JSSE가 있는 Tomcat을 사용하여 Linux에서 AWS CloudHSM SSL/TLS 오프로드
이 주제에서는 AWS CloudHSM JCE SDK와 함께 Java 보안 소켓 확장(JSSE)을 사용하여 SSL/TLS 오프로드를 설정하기 위한 단계별 지침을 제공합니다.
주제
개요
AWS CloudHSM에서 Tomcat 웹 서버는 리눅스에서 작동하여 HTTPS를 지원합니다. AWS CloudHSM JCE SDK는 JSSE(자바 보안 소켓 확장)와 함께 사용하여 이러한 웹 서버에 HSM을 사용할 수 있는 인터페이스를 제공합니다. AWS CloudHSM JCE는 JSSE를 AWS CloudHSM 클러스터에 연결하는 브리지입니다. JSSE는 보안 소켓 계층(SSL) 및 전송 계층 보안(TLS) 프로토콜을 위한 Java API입니다.
1단계: 사전 조건 설정
Linux에서 SSL/TLS 오프로드용 AWS CloudHSM이 포함된 Tomcat 웹 서버를 사용하려면 다음 필수 조건을 따릅니다. 클라이언트 SDK 5 및 Tomcat 웹 서버를 사용하여 웹 서버 SSL/TLS 오프로드를 설정하려면 이러한 필수 조건을 충족해야 합니다.
참고
플랫폼마다 필요한 필수 조건이 다릅니다. 항상 플랫폼에 맞는 올바른 설치 단계를 따릅니다.
사전 조건
-
Tomcat 웹 서버가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스입니다.
-
HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.
-
클라이언트 SDK 5용 JCE가 설치 및 구성된 2개 이상의 HSM(하드웨어 보안 모듈)이 있는 활성 AWS CloudHSM 클러스터입니다.
참고
단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 클라이언트 키 내구성 설정 관리 및 클라이언트 SDK 5 구성 도구를 참조하십시오.
필수 조건 충족 방법
-
2개 이상의 HSM(하드웨어 보안 모듈)이 있는 활성 AWS CloudHSM 클러스터에 AWS CloudHSM용 JCE를 설치하고 구성합니다. 설치에 대한 자세한 내용은 클라이언트 SDK 5용 JCE를 참조하십시오.
-
AWS CloudHSM 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 Apache Tomcat 지침
에 따라 Tomcat 웹 서버를 다운로드하고 설치합니다. -
CloudHSM CLI를 사용하여 CU(Crypto User)를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 CloudHSM CLI를 사용한 HSM 사용자 관리를 참조하십시오.
작은 정보
CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.
Java Keytool을 사용하여 JCE를 설정하려면 클라이언트 SDK 5를 사용하여 Java Keytool 및 Jarsigner와 AWS CloudHSM 통합의 지침을 따릅니다.
이 단계들을 완료한 후 단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기로 이동합니다.
참고
-
보안이 강화된 리눅스(SELinux) 및 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.
-
클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터 액세스 권한을 부여하려면 AWS CloudHSM 시작하기의 단계를 완료하십시오. 이 섹션에서는 하나의 HSM과 Amazon EC2 클라이언트 인스턴스로 활성 클러스터를 생성하기 위한 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.
-
클라이언트 키 내구성을 비활성화하지 않으려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 내용은 AWS CloudHSM 클러스터에 HSM 추가 섹션을 참조하세요.
-
SSH 또는 PuTTY를 사용하여 클라이언트 인스턴스에 연결할 수 있습니다. 자세한 정보는 Amazon EC2 설명서의 SSH를 사용하여 Linux 인스턴스에 연결과 PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결 단원을 참조하세요.
단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기
HTTPS를 활성화하려면 Tomcat 웹 서버 애플리케이션에서 프라이빗 키와 해당되는 SSL/TLS 인증서가 필요합니다. AWS CloudHSM에 웹 서버 SSL/TLS 오프로드를 사용하려면 AWS CloudHSM 클러스터의 HSM에 프라이빗 키를 저장해야 합니다.
