설치 및 업그레이드 > 설치 및 구성 안내서 > 고급 구성 > PTC HTTP Server 및 Windchill을 위한 HTTPS 구성
PTC HTTP Server 및 Windchill을 위한 HTTPS 구성
다음 지침을 완료하려면 HTTPS 구성 완료에 필요한 site.xconf 파일을 제공하는 Windchill Services가 설치되어 있어야 합니다.
기본 Windchill은 HTTP용으로 구성되어 있습니다. 그러나 Windchill은 HTTPS도 지원할 준비가 되어 있으며, 최소한의 단계만을 거쳐 HTTPS를 구현할 수 있습니다. 이 단원의 지침은 HTTP Server(Windchill과 함께 제공되는 기본 웹 서버)용 HTTPS에만 해당됩니다. 기타 웹 서버의 HTTPS에 대한 지침은 해당 제품 공급업체로부터 구해야 합니다.
기타 웹 서버에 대해 Windchill이 HTTPS를 지원하도록 하는 방법은 다음과 같습니다.
xconfmanager를 사용하여 HTTPS를 사용하도록 wt.propertieswt.server.codebase property를 설정합니다. 이는 HTTP Server에서 수행한 지침과 동일합니다.
웹 서버, 서브렛 엔진 및 Windchill을 다시 시작하여 변경을 적용합니다.
HTTPS 구성을 위해서는 상업용 인증서를 사용해야 합니다. 타사 공급업체에서 이러한 인증서를 배포합니다. 인증서를 이용하여 구현할 수 있는 몇 가지 구성 방법이 있습니다. 여기서 설명하는 지침에 따르면 상황에 맞는 HTTPS를 최소한의 노력으로 구현할 수 있을 것입니다.
1. 인증서를 확보합니다.
첫 번째 단계는 인증서를 확보하는 것입니다. 타사 공급업체에서 인증서를 제공합니다. Windchill은 Java 공인 인증서를 요구합니다. Java 비공인 인증서를 사용할 경우, 해당 인증서를 신뢰하도록 Java를 구성해야 합니다. 예를 들어 Verisign과 Thawte에서 제공하는 인증서는 Java 공인 인증서입니다.
웹 서버 인증서가 Java에서 신뢰하지 않는 인증서일 경우 해당 인증서를 jssecacerts keystore에 추가해야 합니다. 다음 명령을 실행하기 전에 기본 JDK cacerts 파일을 jssecacerts 파일로 복사해야 합니다. cacerts 파일은 <JAVA_HOME>/lib/security 디렉토리에 있습니다.
keytool -import -alias <일부 별칭 이름>
-file <certificateAuthority.cert의 경로> -storetype jks -keystore /<JAVA_HOME>/lib/security/jssecacerts
이 설정은 서브렛 엔진, Windchill 서버 및 웹 서버에 액세스하는 모든 Java 응용 프로그램에서 사용할 JDK에 맞추어 구성되어야 합니다.
사용자의 JDK에서 신뢰하는 기본 인증서 목록을 나열하려면 다음을 실행합니다.
keytool -list -v -keystore /<JAVA_HOME>/lib/security/cacerts
Java 보안에 대한 추가 정보는 다음에서 찾을 수 있습니다.
http://java.sun.com/products/jsse
2. HTTP Server가 인증서를 인식하도록 구성합니다.
인증서 파일 및 개인 키를 HTTP Server에 추가합니다. 기본적으로, 보안 액세스 구성의 참조용으로 두 개의 파일이 제공됩니다.
For PTC HTTP Server
a. 인증서 파일 server.crt<Apache>/conf/ 디렉터리에 설치합니다.
b. 개인 키 server.key<Apache>/conf/ 디렉터리에 설치합니다.
3. PTC HTTP Server 2.4에서 HTTPSERVER_HOME에 다음 명령을 사용하면 SSL이 활성화됩니다.
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. URL을 HTTPS로 변경하여 Windchill을 HTTPS용으로 구성합니다.
xconfmanager를 사용하여 다음 두 등록 정보를 적절한 값으로 변경합니다.
a. wt.webserver.port=<HTTPS에 사용되는 포트>. 프로토콜의 기본 포트는 443입니다.
b. wt.webserver.protocol=https
5. HTTP Server를 다시 시작합니다.
HTTP Server 시작 명령은 SSL 또는 비 SSL 서버에서 동일합니다.
