기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM JSSE와 함께 Tomcat을 사용하는 Linux에서의 SSL/TLS 오프로드
이 주제에서는 AWS CloudHSM JCE SDK와 함께 Java Secure Socket Extension(JSSE)을 사용하여 SSL/TLS 오프로드를 설정하는 step-by-step 지침을 제공합니다.
**Topics**
+ [개요](#third-offload-linux-jsse-overview)
+ [1단계: 사전 조건 설정](#third-offload-linux-jsse-prereqs)
+ [단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기](#third-offload-linux-jsse-gen)
+ [3단계: Tomcat 웹 서버 구성](#third-offload-linux-jsse-config)
+ [4단계: HTTPS 트래픽 활성화 및 인증서 확인하기](#third-offload-linux-jsse-verify)
## 개요
에서 AWS CloudHSM Tomcat 웹 서버는 Linux에서 작동하여 HTTPS를 지원합니다. AWS CloudHSM JCE SDK는 JSSE(Java Secure Socket Extension)와 함께 사용하여 이러한 웹 서버에 HSMs을 사용할 수 있는 인터페이스를 제공합니다. AWS CloudHSM JCE는 JSSE를 AWS CloudHSM 클러스터에 연결하는 브리지입니다. JSSE는 보안 소켓 계층(SSL) 및 전송 계층 보안(TLS) 프로토콜을 위한 Java API입니다.
## 1단계: 사전 조건 설정
Linux에서 SSL/TLS 오프로드를 AWS CloudHSM 위해와 함께 Tomcat 웹 서버를 사용하려면 다음 사전 조건을 따르세요. 클라이언트 SDK 5 및 Tomcat 웹 서버를 사용하여 웹 서버 SSL/TLS 오프로드를 설정하려면 이러한 필수 조건을 충족해야 합니다.
**참고**
플랫폼마다 필요한 필수 조건이 다릅니다. 항상 플랫폼에 맞는 올바른 설치 단계를 따릅니다.
### 사전 조건
+ Tomcat 웹 서버가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스입니다.
+ HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 [CU(Crypto User)](understanding-users.md#crypto-user-chsm-cli)입니다.
+ [클라이언트 SDK 5용 JCE가](java-library-install_5.md) 설치 및 구성된 하드웨어 보안 모듈(HSMs)이 2개 이상 있는 활성 AWS CloudHSM 클러스터입니다.
**참고**
단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#client-sync-sdk8) 및 [클라이언트 SDK 5 구성 도구](configure-sdk-5.md)를 참조하십시오.
#### 필수 조건 충족 방법
1. 최소 2개의 하드웨어 보안 모듈(HSMs)이 있는 활성 AWS CloudHSM 클러스터 AWS CloudHSM 에 용 JCE를 설치하고 구성합니다. 설치에 대한 자세한 내용은 [클라이언트 SDK 5용 JCE](java-library-install_5.md)를 참조하십시오.
1. AWS CloudHSM 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 [Apache Tomcat 지침에](https://tomcat.apache.org/download-90.cgi ) 따라 Tomcat 웹 서버를 다운로드하고 설치합니다.
1. [CloudHSM CLI](cloudhsm_cli.md)를 사용하여 CU(Crypto User)를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 [CloudHSM CLI를 사용한 HSM 사용자 관리](manage-hsm-users-chsm-cli.md)를 참조하십시오.
**작은 정보**
CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.
1. Java Keytool을 사용하여 JCE를 설정하려면 [클라이언트 SDK 5를 사용하여 Java Keytool 및 Jarsigner AWS CloudHSM 와 통합](keystore-third-party-tools_5.md)의 지침을 따릅니다.
이 단계들을 완료한 후 [단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기](#third-offload-linux-jsse-gen)로 이동합니다.
#### 참고
+ 보안이 강화된 리눅스(SELinux) 및 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.
+ 클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터 액세스 권한을 부여하려면 [AWS CloudHSM시작하기](getting-started.md)의 단계를 완료하십시오. 이 섹션에서는 하나의 HSM과 Amazon EC2 클라이언트 인스턴스로 활성 클러스터를 생성하기 위한 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.