참고
아직 프라이빗 키와 해당 인증서가 없다면 HSM에서 프라이빗 키를 생성하세요. 프라이빗 키를 사용하여 SSL/TLS 인증서를 생성하는 데 사용하는 인증서 사인 요청(CSR)을 생성합니다.
HSM의 프라이빗 키에 대한 참조와 관련 인증서를 포함하는 로컬 AWS CloudHSM 키스토어 파일을 생성합니다. 웹 서버는 SSL/TLS 오프로드 중에 AWS CloudHSM 키스토어 파일을 사용하여 HSM의 프라이빗 키를 식별합니다.
프라이빗 키 생성
이 단원에서는 JDK의 KeyTool을 사용하여 키페어를 생성하는 방법을 보여줍니다. HSM 내에서 키 쌍을 생성한 후에는 이를 키스토어 파일로 내보내고 해당 인증서를 생성할 수 있습니다.
사용 사례에 따라 RSA 또는 EC 키 페어를 생성할 수 있습니다. 다음 단계에서는 RSA 키 쌍을 생성하는 방법을 보여 줍니다.
KeyTool의 genkeypair 명령을 사용하여 RSA 키 페어를 생성합니다.
아래의
<VARIABLES>을 특정 데이터로 바꾼 후 다음 명령을 사용하여 HSM의 프라이빗 키를 참조하는jsse_keystore.keystore라는 이름의 키스토어 파일을 생성합니다.$keytool -genkeypair -alias<UNIQUE ALIAS FOR KEYS>-keyalg<KEY ALGORITHM>-keysize<KEY SIZE>-sigalg<SIGN ALGORITHM>\ -keystore<PATH>/<JSSE KEYSTORE NAME>.keystore -storetype CLOUDHSM \ -dname CERT_DOMAIN_NAME \ -J-classpath '-J'$JAVA_LIB'/*:/opt/cloudhsm/java/*:./*' \ -provider "com.amazonaws.cloudhsm.jce.provider.CloudHsmProvider" \ -providerpath "$CLOUDHSM_JCE_LOCATION" \ -keypass<KEY PASSWORD>-storepass<KEYSTORE PASSWORD><PATH>: 키스토어 파일을 생성하려는 경로입니다.<UNIQUE ALIAS FOR KEYS>: HSM에서 키를 고유하게 식별하는 데 사용됩니다. 이 별칭은 키의 LABEL 속성으로 설정됩니다.<KEY PASSWORD>: 키에 대한 참조를 로컬 Keystore 파일에 저장하며, 이 암호는 해당 로컬 참조를 보호합니다.<KEYSTORE PASSWORD>: 로컬 키스토어 파일의 암호입니다.<JSSE KEYSTORE NAME>: 키스토어 파일의 이름입니다.<CERT DOMAIN NAME>: X.500 고유 이름.<KEY ALGORITHM>: 키 페어를 생성하는 키 알고리즘(예: RSA 및 EC).<KEY SIZE>: 키 페어를 생성하기 위한 키 크기(예: 2048, 3072, 4096).<SIGN ALGORITHM>: 키 쌍을 생성하기 위한 키 크기(예: RSA를 사용하는 SHA1, RSA를 사용하는 SHA224, RSA를 사용하는 SHA256, RSA를 사용하는 SHA384, RSA를 사용하는 SHA512).
-
명령이 성공했는지 확인하려면 다음 명령을 입력하고 RSA 키 쌍이 성공적으로 생성되었는지 확인합니다.
$ls<PATH>/<JSSE KEYSTORE NAME>.keystore
자체 사인된 인증서를 생성합니다.
키스토어 파일과 함께 개인 키를 생성한 후에는 이 파일을 사용하여 인증서 서명 요청(CSR) 및 인증서를 생성할 수 있습니다.
