ORACLE Database / WAS (iAS) / SQL 자료실 - 포기하지 않으면 실패하지 않는다!
Vote Reply Modify Delete Forward Prev Next List

  Author   : 조성환 [ ladmin ] Vote: 1934, Modifies: 6, Hit: 7611, Lines: 303, Category: Etc.
Oracle WAS (10gAS) 에 SSL 서비스 구축하기 (초강추)

먼저 아래 사이트에서 인증서 파일을 받습니다. (유료, 데모 라이센스 key, cer 파일)

저는 21일간 사용할수 있는 데모 라이센스 key, cer 파일을 가지고 SSL 을 구현해 보았습니다.

(참고로 라이센스 구매 기준은 FQDN ; host+domainname ; 풀 도메인 기준입니다.)




SSL 데모 라이센스 다운 사이트

http://www.kisa.or.kr/index.jsp
http://www.thawte.co.kr/doc.asp?t_ssl




도메인명  https://sol48.wowunix.com
회사명  Chuncheon National Univ Education
부서명  center
시군구  suksadong
지 역  gangwon
국 가  KR



21-Day Free SSL Trial Certificate (DER, CER, CRT 라는 확장자로 만들어서 사용)

; sol48.wowunix.com.cer 파일로 만들어 사용


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----



sol48.wowunix.com 의 개인키(key)  (KEY 라는 확장자로 만들어서 사용)

; sol48.wowunix.com.key 파일로 만들어 사용


-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQDWbjY1OmGyTJD4OQXgT4P6VXrcd3K3OTf2sNtPob1ijckYagOD
azHVyOPlGByQOmwo3OpDQVJJdYyta4aKdOmoARJRitE0ev2NOvQ5sv0r+AoHXMQ7
+3hX5V26RyEUO/OzC+9japMlcEtgtvL1r/caS+LoQfHwzjqtExh5k+IorQIDAQAB
AoGAGBMbpvI9EcWi6RuN21dSHAMI3kPS71tPOzU0CkbAepYso78TUefxGm2JmKkS
W+cTSasz6gUldfXqq3XNDzJ9IRkRZB26EWcgT4BccSSa9IG15Lnovd5DoIzdpW9y
giG3MopJmDlisW62yuQ2lyE+/PVhKNXaIxHrDGiEGh5QCkECQQDqWEsuaBBcmJZD
D2WGdmN4vn9TeWSxc0VJlTtKzj6uSinsn8WrKNtqeKPK7OonNCgarlzWRTOAvejS
rz1zoPqZAkEA6j7R2wwjLC6ZAaM6bRjfBPPFRvZfo5eWqXwDOh3Bky7HxBTekOat
VwUhb6AOvaQuyYVTBbM/j++jfh1L6DvfNQJALbvpgDcC6m9E8/VvRNyZ8RiMVMge
JJtwbDnZhnHVvcHviKRtuUeR+qdsn8+4qsn9AagBqjd7I6bsZyGYBpbmEQJBAJj/
yyZd+SNElF/Dc8gKdLDRYEuHZNR/kMLG43y0LtmptoVWdEEEyreJ/Frimn43nO+3
i5CvkZa8GXeoPwpDAPkCQQC3Zez3gguXsGcUn9nL8IUczP745IaSaxRsIQdVFXW6
udWyRDiI++njFkDF18tXZEW/cAJqFejQmt1QdugnVE6a
-----END RSA PRIVATE KEY-----




그리고 CA 파일을 만들어서 사용

; sol48.wowunix.com_ca.cer 파일 생성


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----




참고로 CSR ; REQUEST file 관련 자료가 인증기관으로 부터 key 파일과 함께 오는데 필요 없습니다.








<< Oracle WAS (10gAS) 에 SSL 서비스 구축하기 >>


1. /oraapp/as10g/opmn/conf/opmn.xml 파일 수정

; ssl-disabled 를 ssl-enabled 으로 변경


        <ias-component id="HTTP_Server">
           <process-type id="HTTP_Server" module-id="OHS">
              <module-data>
                 <category id="start-parameters">
                    <data id="start-mode" value="ssl-enabled"/>
                 </category>
              </module-data>
              <process-set id="HTTP_Server" numprocs="1"/>
           </process-type>
        </ias-component>




2. /oraapp/as10g/Apache/Apache/conf/ssl.conf 파일 수정

; Apache ssl.conf 파일에서 포트 변경 (4444 => 443)


Listen 443

<VirtualHost _default_:443>


참고로 1024 포트 이하를 사용하려면 Setuid 를 주어 root 로 프로세서를 띄워야 합니다.



(다음을 root 유저로 실행합니다.)

cd /oraapp/as10g_101202/Apache/Apache/bin

#   ls -l

-rwsr-sr-x   1 root     dba       419860 2005년  7월 13일 .apachectl*
-rwx------   1 oraapp   dba        12380  2월  1일  00:28 apachectl*


#   chown root .apachectl ; chmod 6755 .apachectl


#   ls -l

-rwsr-sr-x   1 root     dba       419860 2005년  7월 13일 .apachectl*
-rwx------   1 oraapp   dba        12380  2월  1일  00:28 apachectl*



여기서 apachectl 을 작업하는것이 아니고 .apachectl 을 작업합니다.