+ 클라이언트 키 내구성을 비활성화하지 않으려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 내용은 [AWS CloudHSM 클러스터에 HSM 추가](add-hsm.md) 섹션을 참조하십시오.
+ SSH 또는 PuTTY를 사용하여 클라이언트 인스턴스에 연결할 수 있습니다. 자세한 정보는 Amazon EC2 설명서의 [SSH를 사용하여 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)과 [PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) 단원을 참조하세요.
## 단계 2: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기
HTTPS를 활성화하려면 Tomcat 웹 서버 애플리케이션에서 프라이빗 키와 해당되는 SSL/TLS 인증서가 필요합니다. 에서 웹 서버 SSL/TLS 오프로드를 사용하려면 AWS CloudHSM 클러스터의 HSM에 프라이빗 키를 저장 AWS CloudHSM해야 합니다.
**참고**
아직 프라이빗 키와 해당 인증서가 없다면 HSM에서 프라이빗 키를 생성하세요. 프라이빗 키를 사용하여 SSL/TLS 인증서를 생성하는 데 사용하는 인증서 사인 요청(CSR)을 생성합니다.
HSM의 프라이빗 키 및 관련 인증서에 대한 참조가 포함된 local AWS CloudHSM KeyStore 파일을 생성합니다. 웹 서버는 AWS CloudHSM KeyStore 파일을 사용하여 SSL/TLS 오프로드 중에 HSM의 프라이빗 키를 식별합니다.
**Topics**
+ [프라이빗 키 생성](#jsse-ssl-offload-generate-private-key)
+ [자체 사인된 인증서를 생성합니다.](#jsse-ssl-offload-generate-certificate)
### 프라이빗 키 생성
이 섹션에서는 JDK의 KeyTool을 사용하여 키 페어를 생성하는 방법을 보여줍니다. HSM 내에서 키 쌍을 생성한 후에는 이를 키스토어 파일로 내보내고 해당 인증서를 생성할 수 있습니다.
사용 사례에 따라 RSA 또는 EC 키 페어를 생성할 수 있습니다. 다음 단계에서는 RSA 키 쌍을 생성하는 방법을 보여 줍니다.
**KeyTool의 `genkeypair` 명령을 사용하여 RSA 키 페어를 생성합니다.**
1. 아래의 **을 특정 데이터로 바꾼 후 다음 명령을 사용하여 HSM의 프라이빗 키를 참조하는 `jsse_keystore.keystore`라는 이름의 키스토어 파일을 생성합니다.
```
$ keytool -genkeypair -alias -keyalg -keysize -sigalg \
-keystore /.keystore -storetype CLOUDHSM \
-dname CERT_DOMAIN_NAME \
-J-classpath '-J'$JAVA_LIB'/*:/opt/cloudhsm/java/*:./*' \
-provider "com.amazonaws.cloudhsm.jce.provider.CloudHsmProvider" \
-providerpath "$CLOUDHSM_JCE_LOCATION" \
-keypass -storepass
```
+ ******: 키스토어 파일을 생성하려는 경로입니다.
+ ******: HSM에서 키를 고유하게 식별하는 데 사용됩니다. 이 별칭은 키의 LABEL 속성으로 설정됩니다.
+ ******: 키에 대한 참조를 로컬 Keystore 파일에 저장하며, 이 암호는 해당 로컬 참조를 보호합니다.
+ ******: 로컬 키스토어 파일의 암호입니다.
+ ******: 키스토어 파일의 이름입니다.
+ ******: X.500 고유 이름.
+ ******: 키 페어를 생성하는 키 알고리즘(예: RSA 및 EC).
+ ******: 키 페어를 생성하기 위한 키 크기(예: 2048, 3072, 4096).
+ ******: 키 쌍을 생성하기 위한 키 크기(예: RSA를 사용하는 SHA1, RSA를 사용하는 SHA224, RSA를 사용하는 SHA256, RSA를 사용하는 SHA384, RSA를 사용하는 SHA512).
1. 명령이 성공했는지 확인하려면 다음 명령을 입력하고 RSA 키 쌍이 성공적으로 생성되었는지 확인합니다.
