5장. 브로커 보안

5.1. 연결 보안

브로커가 메시징 클라이언트 또는 브로커가 다른 브로커에 연결되어 있는 경우, TLS(Transport Layer Security)를 사용하여 이러한 연결을 보호할 수 있습니다.

사용할 수 있는 두 가지 TLS 구성이 있습니다.

  • 브로커만 인증서를 제공하는 단방향 TLS입니다. 가장 일반적인 구성입니다.
  • 브로커와 클라이언트(또는 기타 브로커) 모두 인증서를 제공하는 양방향(또는 상호) TLS입니다.

이 섹션의 프로시저에서는 단방향 및 양방향 TLS를 모두 구성하는 방법을 보여줍니다.

5.1.1. 단방향 TLS 구성

다음 절차에서는 단방향 TLS에 대해 지정된 수락자를 구성하는 방법을 보여줍니다.

  1. < broker-instance-dir> /etc/broker.xml 구성 파일을 엽니다.

  2. 지정된 수락자의 경우 sslEnabled 키를 추가하고 값을 true 로 설정합니다. 또한 keyStorePathkeyStorePassword 키를 추가합니다. 브로커 키 저장소에 해당하는 값을 설정합니다. 예를 들면 다음과 같습니다. 

    <acceptor name="artemis">tcp://0.0.0.0:61616?sslEnabled=true;keyStorePath=../etc/broker.keystore;keyStorePassword=1234!</acceptor>

5.1.2. 양방향 TLS 구성

다음 절차에서는 양방향 TLS를 구성하는 방법을 보여줍니다.

사전 요구 사항

절차

  1. < broker-instance-dir> /etc/broker.xml 구성 파일을 엽니다.

  2. 단방향 TLS를 위해 이전에 구성한 수락자의 경우 needClientAuth 키를 추가합니다. 값을 true 로 설정합니다. 예를 들면 다음과 같습니다. 

    <acceptor name="artemis">tcp://0.0.0.0:61616?sslEnabled=true;keyStorePath=../etc/broker.keystore;keyStorePassword=1234!;needClientAuth=true</acceptor>

  3. 이전 단계의 구성은 클라이언트의 인증서가 신뢰할 수 있는 공급자가 서명한다고 가정합니다. 클라이언트의 인증서가 신뢰할 수 있는 공급자(예: 자체 서명)에서 서명 되지 않은 경우 브로커는 클라이언트의 인증서를 신뢰 저장소로 가져와야 합니다. 이 경우 trustStorePathtrustStorePassword 키를 추가합니다. 브로커 신뢰 저장소에 해당하는 값을 설정합니다. 예를 들면 다음과 같습니다. 

    <acceptor name="artemis">tcp://0.0.0.0:61616?sslEnabled=true;keyStorePath=../etc/broker.keystore;keyStorePassword=1234!;needClientAuth=true;trustStorePath=../etc/client.truststore;trustStorePassword=5678!</acceptor>
참고

AMQ Broker는 여러 프로토콜을 지원하며 각 프로토콜 및 플랫폼은 TLS 매개변수를 지정하는 방법이 다릅니다. 그러나 브리지(코어 프로토콜)를 사용하는 클라이언트의 경우 브로커의 수락자와 마찬가지로 TLS 매개 변수가 커넥터 URL에 구성됩니다.

5.1.3. TLS 구성 옵션

다음 표는 사용 가능한 모든 TLS 구성 옵션을 보여줍니다.

옵션참고

sslEnabled

연결에 대해 SSL을 사용할 수 있는지 여부를 지정합니다. TLS를 활성화하려면 true 로 설정해야 합니다. 기본값은 false입니다.

keyStorePath

수락자: 경로: 브로커 인증서를 보유한 브로커의 TLS 키 저장소(권한의 자체 서명 또는 서명)에 사용하는 경우.

