이 절에서는
WebSphere MQ 버전 5.3에서 WebSphere MQ 버전 6.0으로
Windows SSL(Secure Sockets Layer) 연결을 이주하는 경우에 대해 설명합니다.
일반 소개
WebSphere MQ 버전 6.0은
큐 관리자 및 MQ 클라이언트 채널에 필요한 향상된 SSL(Secure Sockets Layer) 지원을 위해
Windows 플랫폼에서 GSKit(Global Security Toolkit)을 제공합니다. 이 절의 지시사항을 따라
WebSphere MQ 버전 5.3 큐 관리자 또는 클라이언트가
SSL 연결을 사용하도록 설정되었는지 여부를 확인하고 이러한 채널이 WebSphere MQ 버전 6.0에서
계속 작동하는지 확인하십시오. 이주 프로세스는 WebSphere MQ 버전 5.3
또는 그 이전 버전에서 사용하는 Microsoft 인증서 저장소에 저장된 인증서 사본을 GSKit 키 데이터베이스로
이주합니다.
고려할 사항
- WebSphere MQ 버전 6.0을 설치하기 전에
WebSphere MQ 버전 5.3을 설치 제거하려면 다음을 수행해야 합니다.
- WebSphere MQ 버전 5.3을 설치 제거하기 전에 인증서 체인이 완전한지 수동으로 점검해야 합니다.
그렇지 않은 경우, WebSphere MQ 버전 5.3과 함께 제공된
AMQMCERT 유틸리티를 사용하십시오.
- WebSphere MQ 버전 6.0을 설치한 후에
명령행에서 AMQTCERT 명령을 실행하여 인증서 저장소를 이주하고
이주 중인 인증서 저장소에 대한 경로를 지정해야 합니다.
WebSphere MQ 버전 5.3을 설치 제거한 후에
WebSphere MQ 버전 6.0을 설치하는 경우,
WebSphere MQ 버전 5.3이 설치 제거될 때 해당 정보가 시스템에서 제거되었으므로
설치 프로세스는 인증서 저장소의 위치를 인식하지 못합니다.
그러면, 인증서 체인 점검 프로그램이 체인을 점검할 수 없고
체인을 복구하는 데 AMQMCERT를 사용할 수 없게 됩니다.
이것은 저장소를 이주하기 위해 설치에 사용된 프로세스가
체인을 찾을 수 없다는 것을 의미하며, 이 방법을 사용하는 경우
수동으로 체인을 점검하고 수동으로 저장소를 이주해야 합니다.
이러한 명령에 대한 자세한 내용은
WebSphere MQ 버전 6.0 System Administration Guide를 참조하십시오.
- 설치 전 런치패드는 설치 프로세스 시작 시 실행됩니다. 여기에서 WebSphere MQ 인증서 저장소
점검 마법사를 실행할 수 있습니다. 이 마법사는 인증서 저장소에 있는 인증서 체인이
완전한지를 점검합니다. WebSphere MQ 인증서 저장소 점검 마법사를
실행하지 않기로 선택한 경우 설치 후 준비 마법사는
이주 패널을 제공하지 않으며 인증서 저장소는 이주를 스케줄링하지 않습니다.
- 인증서 이주 스케줄링에 WebSphere MQ 인증서 저장소 점검 마법사 및
설치 후 준비 마법사를 사용하는 것은 WebSphere MQ 버전 5.3 설치에서
WebSphere MQ 버전 6.0 설치로 직접 이주하는 경우에만 가능합니다.
WebSphere MQ 버전 5.3을 설치 제거한 후
WebSphere MQ 버전 6.0을 설치하면 설치 프로세스가
이전 버전이 WebSphere MQ 버전 5.3이었음을 인식하지 못하여
SSL 이주 패널을 제공하지 않습니다. 이 경우 WebSphere MQ 버전 5.3을 설치 제거하기 전에 설치 전 런치패드와
WebSphere MQ 인증서 저장소 점검 마법사의 실행을 고려해 볼 수 있습니다.