```
$ ls /.keystore
```
### 자체 사인된 인증서를 생성합니다.
키스토어 파일과 함께 개인 키를 생성한 후에는 이 파일을 사용하여 인증서 서명 요청(CSR) 및 인증서를 생성할 수 있습니다.
프로덕션 환경에서는 일반적으로 CA(인증 기관)을 사용하여 CSR에서 인증서를 생성합니다. 테스트 환경에는 CA가 필요하지 않습니다. CA를 사용하는 경우 CA에 CSR 파일을 보내고 CA가 웹 서버에서 HTTPS용으로 제공하는 서명된 SSL/TLS 인증서를 사용하세요.
CA 사용의 대안으로 KeyTool을 사용하여 자체 서명 인증서를 생성할 수 있습니다. 자체 사인된 인증서는 브라우저에서 신뢰하지 않으며 프로덕션 환경에서 사용해서는 안 됩니다. 테스트 환경에서는 이러한 인증서를 사용할 수 있습니다.
**주의**
자체 사인된 인증서는 테스트 환경에서만 사용해야 합니다. 프로덕션 환경의 경우 인증 기관과 같은 추가 보안 방법을 사용하여 인증서를 생성하세요.
**Topics**
**인증서 생성**
1. 이전 단계에서 생성한 키스토어 파일의 사본을 확보하세요.
1. 다음 명령을 실행하여 OpenSSL용 KeyTool을 사용해 인증서 서명 요청(CSR)을 생성하십시오.
```
$ keytool -certreq -keyalg RSA -alias unique_alias_for_key -file certreq.csr \
-keystore .keystore -storetype CLOUDHSM \
-J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \
-keypass -storepass
```
**참고**
인증서 서명 요청의 출력 파일은 `certreq.csr`입니다.
**인증서에 서명**
+ 아래 **를 특정 데이터로 대체한 후 다음 명령을 실행하여 HSM의 프라이빗 키로 CSR에 서명합니다. 이렇게 하면 자체 사인된 인증서가 생성됩니다.
```
$ keytool -gencert -infile certreq.csr -outfile certificate.crt \
-alias -keypass -storepass -sigalg SIG_ALG \
-storetype CLOUDHSM -J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \
-keystore jsse_keystore.keystore
```
**참고**
`certificate.crt`는 별칭의 프라이빗 키를 사용하는 서명된 인증서입니다.
**키스토어에서 인증서 가져오기**
+ 아래 **를 특정 데이터로 바꾼 후 다음 명령을 실행하여 서명된 인증서를 신뢰할 수 있는 인증서로 가져옵니다. 이 단계에서는 별칭으로 식별되는 키 저장소 항목에 인증서를 저장합니다.
```
$ keytool -import -alias -keystore jsse_keystore.keystore \
-file certificate.crt -storetype CLOUDHSM \
-v -J-classpath '-J$JAVA_LIB/*:/opt/cloudhsm/java/*:./*' \
-keypass -storepass
```
**인증서를 PEM으로 변환합니다.**
+ 다음 명령을 실행하여 서명된 인증서 파일(`.crt`)을 PEM으로 변환합니다. PEM 파일은 http 클라이언트에서 요청을 보내는 데 사용됩니다.
```
$ openssl x509 -inform der -in certificate.crt -out certificate.pem
```
이 단계를 완료한 후 [3단계: 웹 서버 구성](#third-offload-linux-jsse-config)으로 이동합니다.
## 3단계: Tomcat 웹 서버 구성
이전 단계에서 생성한 HTTPS 인증서와 해당 PEM 파일을 사용하려면 웹 서버 소프트웨어의 구성을 업데이트합니다. 시작하기 전에 기존 인증서와 키를 백업해야 한다는 점을 잊지 마십시오. 그러면 AWS CloudHSM이 지원되는 SSL/TLS 오프로드의 Linux 웹 서버 소프트웨어 설정이 완료됩니다. 자세한 내용은 [Apache Tomcat 9 구성 참조](https://tomcat.apache.org/tomcat-9.0-doc/config/http.html)를 참조하십시오.
