클릭하십시오.
    2. 인증 기관(CA)을 선택하고 인증 기관(CA) 인증서를 다른 인증서 저장소나 다른 시스템에서 사용할 파일로 내보내십시오.
    3. 계속을 클릭하십시오.
    4. LOCAL_CERTIFICATE _AUTHORITY_...를 선택하십시오.
    5. 내보내기 단추를 클릭하십시오.
    6. 파일을 선택하고 파일로 내보내십시오. 이 경우 파일을 다른 시스템으로 전송하거나 인증서를 기존 인증서 저장소로 가져올 수 있습니다.
    7. 계속을 클릭하십시오.
    8. 인증서를 내보낼 IFS 파일 이름을 입력하십시오. 예를 들면 다음과 같습니다.
      /tmp/myhostCA.cer
      존재하는 IFS 디렉토리를 입력하십시오. 그렇지 않으면 내보내기가 실패합니다.
    9. 계속을 클릭하십시오.
    10. 파일을 IFS 위치로 내보냈다는 메시지가 표시됩니다.
      참고: Rational® Developer for Power 클라이언트에 인증서를 등록하기 위해서는 로컬 PC에 이 인증서 파일이 반드시 있어야 합니다. 파일은 EBCDIC에서 ASCII로 올바르게 변환되도록 텍스트 파일로 전송해야 하고, 2진 파일로 전송해서는 안됩니다. Rational Developer for Power Systems Software의 원격 시스템 탐색기를 사용하여 파일을 복사하려면 먼저 *.cer 파일의 파일 전송 모드텍스트로 설정해야 합니다. 이 작업을 수행하려면, > 환경 설정을 선택한 다음 원격 시스템 > 파일을 선택하고 ...추가를 클릭하여 *.cer 파일의 파일 전송 모드를 추가하십시오.
  6. 다음과 같이 서버 애플리케이션에서 사용할 호스트의 인증서를 작성하십시오.
    1. 왼쪽 프레임에서 인증서 작성 링크를 선택하십시오.
    2. 서버 또는 클라이언트 인증서를 선택하십시오.
    3. 계속을 클릭하십시오.
    4. 로컬 인증 기관(CA)을 선택하십시오.
    5. 계속을 클릭하십시오.
    6. 키 크기:를 원하는 암호화 크기로 설정하십시오.
    7. 인증서에 사용자가 선택한 레이블을 제공하십시오.
    8. 인증서에 사용자가 선택한 공통 이름을 제공하십시오.
    9. 필수 필드(조직 이름, 시/도 또는 군/구, 국가)를 설정하십시오.
    10. 계속을 클릭하십시오. 인증서가 작성되었다는 메시지를 가져옵니다.
    11. 이 인증서를 사용할 애플리케이션을 모두 선택하십시오.
    12. 계속을 클릭하십시오. 선택한 애플리케이션에서 인증서를 사용할 것이라는 확인 메시지를 예상하십시오.
    13. 확인을 클릭하십시오.
    14. 호스트 설정이 완료되었으므로, 이제 보안 연결을 위해 Rational Developer for Power Systems Software 클라이언트를 설치한 후 SSL을 통해 연결할 수 있어야 합니다.

피드백