그러면 인증서 체인의 완전성이 점검되고 WebSphere MQ 버전 6.0을 설치한
후에 AMQTCERT를 사용하여 체인을 들여올 수 있습니다.
- WebSphere MQ 버전 6.0을 자동으로 설치하는 경우
설치 후 준비 마법사에 자동으로 전달할 수 있는
옵션이 있어서 인증서 이주가 스케줄링됩니다. 이 프로세스를 따르는 경우
인증서 체인을 점검하는 WebSphere MQ 인증서 저장소 점검 마법사가 실행되지 않습니다.
자동 설치를 실행할 경우 설치 전에 설치 전 런치패드와 WebSphere MQ 인증서 저장소
점검 마법사를 실행하여 인증서 체인의 완전성을 확인하거나
AMQCCERT를 사용하여 저장소를 수동으로 점검해야 합니다.
이주되지 않는 인증서
이 프로세스 중에 많은
인증서가 이주되지 않습니다. 이러한 인증서는 다음과 같습니다.
- GSKit의 디폴트 제공 세트와 일치하는 인증서. 이러한 인증서는 GSKit이
동일하거나 보다 최신의 자체 세트를 제공하기 때문에 이주되지 않습니다.
- 전체 인증 기관 인증서 체인이 없는 Orphan 인증서. 발행인의
인증서가 이미 존재하는 경우에만 GSKit 키 데이터베이스 파일로 해당 인증서를
들여올 수 있습니다. 루트 인증 기관 인증서에서 시작하여
중간 인증 기관 인증서(있는 경우) 체인을 거쳐 가장 적은 구성원의 인증 기관 체인(있는 경우)이 발행한
개인 인증서로 끝나는 인증서만 GSKit 키 데이터베이스에 추가할 수 있습니다.
- 만기된 인증서
인증서 이주 유형
두 가지 유형의 인증서 이주가 있습니다.
- 자동 이주. 큐 관리자의 경우 처음으로 큐 관리자가 시작할 때 실제 이주가
수행됩니다. 이주가 성공적으로 완료되면 다시 시도되지 않습니다.
이주의 성공 여부와 관계 없이 큐 관리자는 시작하려고 시도합니다. 클라이언트의 경우
클라이언트가 먼저 SSL 채널을 사용하여 큐 관리자에 연결할 때 실제 이주가 수행됩니다.
이주가 성공적으로 완료되면 다시 시도되지 않습니다. 클라이언트 시작은 이주 결과에 좌우됩니다.
이주가 실패하면 클라이언트도 시작되지 않습니다. 설치 전 단계에서 인증서 저장소가 성공적으로 유효화된 경우
설치 후 준비 마법사는 지정된 각각의 큐 관리자 및 클라이언트에 대해
자동 이주 메소드를 사용합니다.
- 수동 이주. 새로운 인증서 전송(AMQTCERT) 제어 명령이 실행될 때 발생합니다. 수동으로 이주하려면
각 큐 관리자와 클라이언트에 AMQTCERT를 사용해야 합니다. 사용할 GSKit 키 데이터베이스 및
Microsoft 인증서 저장소의 위치 와 이름을 지정해야 합니다.
자동 이주는 모든 큐 관리자 및 클라이언트에 대해 전체 Microsoft 인증서 저장소와
해당 GSKit 키 데이터베이스의 위치와 이름을 지정할 필요가 없다는 장점이 있습니다.
친숙한 이름(Friendly Name) 속성
일반적으로, Microsoft 인증서 저장소에는
큐 관리자 또는 클라이언트에 지정된 하나의 인증서가 있습니다.
이주 중에, 이 인증서의 사본은 GSKit 데이터베이스에 저장되기 전에 수정됩니다.
수정으로 인해 인증서의 친숙한 이름 속성이 문자열 ibmwebspheremq 다음에
소문자로 된 큐 관리자 이름 또는 클라이언트 로그온 ID가 오도록 설정됩니다.
존재하는 경우, 기존의 친숙한 이름 값은 손실됩니다.
이 친숙한 이름 값은 GSKit 키 데이터베이스에서 레이블됩니다.