**서버 중지**
+ 아래의 **를 특정 데이터로 바꾼 후 구성을 업데이트하기 전에 다음 명령을 실행하여 Tomcat 서버를 중지하십시오.
```
$ //bin/shutdown.sh
```
+ ******: Tomcat 설치 디렉터리입니다.
**Tomcat 클래스 경로 업데이트**
1. 클라이언트 인스턴스에 연결합니다.
1. Tomcat 설치 폴더를 찾습니다.
1. 아래 **를 특정 데이터로 바꾼 후 다음 명령을 사용하여 Tomcat/bin/catalina.sh 파일에 **classpath**있는 Tomcat에 Java 라이브러리와 AWS CloudHSM Java 경로를 추가합니다. Tomcat/bin/catalina
```
$ sed -i 's@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar:'"
"'\/*:\/opt\/cloudhsm\/java\/*:.\/*@' /bin/catalina.sh
```
+ ******: Java JRE 라이브러리 위치입니다.
+ ******: Tomcat 설치 폴더입니다.
**서버 구성에 HTTPS 커넥터를 추가합니다.**
1. Tomcat 설치 폴더로 이동합니다.
1. 아래의 **를 특정 데이터로 바꾼 후 다음 명령을 사용하여 필수 구성 요소에서 생성된 인증서를 사용하도록 HTTPS 커넥터를 추가합니다.
```
$ sed -i '//.keystore\" keystorePass=\"\" keyPass=\"
\" keyAlias=\"" clientAuth=\"false\" sslProtocol=\"TLS\"/>' /conf/server.xml
```
+ ******: 키스토어 파일이 위치한 디렉터리입니다.
+ ******: 키스토어 파일의 이름입니다.
+ ******: 로컬 키스토어 파일의 암호입니다.
+ ******: 키에 대한 참조를 로컬 Keystore 파일에 저장하며, 이 암호는 해당 로컬 참조를 보호합니다.
+ ******: HSM에서 키를 고유하게 식별하는 데 사용됩니다. 이 별칭은 키의 LABEL 속성으로 설정됩니다.
+ ******: Tomcat 폴더의 경로입니다.
**서버 시작**
+ 아래 **를 특정 데이터로 바꾼 후 다음 명령을 사용하여 Tomcat 서버를 시작합니다.
```
$ //bin/startup.sh
```
**참고**
******는 Tomcat 설치 디렉터리의 이름입니다.
웹 서버 구성을 업데이트한 후에 [4단계: HTTPS 트래픽 활성화 및 인증서 확인하기](#third-offload-linux-jsse-verify) 단원으로 이동합니다.
## 4단계: HTTPS 트래픽 활성화 및 인증서 확인하기
를 사용하여 SSL/TLS 오프로드를 위해 웹 서버를 구성한 후 인바운드 HTTPS 트래픽을 허용하는 보안 그룹에 웹 서버 인스턴스를 AWS CloudHSM추가합니다. 이렇게 하면 웹 브라우저와 같은 클라이언트가 웹 서버와 HTTPS 연결을 설정할 수 있습니다. 그런 다음 웹 서버에 HTTPS를 연결하고 SSL/TLS 오프로드에 대해 구성한 인증서를 사용하고 있는지 확인합니다 AWS CloudHSM.
**Topics**
+ [인바운드 HTTPS 연결 활성화](#jsse-linux-add-security-group)
+ [HTTPS가 사용자가 구성한 인증서를 사용하는지 확인](#jsse-linux-verify-https-connection)
### 인바운드 HTTPS 연결 활성화
클라이언트(예: 웹 서버)에서 웹 서버에 연결하려면 인바운드 HTTPS 연결을 허용하는 보안 그룹을 생성합니다. 구체적으로 포트 443에서 인바운드 TCP 연결을 허용해야 합니다. 이 보안 그룹을 웹 서버에 할당합니다.
**HTTPS용 보안 그룹을 생성하여 웹 서버에 할당하려면**
1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. 탐색 창에서 **보안 그룹**을 선택합니다.
1. **보안 그룹 생성**을 선택합니다.
1. **보안 그룹 생성**에서 다음을 수행합니다.