프로덕션 환경에서는 일반적으로 CA(인증 기관)을 사용하여 CSR에서 인증서를 생성합니다. 테스트 환경에는 CA가 필요하지 않습니다. CA를 사용하는 경우 CA에 CSR 파일을 보내고 CA가 웹 서버에서 HTTPS용으로 제공하는 서명된 SSL/TLS 인증서를 사용하세요.
CA 사용의 대안으로 KeyTool을 사용하여 자체 서명 인증서를 생성할 수 있습니다. 자체 사인된 인증서는 브라우저에서 신뢰하지 않으며 프로덕션 환경에서 사용해서는 안 됩니다. 테스트 환경에서는 이러한 인증서를 사용할 수 있습니다.
주의
자체 사인된 인증서는 테스트 환경에서만 사용해야 합니다. 프로덕션 환경의 경우 인증 기관과 같은 추가 보안 방법을 사용하여 인증서를 생성하세요.
주제
인증서 생성
-
이전 단계에서 생성한 키스토어 파일의 사본을 확보하세요.
-
다음 명령을 실행하여 OpenSSL용 KeyTool을 사용해 인증서 서명 요청(CSR)을 생성하십시오.
$keytool -certreq -keyalg RSA -alias unique_alias_for_key -file certreq.csr \ -keystore<JSSE KEYSTORE NAME>.keystore -storetype CLOUDHSM \ -J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \ -keypass<KEY PASSWORD>-storepass<KEYSTORE PASSWORD>참고
인증서 서명 요청의 출력 파일은
certreq.csr입니다.
인증서에 서명
-
아래
<VARIABLES>를 특정 데이터로 대체한 후 다음 명령을 실행하여 HSM의 프라이빗 키로 CSR에 서명합니다. 이렇게 하면 자체 사인된 인증서가 생성됩니다.$keytool -gencert -infile certreq.csr -outfile certificate.crt \ -alias<UNIQUE ALIAS FOR KEYS>-keypass<KEY_PASSWORD>-storepass<KEYSTORE_PASSWORD>-sigalg SIG_ALG \ -storetype CLOUDHSM -J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \ -keystore jsse_keystore.keystore참고
certificate.crt는 별칭의 프라이빗 키를 사용하는 서명된 인증서입니다.
키스토어에서 인증서 가져오기
아래
<VARIABLES>를 특정 데이터로 바꾼 후 다음 명령을 실행하여 서명된 인증서를 신뢰할 수 있는 인증서로 가져옵니다. 이 단계에서는 별칭으로 식별되는 키스토어 항목에 인증서를 저장합니다.$keytool -import -alias<UNIQUE ALIAS FOR KEYS>-keystore jsse_keystore.keystore \ -file certificate.crt -storetype CLOUDHSM \ -v -J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \ -keypass<KEY PASSWORD>-storepass<KEYSTORE_PASSWORD>
인증서를 PEM으로 변환합니다.
다음 명령을 실행하여 서명된 인증서 파일(.crt)을 PEM으로 변환합니다. PEM 파일은 http 클라이언트에서 요청을 보내는 데 사용됩니다.
$openssl x509 -inform der -in certificate.crt -out certificate.pem
이 단계를 완료한 후 3단계: 웹 서버 구성으로 이동합니다.
3단계: Tomcat 웹 서버 구성
이전 단계에서 생성한 HTTPS 인증서와 해당 PEM 파일을 사용하려면 웹 서버 소프트웨어의 구성을 업데이트합니다. 시작하기 전에 기존 인증서와 키를 백업해야 한다는 점을 잊지 마십시오. 그러면 AWS CloudHSM이 지원되는 SSL/TLS 오프로드의 Linux 웹 서버 소프트웨어 설정이 완료됩니다. 자세한 내용은 Apache Tomcat 9 구성 참조
서버 중지
아래의
<VARIABLES>를 특정 데이터로 바꾼 후 구성을 업데이트하기 전에 다음 명령을 실행하여 Tomcat 서버를 중지하십시오.$/<TOMCAT DIRECTORY>/bin/shutdown.sh<TOMCAT DIRECTORY>: Tomcat 설치 디렉터리입니다.
