PTC HTTP Server 및 Windchill을 위한 HTTPS 구성
다음 지침을 완료하려면 HTTPS 구성 완료에 필요한 site.xconf 파일을 제공하는 Windchill Services가 설치되어 있어야 합니다.
기본 Windchill은 HTTP용으로 구성되어 있습니다. 그러나 Windchill은 HTTPS도 지원할 준비가 되어 있으며, 최소한의 단계만을 거쳐 HTTPS를 구현할 수 있습니다. 이 단원의 지침은 PTC HTTP Server(Windchill과 함께 제공되는 기본 웹 서버)용 HTTPS에만 해당됩니다. 기타 웹 서버의 HTTPS에 대한 지침은 해당 제품 공급업체로부터 구해야 합니다.
기타 웹 서버에 대해 Windchill이 HTTPS를 지원하도록 하는 방법은 다음과 같습니다.
• xconfmanager를 사용하여 HTTPS를 사용하도록 wt.properties의 wt.server.codebase 등록 정보를 설정합니다. 이는 PTC HTTP Server에서 수행한 지침과 동일합니다.
• 웹 서버, 서브렛 엔진 및 Windchill을 다시 시작하여 변경을 적용합니다.
HTTPS 구성을 위해서는 상업용 인증서를 사용해야 합니다. 타사 공급업체에서 이러한 인증서를 배포합니다. 인증서를 이용하여 구현할 수 있는 몇 가지 구성 방법이 있습니다. 여기서 설명하는 지침에 따르면 상황에 맞는 HTTPS를 최소한의 노력으로 구현할 수 있을 것입니다.
1. 인증서를 확보합니다.
첫 번째 단계는 인증서를 확보하는 것입니다. 타사 공급업체에서 인증서를 제공합니다. Windchill은 Java 공인 인증서를 요구합니다. Java 비공인 인증서를 사용할 경우, 해당 인증서를 신뢰하도록 Java를 구성해야 합니다. 예를 들어 Verisign과 Thawte에서 제공하는 인증서는 Java 공인 인증서입니다.
웹 서버 인증서가 Java에서 신뢰하지 않는 인증서일 경우 해당 인증서를 jssescacerts keystore에 추가해야 합니다. 다음 명령을 실행하기 전에 기본 JDK cacerts 파일을 jssecacerts 파일로 복사해야 합니다. cacerts 파일은 <JRE>/lib/security 디렉토리에 있습니다.
keytool -import -alias <일부 별칭 이름>
-file <certificateAuthority.cert의 경로> -storetype jks-keystore /<JRE>/lib/security/jssecacerts
이 설정은 서브렛 엔진, Windchill 서버 및 웹 서버에 액세스하는 모든 Java 응용 프로그램에서 사용할 JRE에 맞추어 구성되어야 합니다.
사용자의 JRE에서 신뢰하는 기본 인증서 목록을 나열하려면 다음을 실행합니다.
keytool -list -v -keystore /<JRE>/lib/security/cacerts
Java 보안에 대한 추가 정보는 다음에서 찾을 수 있습니다.
http://java.sun.com/products/jsse
2. PTC HTTP Server가 인증서를 인식하도록 구성합니다.
인증서 파일 및 개인 키를 PTC HTTP Server에 추가합니다. 기본적으로, 보안 액세스 구성의 참조용으로 두 개의 파일이 제공됩니다.
For PTC HTTP Server
a. 인증서 파일(server.crt)을 <Apache>/conf/ 디렉토리에 설치합니다.
b. 개인 키(server.key)를 <Apache>/conf/ 디렉토리에 설치합니다.
3. PTC HTTP Server 2.4에서 HTTPSERVER_HOME에 다음 명령을 사용하면 SSL이 활성화됩니다.
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. URL을 HTTPS로 변경하여 Windchill을 HTTPS용으로 구성합니다.
xconfmanager를 사용하여 다음 두 등록 정보를 적절한 값으로 변경합니다.
a. wt.webserver.port=<HTTPS에 사용되는 포트>. 프로토콜의 기본 포트는 443입니다.
b. wt.webserver.protocol=https
5. PTC HTTP Server를 다시 시작합니다.
HTTPS PTC HTTP Server 시작 명령은 SSL 또는 비 SSL 서버에서 동일합니다.
PTC HTTP Server 2.4
Windows
<httpserver_home>\bin\httpd.exe
UNIX
<httpserver_home>/bin/apachectl
6. Embedded Servlet Engine를 다시 시작합니다.
7. Windchill을 다시 시작합니다.
작업 그룹 매니저와 같은 다른 Windchill 제품도 HTTPS를 지원할 수 있으며, 그 경우 추가 구성을 통해 HTTPS로 변환시키는 작업이 필요합니다. 자세한 내용은 작업 그룹 매니저 설명서를 참조하십시오.
HTTPS에 대한 추가 정보는 다음에서 찾을 수 있습니다.
Solaris 10 with SSL
시스템을 최신 운영 체제 및 패치로 업데이트하지 않은 경우 HTTPS를 통해 Windchill에 액세스하려고 하면 "찾을 수 없음" 오류 메시지가 표시될 수 있습니다. 이는 Solaris 인터페이스 바인딩 및 Apache 호스트 구성의 문제 때문입니다. OS에서 기본 브로드캐스트 채널(255.255.255.255)을 바이너리 형식으로 잘못 변환하므로 Apache는 <apache_home>/conf/extra/httpd-ssl.conf 파일에서 정확히 일치하는 가상 호스트를 찾을 수 없습니다. 다음 두 가지 방법으로 이 문제를 해결할 수 있습니다.
1. <apache_home>/conf/extra/httpd-ssl.conf를 편집하고 <VirtualHost _default_:port>를 해당 시스템의 IP 주소로 변경합니다. 예를 들어, <VirtualHost 132.253.10.34:443>으로 변경합니다. 그러면 Apache가 특정 IP에서 SSL 요청을 수신할 수 있습니다. 두 개 이상의 인터페이스에서 수신하려는 경우 <VirtualHost> 태그 섹션 전체를 복사하고 수신할 두 번째 IP로 IP를 변경해야 합니다.
또는
2. 적절한 네트워크 파일을 편집합니다. /etc/nsswitch.conf를 편집하고 hosts 섹션에 dns를 추가합니다. 예를 들어, hosts 줄은 "hosts: dns nis files"와 같습니다. 이 작업이 완료되면 name-service-cache 디먼을 비활성화해야 합니다. 루트 액세스 유형이 "svcadm disable system/name-service-cache:default"인 경우 서비스가 비활성화됩니다. Apache는 이제 _default v-host로 작동합니다. 테스트 완료 시 디먼을 다시 활성화하려면 "svcadm enable system/name-service-cache:default"를 입력할 수 있습니다.