1. **보안 그룹 이름**에 생성하려는 보안 그룹의 이름을 입력합니다.
1. (선택 사항) 생성하려는 보안 그룹에 대한 설명을 입력합니다.
1. 웹 서버 Amazon EC2 인스턴스가 포함된 VPC를 **VPC**로 선택합니다.
1. **규칙 추가**를 선택합니다.
1. 드롭다운 창에서 **HTTPS**를 **유형**으로 선택합니다.
1. **소스**에 소스 위치를 입력합니다.
1. **보안 그룹 생성**을 선택합니다.
1. 탐색 창에서 **인스턴스(Instances)**를 선택합니다.
1. 웹 서버 인스턴스 옆에 있는 확인란을 선택합니다.
1. 페이지 상단의 **작업** 드롭다운 메뉴를 선택합니다. **보안**을 선택한 다음 **보안 그룹 변경**을 선택합니다.
1. **연결된 보안 그룹**에서 검색 상자를 선택하고 HTTPS용으로 생성한 보안 그룹을 선택합니다. 그런 다음 **보안 그룹 추가**를 선택합니다.
1. **저장**을 선택합니다.
### HTTPS가 사용자가 구성한 인증서를 사용하는지 확인
웹 서버를 보안 그룹에 추가한 후 SSL/TLS 오프로드가 자체 서명 인증서를 사용하고 있는지 확인할 수 있습니다. 웹 브라우저 또는 [OpenSSL s\$1client](https://www.openssl.org/docs/manmaster/man1/s_client.html)와 같은 도구를 사용하여 이 작업을 수행할 수 있습니다.
**웹 브라우저를 사용하여 SSL/TLS 오프로드를 확인하려면**
1. 웹 브라우저를 사용하여 서버의 퍼블릭 DNS 이름 또는 IP 주소를 사용해 웹 서버에 연결합니다. 주소 표시줄의 URL이 https://로 시작하는지 확인합니다. 예를 들어 **https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/**입니다.
**작은 정보**
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 *Amazon Route 53 개발자 안내서* 또는 DNS 서비스 설명서의 [Amazon EC2 인스턴스로 트래픽 라우팅](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)을 참조하십시오.
1. 웹 브라우저를 사용하여 웹 서버 인증서를 봅니다. 자세한 내용은 다음을 참조하십시오.
+ Mozilla Firefox의 경우 Mozilla Support 웹 사이트의 [View a Certificate(인증서 보기)](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate)를 참조하십시오.
+ Google Chrome의 경우 Google Tools for Web Developers 웹 사이트의 [보안 문제 이해](https://developers.google.com/web/tools/chrome-devtools/security)를 참조하십시오.
다른 웹 브라우저에도 웹 서버 인증서를 보는 데 사용할 수 있는 유사한 기능이 있을 수 있습니다.
1. SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
**OpenSSL s\$1client를 사용하여 SSL/TLS 오프로드를 확인하려면**
1. 다음 OpenSSL 명령을 실행하여 HTTPS를 사용해 웹 서버에 연결합니다. **을 웹 서버의 퍼블릭 DNS 이름 또는 IP 주소로 바꿉니다.
```
openssl s_client -connect :443
```
**작은 정보**
Amazon Route 53과 같은 DNS 서비스를 사용하여 웹사이트의 도메인 이름(예: https://www.example.com/)을 웹 서버로 라우팅할 수 있습니다. 자세한 내용은 *Amazon Route 53 개발자 안내서* 또는 DNS 서비스 설명서에서 [Amazon EC2 인스턴스로의 라우팅 트래픽](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)을 참조하십시오.
1. SSL/TLS 인증서가 웹 서버에서 사용하도록 구성한 것인지 확인합니다.
이제 웹 사이트가 HTTPS로 보안됩니다. 웹 서버의 프라이빗 키는 AWS CloudHSM 클러스터의 HSM에 저장됩니다.
로드 밸런서를 추가하려면 [Elastic Load Balancing을 사용하여 로드 밸런서 추가 AWS CloudHSM(선택 사항)](third-offload-add-lb.md) 섹션을 참조하십시오.