Tomcat의 Classpath 업데이트
-
클라이언트 인스턴스에 연결합니다.
-
Tomcat 설치 폴더를 찾습니다.
-
아래
<VARIABLES>를 특정 데이터로 바꾼 후 다음 명령을 사용하여 Tomcat/bin/catalina.sh 파일에 있는 Tomcat classpath에 Java 라이브러리 및 Cloudhsm Java 경로를 추가합니다.$sed -i 's@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar:'"<JAVA LIBRARY>"'\/*:\/opt\/cloudhsm\/java\/*:.\/*@'<TOMCAT PATH>/bin/catalina.sh<JAVA LIBRARY>: Java JRE 라이브러리 위치입니다.<TOMCAT PATH>: Tomcat 설치 폴더입니다.
서버 구성에 HTTPS 커넥터를 추가합니다.
Tomcat 설치 폴더로 이동합니다.
아래의
<VARIABLES>를 특정 데이터로 바꾼 후 다음 명령을 사용하여 필수 구성 요소에서 생성된 인증서를 사용하도록 HTTPS 커넥터를 추가합니다.$sed -i '/<Connector port="8080"/i <Connector port=\"443\" maxThreads=\"200\" scheme=\"https\" secure=\"true\" SSLEnabled=\"true\" keystoreType=\"CLOUDHSM\" keystoreFile=\"<CUSTOM DIRECTORY>/<JSSE KEYSTORE NAME>.keystore\" keystorePass=\"<KEYSTORE PASSWORD>\" keyPass=\"<KEY PASSWORD>\" keyAlias=\"<UNIQUE ALIAS FOR KEYS>" clientAuth=\"false\" sslProtocol=\"TLS\"/>'<TOMCAT PATH>/conf/server.xml<CUSTOM DIRECTORY>: 키스토어 파일이 위치한 디렉터리입니다.<JSSE KEYSTORE NAME>: 키스토어 파일의 이름입니다.<KEYSTORE PASSWORD>: 로컬 키스토어 파일의 암호입니다.<KEY PASSWORD>: 키에 대한 참조를 로컬 Keystore 파일에 저장하며, 이 암호는 해당 로컬 참조를 보호합니다.<UNIQUE ALIAS FOR KEYS>: HSM에서 키를 고유하게 식별하는 데 사용됩니다. 이 별칭은 키의 LABEL 속성으로 설정됩니다.<TOMCAT PATH>: Tomcat 폴더의 경로입니다.
서버 시작
아래
<VARIABLES>를 특정 데이터로 바꾼 후 다음 명령을 사용하여 Tomcat 서버를 시작합니다.$/<TOMCAT DIRECTORY>/bin/startup.sh참고
<TOMCAT DIRECTORY>는 Tomcat 설치 디렉터리의 이름입니다.
웹 서버 구성을 업데이트한 후에 4단계: HTTPS 트래픽 활성화 및 인증서 확인하기 단원으로 이동합니다.
4단계: HTTPS 트래픽 활성화 및 인증서 확인하기
AWS CloudHSM을 사용하는 SSL/TLS 오프로드에 맞게 웹 서버를 구성한 후, 인바운드 HTTPS 트래픽을 허용하는 보안 그룹에 웹 서버 인스턴스를 추가합니다. 이렇게 하면 웹 브라우저와 같은 클라이언트가 웹 서버와 HTTPS 연결을 설정할 수 있습니다. 그런 다음 웹 서버에 HTTPS를 연결하고 이 연결에서 AWS CloudHSM을 사용하는 SSL/TLS 오프로드에 맞게 구성한 인증서를 사용하고 있는지 확인합니다.
