Skip to content
CA Single Sign-On - 12.52 SP1 - Korean - Korea
Documentation powered by DocOps

LDAP 데이터 저장소에 대한 SSL 연결 구성

Last update September 7, 2018

목차

LDAP 디렉터리 저장소에 대한 SSL 연결을 구성하려면 사용자의 인증서 데이터베이스 파일을 사용하도록 CA Single Sign-On을 구성해야 합니다.

SSL 사전 요구 사항 검토

다음 SSL 사전 요구 사항을 고려하십시오.

  • 디렉터리 서버가 SSL을 지원하는지 확인합니다. 자세한 내용은 해당 공급업체의 설명서를 참조하십시오.

  • CA Single Sign-On에서는 Mozilla LDAP SDK를 사용하여 LDAP 디렉터리와 통신하므로 데이터베이스 파일이 Netscape 버전 파일 형식(cert8.db)이어야 합니다.

    중요! cert8.db 데이터베이스 파일에 인증서를 설치할 때 Microsoft Internet Explorer를 사용하지 마십시오.

인증서 데이터베이스 파일 만들기

인증서 데이터베이스 파일을 만들려면 정책 서버에 포함된 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.

참고: 다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요! Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.

다음 단계를 수행하십시오.

  1. 명령 프롬프트에서 설치 bin 디렉터리로 이동합니다.
    예: C:\Program Files\CA\siteminder\bin

    참고: Windows에는 네이티브 certutil 유틸리티가 있습니다. 정책 서버의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 입력하십시오.

    certutil -N -d certificate_database_directory

    • -N
      cert8.db, key3.db 및 secmod.db 인증서 데이터베이스 파일을 생성합니다.
    • -d certificate_database_directory
      certutil 도구가 인증서 데이터베이스 파일을 생성할 디렉터리를 지정합니다.
    참고: certificate_database_directory에서 지정한 디렉터리가 이미 존재해야 합니다. 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.

    데이터베이스 키 암호화에 사용할 암호를 묻는 메시지가 표시됩니다.

  3. 암호를 입력하고 확인합니다.
    필요한 다음 인증서 데이터베이스 파일이 생성됩니다.
    • cert8.db
    • key3.db
    • secmod.db

예: 인증서 데이터베이스 파일 만들기

certutil -N -d C:\certdatabase

인증서 데이터베이스에 루트 인증 기관 추가

루트 인증 기관(CA)을 추가하려면 정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.

참고: 다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요! Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.

다음 단계를 수행하십시오.

  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예: C:\Program Files\CA\siteminder\bin

    참고: Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.

    certutil -A -n alias -t trust_arguments -i root_CA_path -d certificate_database_directory

    • -A
      인증서 데이터베이스에 인증서를 추가합니다.
    • -n alias
      인증서의 별칭을 지정합니다.

      참고: 별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
    • -t trust_arguments
      인증서에 적용할 트러스트 특성을 지정합니다. 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.
      p
      유효한 피어입니다.
      P
      트러스트된 피어입니다. 이 인수는 p를 내포합니다.
      c
      유효한 CA입니다.
      T
      클라이언트 인증서를 발급하도록 트러스트된 CA입니다. 이 인수는 c를 내포합니다.
      C
      서버 인증서를 발급하도록 트러스트된 CA입니다(SSL만 해당). 이 인수는 c를 내포합니다.
      중요! 이 인수는 SSL 트러스트 범주에 필요합니다.
      u
      인증 또는 서명에 인증서를 사용할 수 있습니다.
    • -i root_CA_path
      루트 CA 파일의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.

      참고: 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.

      참고: 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.

예: 인증서 데이터베이스에 루트 CA 추가

certutil -A -n "My Root CA"  -t "C,," -i C:\certificates\cacert.cer -d C:\certdatabase

인증서 데이터베이스에 서버 인증서 추가

SSL을 통한 통신을 사용하려면 인증서에 서버 인증서를 추가하십시오. 서버 인증서가 인증 기관에서 발급된 경우 각 인증 기관의 루트 인증서를 인증서 데이터베이스에도 추가하십시오.

정책 서버에 있는 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오.

참고: 다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요! Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.

다음 단계를 수행하십시오.

  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예: C:\Program Files\CA\siteminder\bin

    참고: Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.

    certutil -A -n alias -t trust_arguments -i server_certificate_path -d certificate_database_directory

    • -A
      인증서 데이터베이스에 인증서를 추가합니다.
    • -n alias
      인증서의 별칭을 지정합니다.

