Red Hat Training

A Red Hat training course is available for Red Hat Satellite

3장. SSL 기반 구조

Red Hat Network 사용자에게 보안은 매우 중요한 사항입니다. Red Hat Network 강점 중 한가지는 모든 요청을 SSL (Secure Socket Layer)상에서 처리 가능하다는 점입니다. 이러한 수준의 보안을 유지하기 위해서는, Red Hat Network 설치 사용자는 기반 구조 내에 사용자 정의 SSL 키와 인증서를 반드시 생성하셔야 합니다.
SSL 키와 인증서를 직접 생성하고 설치하는 작업은 쉽지 않습니다. 따라서 RHN Proxy Server와 RHN Satellite Server는 설치시 개인 CA (Certificate Authority)에 기반하여 SSL 키와 인증서를 생성할 수 있도록 도와줍니다. 또한 별개의 명령행 유틸리티인 RHN SSL Maintenance Tool도 이러한 용도로 사용 가능합니다. 생성한 키와 인증서는 관리하고 계신 기반 구조 내의 모든 시스템에 설치하셔야 합니다. 대부분의 경우 SSL 키와 인증서 설치 작업을 자동화할 수 있습니다. 이 장에서는 이러한 작업을 효율적으로 자동화하는 방법에 대하여 설명해 보겠습니다.
이 장에서는 SSL에 대하여 그다지 깊게 다루고 있지 않습니다. 그 이유는 RHN SSL Maintenance Tool가 이러한 PKI (public-key infrastructure: 공개키 기반 구조) 설정 및 관리에 필요한 복잡한 절차를 감추도록 설계되었기 때문입니다. 보다 자세한 정보를 알고 싶으시다면, 기타 다른 많은 참고 자료를 읽어보시기 바랍니다.

3.1. SSL에 대한 간단한 소개

SSL (Secure Sockets Layer)는 클라이언트와 서버 응용 프로그램 사이에 정보 전송을 안전하게 관리하기 위해 만들어진 프로토콜입니다. SSL은 클라이언트와 서버 사이에 주고 받는 통신을 공개/개인키 시스템을 사용하여 암호화합니다. 공개 인증서는 누구나 접근할 수 있지만, 개인키는 안전한 곳에 저장해야 합니다. SSL은 디지털 서명과 같이 개인키와 공개 인증서 쌍을 이용한 암호화 시스템으로서, 이 시스템을 통해 신뢰할 수 있는 접속이 이루어집니다.

참고

이 문서에서 반복해서 SSL 개인키와 공개 인증서에 대하여 설명하고 있습니다. 기술적인 면에서 이 두가지는 키쌍 (공개키와 개인키)으로 부를 수 있습니다. 그러나 일반적으로 SSL 키쌍에서 공개키를 SSL 공개 인증서라고 부르기도 합니다.
조직의 SSL 기반 구조는 일반적으로 다음과 같은 SSL 키와 인증서로 구성되어 있습니다:
  • CA (Certificate Authority) SSL 개인키와 공개 인증서 — 한 조직 당 한 쌍만 생성됩니다. 공개 인증서는 개인키를 이용하여 디지털 서명하여, 각 시스템에 배포됩니다.
  • 웹서버 SSL 개인키와 공개 인증서 — 한 어플리케이션 서버 당 한개씩 생성됩니다. 이 공개 인증서는 개인키와 CA SSL 개인키로 디지털 서명됩니다. 종종 웹서버의 키를 한 쌍(set)이라고 부르기도 하는데, 그 이유는 중개 SSL 인증서 요청이 생성되기 때문입니다. 이 인증서 요청이 어디에 사용되는지에 대한 내용은 이 장에서 별로 중요하지 않으므로, 깊게 설명하지 않겠습니다. 세가지 (개인키, 공개 인증서 및 인증서 요청)는 모두 RHN 서버에 설치됩니다.
예를 들어 설명해보겠습니다: 사용자에게 한개의 RHN Satellite Server와 5개의 RHN Proxy Server가 있다면, 한 쌍의 CA SSL 키쌍과 6개의 웹서버 SSL 키쌍을 생성하게 됩니다. CA SSL 공개 인증서는 모든 시스템에 배포되어, 클라이언트가 각 업스트림 서버에 접속할때 사용됩니다. 각 서버는 고유의 SSL 키쌍을 가지고 있습니다. 이 키쌍은 서버의 SSL 키쌍과 CA SSL 비밀키를 함께 사용하여 생성된 것으로 서버의 호스트명에 결합되어 있습니다. 이를 통해 웹서버의 SSL 공개 인증서와 CA SSL 키쌍 및 서버의 개인키 사이에 디지털로 인증 가능한 통신이 성립됩니다. 웹서버의 키쌍은 다른 웹서버와 공유할 수 없습니다.

중요

이 시스템에서 가장 중요한 부분은 CA SSL 키쌍입니다. 이 개인키와 공개 인증서를 통해서 관리자는 웹서버의 SSL 키쌍을 재생성할 수 있습니다. 따라서 이 CA SSL 키쌍을 안전하게 보관하셔야 합니다. 전체 RHN 서버 기반 구조 설정을 마친 후 운영을 시작한 후에는, 설치 프로그램 그리고/또는 이 도구가 생성한 SSL 빌드 디렉토리를 별개의 매체에 안전하게 아카이브 저장하신 후, CA 암호를 적고 이 암호와 매체를 안전한 곳에 보관하시기 바랍니다.