Windows:
<httpserver_home>\bin\httpd.exe
Unix의 경우:
<httpserver_home>/bin/apachectl
6. Embedded Servlet Engine를 다시 시작합니다.
7. Windchill을 다시 시작합니다.
작업 그룹 매니저와 같은 다른 Windchill 제품도 HTTPS를 지원할 수 있으며, 그 경우 추가 구성을 통해 HTTPS로 변환시키는 작업이 필요합니다. 자세한 내용은 작업 그룹 매니저 설명서를 참조하십시오.
http://httpd.apache.org/docs/current/ssl/에서 HTTPS에 대한 추가 정보를 찾을 수 있습니다.
HSTS(HTTP Strict-Transport-Security) 구성
HSTS는 프로토콜 다운그레이드 공격 및 쿠키 하이재킹으로부터 웹사이트를 보호하는 데 유용합니다. HSTS 구성은 Windchill 12.0.1.0에서 HTTPS로 구성된 Windchill 서버에 OOTB로 설정됩니다. HTTPS는 보안 배포를 위해 항상 사이트에서 구성되어야 합니다.
구성 보존 옵션을 사용하여 HTTP 서버를 배포할 경우 Windchill 설치 및 구성 안내서 - 기존 설치 업데이트의 도움말 항목인 업데이트 후 옵션 단원에서 HTTP 서버 구성 파일 업데이트 단원을 참조하십시오.
구성 보존 옵션을 사용하여 HTTP 서버를 배포할 경우 도움말 항목인 업데이트 후 옵션 단원에서 HTTP 서버 구성 파일 업데이트 단원을 참조하십시오.
* 
Windchill 설치에 HSTS(HTTP Strict-Transport-Security)를 구성하는 것이 좋습니다.
IIS에 HSTS를 사용하려면 다음 지침을 따릅니다.
1. IIS를 HTTPS로 구성합니다.
2. IIS Manager의 왼쪽 창에서 <ComputerName/Site> 노드를 선택합니다.
3. 가운데 창에서 HTTP 응답 헤더를 클릭합니다.
4. 작업 패널에서 추가...를 클릭합니다.
5. 사용자 정의 HTTP 응답 헤더 추가 대화 상자에 다음 값을 입력합니다.
이름: Strict-Transport-Security
값: max-age=10368000; includeSubDomains;
6. 사이트를 다시 시작합니다.
Windchill에 대한 HTTP/2 구성
HTTP/2를 활성화하기 전에 WAF 구성과 같이 이를 지원하기 위해 네트워크 보안 고려 사항이 있는지 확인해야 합니다. HTTP/2를 구성하기 전에 네트워크 보안 팀에 특정 보안 요구 사항 또는 관련 사항을 확인하는 것이 좋습니다.
* 
잠재적인 서비스 거부(DoS) 공격으로부터 Windchill을 보호하는 방법을 알아보려면 Best Practices for Securing Your Windchill Solution 항목의 포인트 14를 참조하십시오.
Windchill에서 HTTP/1.1은 계속 기본 방법으로 사용할 수 있습니다. HTTP/2는 여전히 성장하고 있으며 브라우저와 클라이언트 전반에 걸쳐 완성도가 높아지고 있습니다. 따라서 HTTP/2 통신이 Windchill에서 사후 구성에 실패하면 자동으로 기본 HTTP/1.1로 돌아갑니다.
Windchill 성능 향상을 위해 HTTP/2 구성이 제공됩니다. 그러나 결과는 클라이언트 및 작업 부하에 따라 다를 수 있습니다.
* 
HTTP/2를 사용하려면 SSL이 활성화되어 있어야 합니다.
Apache HTTP 서버가 재구성되면 아래 단계를 통해 HTTP/2를 다시 활성화합니다.
HTTP/2 구성 활성화
1. Apache HTTP 서버를 중지합니다.
2. <Apache_Home>/conf/conf.d의 백업을 생성합니다.
3. 해당 위치 <Apache_Home>에서 Windchill 셸에서 다음 대상을 실행합니다.
ant -f config.xml enableHTTP2
ant 스크립트를 실행한 후 다음 위치에서 업데이트를 확인합니다.
<APACHE_HOME>/conf/httpd.conf가 업데이트되어 파일 끝에 다음 구성이 설정됩니다.
Protocols h2 http/1.1
<APACHE_HOME>/conf/conf.d/00-modules-load.conf가 업데이트되어 파일 끝에 다음 구성이 설정됩니다.
#Enable the http2 module
<IfModule !http2_module>
LoadModule http2_module modules/mod_http2.so
</IfModule>
4. Apache HTTP 서버를 시작합니다.
Apache 구성에서 HTTP/2 제거
1. Apache HTTP 서버를 중지합니다.
2. 해당 위치 <Apache_Home>에서 Windchill 셸에서 다음 대상을 실행합니다.
ant -f config.xml reconfigure
3. Apache HTTP 서버를 시작합니다.
도움이 되셨나요?