인바운드 HTTPS 연결 활성화
클라이언트(예: 웹 서버)에서 웹 서버에 연결하려면 인바운드 HTTPS 연결을 허용하는 보안 그룹을 생성합니다. 구체적으로 포트 443에서 인바운드 TCP 연결을 허용해야 합니다. 이 보안 그룹을 웹 서버에 할당합니다.
HTTPS용 보안 그룹을 생성하여 웹 서버에 할당하려면
-
https://console.aws.amazon.com/ec2/
에서 Amazon EC2 콘솔을 엽니다. -
탐색 창에서 보안 그룹을 선택합니다.
-
보안 그룹 생성을 선택합니다.
-
보안 그룹 생성에서 다음을 수행합니다.
-
보안 그룹 이름에 생성하려는 보안 그룹의 이름을 입력합니다.
-
(선택 사항) 생성하려는 보안 그룹에 대한 설명을 입력합니다.
-
웹 서버 Amazon EC2 인스턴스가 포함된 VPC를 VPC로 선택합니다.
-
규칙 추가를 선택합니다.
-
드롭다운 창에서 HTTPS를 유형으로 선택합니다.
-
소스에 소스 위치를 입력합니다.
-
보안 그룹 생성을 선택합니다.
-
-
탐색 창에서 인스턴스(Instances)를 선택합니다.
-
웹 서버 인스턴스 옆에 있는 확인란을 선택합니다.
-
페이지 상단의 작업 드롭다운 메뉴를 선택합니다. 보안을 선택한 다음 보안 그룹 변경을 선택합니다.
-
연결된 보안 그룹에서 검색 상자를 선택하고 HTTPS용으로 생성한 보안 그룹을 선택합니다. 그런 다음 보안 그룹 추가를 선택합니다.
-
저장을 선택합니다.
HTTPS가 사용자가 구성한 인증서를 사용하는지 확인
웹 서버를 보안 그룹에 추가한 후 SSL/TLS 오프로드가 자체 서명된 인증서를 사용하고 있는지 확인할 수 있습니다. 웹 브라우저 또는 OpenSSL s_client
웹 브라우저를 사용하여 SSL/TLS 오프로드를 확인하려면
-
웹 브라우저를 사용하여 서버의 퍼블릭 DNS 이름 또는 IP 주소를 사용해 웹 서버에 연결합니다. 주소 표시줄의 URL이 https://로 시작하는지 확인합니다. 예:
https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/.작은 정보
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서 또는 DNS 서비스 설명서의 Amazon EC2 인스턴스로 트래픽 라우팅을 참조하십시오.
-
웹 브라우저를 사용하여 웹 서버 인증서를 봅니다. 자세한 내용은 다음을 참조하세요.
-
Mozilla Firefox의 경우 Mozilla Support 웹 사이트의 View a Certificate(인증서 보기)
를 참조하십시오. -
Google Chrome의 경우 Google Tools for Web Developers 웹 사이트의 보안 문제 이해
를 참조하십시오.
다른 웹 브라우저에도 웹 서버 인증서를 보는 데 사용할 수 있는 유사한 기능이 있을 수 있습니다.
-
-
SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
OpenSSL s_client를 사용하여 SSL/TLS 오프로드를 확인하려면
-
다음 OpenSSL 명령을 실행하여 HTTPS를 사용해 웹 서버에 연결합니다.
<server name>을 웹 서버의 퍼블릭 DNS 이름 또는 IP 주소로 바꿉니다.openssl s_client -connect<server name>:443작은 정보
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서 또는 DNS 서비스 설명서에서 Amazon EC2 인스턴스로의 라우팅 트래픽을 참조하십시오.
-
SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
이제 웹 사이트가 HTTPS로 보안됩니다. 웹 서버에 대한 프라이빗 키는 AWS CloudHSM 클러스터의 HSM에 저장됩니다.
로드 밸런서를 추가하려면 AWS CloudHSM용 Elastic Load Balancing을 사용하여 로드 밸런서 추가(선택 사항) 섹션을 참조하십시오.