      참고: 별칭에 공백이 있는 경우 별칭을 따옴표로 묶으십시오.
    • -t trust_arguments
      트러스트 인수를 지정합니다. 각 인증서에 대한 세 개의 사용 가능한 트러스트 범주는 다음 순서로 표시됩니다: "SSL, 전자 메일, 개체 서명". 각 범주 위치에서 다음 특성 인수를 0개 이상 사용할 수 있습니다.
      p
      유효한 피어입니다.
      P
      트러스트된 피어입니다. 이 인수는 p를 내포합니다.

      중요! 이 인수는 SSL 트러스트 범주에 필요합니다.
    • -i server_certificate_path
      서버 인증서의 경로를 지정합니다. 이 경로는 인증서 이름을 포함합니다. 인증서의 유효한 확장명에는 cert, .cer, .pem이 포함됩니다.

      참고: 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.

      참고: 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.
    NSS에서 인증서 데이터베이스에 서버 인증서를 추가합니다.

예: 인증서 데이터베이스에 서버 인증서 추가

certutil -A -n "My Server Certificate" -t "P,," -i C:\certificates\servercert.cer -d C:\certdatabase

인증서 데이터베이스의 인증서 목록 표시

인증서가 인증서 데이터베이스에 있는지 확인하려면 Mozilla Network Security Services(NSS) certutil 응용 프로그램을 사용하십시오. 정책 서버에는 이 도구가 포함되어 있습니다.

참고: 다음 절차에서는 태스크를 완료하는 데 필요한 옵션 및 인수에 대해 자세히 설명합니다. NSS 유틸리티 옵션 및 인수의 전체 목록은 NSS 프로젝트 페이지에서 Mozilla 설명서를 참조하십시오.
중요! Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한을 사용하여 명령줄 창을 여십시오. 사용하는 계정에 관리자 권한이 있는 경우에도 이 방식으로 명령줄 창을 여십시오.

다음 단계를 수행하십시오.

  1. 명령 프롬프트에서 정책 서버 설치 bin 디렉터리로 이동합니다.
    예: C:\Program Files\CA\siteminder\bin

    참고: Windows에는 네이티브 certutil 유틸리티가 있습니다. NSS 유틸리티의 bin 디렉터리에서 작업 중인지 확인하십시오. 그렇지 않을 경우 실수로 Windows certutil 유틸리티를 실행할 수 있습니다.
  2. 다음 명령을 실행합니다.

    certutil -L -d certificate_database_directory

    • -L
      인증서 데이터베이스에 있는 모든 인증서의 목록을 표시합니다.
    • -d certificate_database_directory
      인증서 데이터베이스가 포함된 디렉터리의 경로를 지정합니다.
참고: 파일 경로에 공백이 있으면 경로를 따옴표로 묶으십시오.

이 명령은 루트 CA 별칭, 서버 인증서 별칭, 그리고 인증서를 인증서 데이터베이스에 추가할 때 지정한 트러스트 특성을 표시합니다.

예: 인증서 데이터베이스의 인증서 목록 표시

certutil -L -d C:\certdatabase

정책 서버를 인증서 데이터베이스에 연결

SSL을 통해 사용자 디렉터리와 통신하려면 정책 서버에서 인증서 데이터베이스를 지정해야 합니다.

다음 단계를 수행하십시오.

  1. 정책 서버 관리 콘솔을 시작합니다.

    중요! Windows Server에서 UAC(사용자 계정 컨트롤)를 사용하도록 설정된 경우 관리자 권한으로 바로 가기를 여십시오. 관리자로 시스템에 로그인한 경우에도 관리자 권한을 사용하십시오. 자세한 내용은 구성 요소의 릴리스 정보를 참조하십시오.
  2. "데이터" 탭을 클릭합니다.
  3. "Netscape 인증서 데이터베이스 파일" 필드에 인증서 데이터베이스 파일의 경로를 입력합니다.
    예: C:\certdatabase\cert8.db

    참고: key3.db 파일은 cert8.db 파일과 동일한 디렉터리에 있어야 합니다.
  4. 정책 서버를 다시 시작합니다.
    정책 서버가 SSL을 통하여 사용자 디렉터리와 통신할 수 있습니다.
Was this helpful?

Please log in to post comments.