이유를 물어보니 Oracle WAS 만의 작업과정이라고 설명을 들었습니다.  (대구 데이타뱅크 시스템즈)





3. /oraapp/as10g/Apache/Apache/conf/ssl.wlt/default 디렉토리에 받은 인증서 파일 ftp 로 올린다

drwx------   2 oraapp   dba          512  2월  5일  15:20 ./
drwx------   3 oraapp   dba          512  2월  1일  00:28 ../
-rw-r--r--   1 oraapp   dba         1206  2월  5일  15:08 sol48.wowunix.com.cer
-rw-r--r--   1 oraapp   dba          900  2월  5일  15:08 sol48.wowunix.com.key
-rw-r--r--   1 oraapp   dba          961  2월  5일  15:08 sol48.wowunix.com_ca.cer
-rwx------   1 oraapp   dba         3145  2월  5일  15:21 cwallet.sso*
-rwx------   1 oraapp   dba         2569  2월  5일  15:20 ewallet.p12*




4. ssl2ossl 실행

; 다음과 같이 ssl2ossl 를 실행하여 wallet (전자지갑) 에 보안 인증서를 생성 시킨다

$ORACLE_HOME/Apache/Apache/bin/ssl2ossl \
-cert sol48.wowunix.com.cer \
-key sol48.wowunix.com.key \
-cafile sol48.wowunix.com_ca.cer \
-wallet $ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default




참고로 $ORACLE_HOME 은 /oraapp/as10g 입니다.

사용자 (oraapp) 쉘에 다음 환경변수 추가하시면 됩니다.
export ORACLE_HOME=/oraapp/as10g



설치는 이것으로 끝났습니다......... 그럼 xwindows 에서 /oraapp/as10g/bin/owm 을 실행하시면 wallet (전자지갑) 화면이 나옵니다.  (패스워드는 welcome 입니다.)

인증:[준비] ( => cer 인증파일 관련 내용 확인)
보안인증 ( => *ca_cer 인증파일 관련 내용 확인)

메뉴를 보시면 설치된 인증서를 확인하실수 있습니다.







<< WAS 서비스 기동 >>

Oralce WAS (10g AS) 에서 webcache 를 사용한다고 가정하고 설명 드리겠습니다.


1. http 서비스  (https 로 서비스 안하는 부분)

; 기존 방식 그대로 webcache 가 제일 앞단에서 서비스 합니다.

이럴 경우 설정 (webcache, Apache webserver) 변경 할게 하나도 없기 때문에 기존 구성 그대로 서비스 하시면 됩니다.



2. https 서비스

; 이 경우 앞단의 webcache 를 태우지 않고 바로 Apache webserver 로 접속하여 서비스 하셔야 합니다.

위에서 Apache ssl.conf 에 Listen port 를  443 으로 변경하였습니다.


1) Apache webserver restart

; opmnctl stopproc ias-component=HTTP_Server  &  opmnctl startproc ias-component=HTTP_Server  실행


2) Apache webserver 설정 확인하기

opmnctl status -l

Processes in Instance: instance1.sol48.wowunix.com
-------------------+--------------------+---------+----------+------------+----------+-----------+------
ias-component      | process-type       |     pid | status   |        uid |  memused |    uptime | ports
-------------------+--------------------+---------+----------+------------+----------+-----------+------
DSA                | DSA                |     N/A | Down     |        N/A |      N/A |       N/A | N/A
HTTP_Server        | HTTP_Server        |   20693 | Alive    | 1350959135 |    36848 |  70:51:09 | http1:7778,http2:7200,https1:443
LogLoader          | logloaderd         |     N/A | Down     |        N/A |      N/A |       N/A | N/A
dcm-daemon         | dcm-daemon         |     N/A | Down     |        N/A |      N/A |       N/A | N/A
OC4J               | home               |   20694 | Alive    | 1350959136 |   125384 |  70:51:24 | ajp:12501,rmi:12401,jms:12601
WebCache           | WebCache           |   20952 | Alive    | 1350959139 |    38248 |  70:40:34 | http:80,invalidation:9401,statistics:9402,https:443
WebCache           | WebCacheAdmin      |   20696 | Alive    | 1350959138 |    11592 |  70:51:24 | administration:9400


참고로 HTTP_Server 의 Ports (포트) 를 설명 드리면

http1:7778  ;  기본적으로 http ?洲보?위한 포트
http2:7200  ;  내부적으로 Apache 서버가 사용하는 포트  (서버 접속후 telnet localhost 7200 하면 포트 접속 확인 하실수 있습니다.)
https1:443  ;  기본적으로 https 서비스를 위한 포트



마지막으로 https://sol48.wowunix.com 으로 확인하시면 됩니다.

(참고로 https 프로토콜은 default port 가 443 입니다. 443 으로 맞춰 놓았기 때문에 별도의 포트 지정을 안하셔도 443 으로 접속 될것입니다.)






* 참고 *

위에서는 webcache 에서 https 서비스를 안하고 Apache webserver 에서 https 서비스를 하도록 설정해 놓았습니다.

꼭 그렇게 안하셔도 되고 webcache 에 아래와 같이 설정하신후 webcache + Apache webserver 로 운영하셔도 됩니다.


webcache admin (관리자) 페이지 에서 Origin Servers 설정을 변경합니다.

Application Web Servers
Host   Port Routing  Capacity Failover Threshold Ping URL Ping Interval (seconds) Protocol
sol48.wowunix.com 443 ENABLED 100  5   /  10    HTTPS


그런데 webcache 에서 SSL 기능을 사용할 경우 Apache webserver 의 부하를 분담하는 기능은 좋으나 webcache 에서 SSL 세션을 관리하는 경우 문제 발생시 추적이 매우 어렵다고 합니다.

그래서 현재로서는 Apache webserver 가 직접 https 서비스를 하기를 권장합니다.



Prev: How to reset the ias_admin password (초강추)
Next: Oracle iAS Default Tunning (강추)
2007/02/10(22:10) from 59.30.129.220
CrazyWWWBoard 2000

Vote Reply Modify Delete Forward Prev Next List
(c) Nobreak Technologies, Inc.