커넥터: 패스에 사용되는 경우 클라이언트 인증서가 있는 클라이언트의 TLS 키 저장소 경로를 사용합니다. 이는 양방향 TLS를 사용하는 경우에만 커넥터와 관련이 있습니다. 브로커에서 이 값을 구성할 수 있지만 클라이언트에서 다운로드하여 사용합니다. 클라이언트가 브로커에서 설정한 경로와 다른 경로를 사용해야 하는 경우 표준 javax.net.ssl.keyStore 시스템 속성 또는 AMQ별 org.apache.activemq.ssl.keyStore 시스템 속성을 사용하여 브로커 설정을 재정의할 수 있습니다. AMQ 특정 시스템 속성은 클라이언트의 다른 구성 요소가 이미 표준 Java 시스템 속성을 사용하는 경우 유용합니다.

keyStorePassword

승인자: 브로커의 키 저장소에 대한 암호입니다.

커넥터: 클라이언트의 키 저장소에 대한 암호입니다. 이는 양방향 TLS를 사용하는 경우에만 커넥터와 관련이 있습니다. 브로커에서 이 값을 구성할 수 있지만 클라이언트에서 다운로드하여 사용합니다. 클라이언트가 브로커에서 설정한 암호와 다른 암호를 사용해야 하는 경우 표준 javax.net.ssl.keyStorePassword 시스템 속성 또는 AMQ-specific org.apache.ssl. keyStorePassword 시스템 속성을 사용하여 브로커 설정을 재정의할 수 있습니다. AMQ 특정 시스템 속성은 클라이언트의 다른 구성 요소가 이미 표준 Java 시스템 속성을 사용하는 경우 유용합니다.

trustStorePath

acceptor: Path to the TLS truststore에 사용할 때 브로커가 신뢰하는 모든 클라이언트의 키를 보유하고 있습니다. 이는 양방향 TLS를 사용하는 경우에만 어셉터와 관련이 있습니다.

커넥터: 클라이언트에서 신뢰하는 모든 브로커의 공개 키를 보유하는 클라이언트에서 TLS 신뢰 저장소에 사용되는 경우. 브로커에서 이 값을 구성할 수 있지만 클라이언트에서 다운로드하여 사용합니다. 클라이언트가 서버에서 설정된 것과 다른 경로를 사용해야 하는 경우 표준 javax.net.ssl.trustStore 시스템 속성 또는 AMQ-specific org.apache.ssl.trustStore 시스템 속성을 사용하여 서버 측 설정을 덮어쓸 수 있습니다. AMQ 특정 시스템 속성은 클라이언트의 다른 구성 요소가 이미 표준 Java 시스템 속성을 사용하는 경우 유용합니다.

trustStorePassword

수락자: 브로커의 truststore에 대한 암호입니다. 이는 양방향 TLS를 사용하는 경우에만 어셉터와 관련이 있습니다.

커넥터: 클라이언트의 truststore에 대한 암호입니다. 브로커에서 이 값을 구성할 수 있지만 클라이언트에서 다운로드하여 사용합니다. 클라이언트가 브로커에서 설정한 암호와 다른 암호를 사용해야 하는 경우 표준 javax.net.ssl.trustStorePassword 시스템 속성 또는 AMQ-specific org.apache.ssl. trustStorePassword 시스템 속성을 사용하여 브로커 설정을 재정의할 수 있습니다. AMQ 특정 시스템 속성은 클라이언트의 다른 구성 요소가 이미 표준 Java 시스템 속성을 사용하는 경우 유용합니다.

enabledCipherSuites

어셉터 또는 커넥터에서 사용하든, 이는 TLS 통신에 사용되는 암호화 제품군의 쉼표로 구분된 목록입니다. 기본값은 null 이며, 이는 JVM의 기본값이 사용됩니다.

enabledProtocols

수락자 또는 커넥터에서 사용하든, 이는 TLS 통신에 사용되는 쉼표로 구분된 프로토콜 목록입니다. 기본값은 null 이며, 이는 JVM의 기본값이 사용됩니다.

needClientAuth

이 속성은 허용자를 위한 것입니다. 두 방향 TLS가 필요하다는 것을 수락자에게 연결하는 클라이언트에 지시합니다. 유효한 값은 true 또는 false입니다. 기본값은 false입니다.