PTC HTTP Server 및 Windchill을 위한 HTTPS 구성
다음 지침을 완료하려면 HTTPS 구성 완료에 필요한 site.xconf 파일을 제공하는 Windchill Services가 설치되어 있어야 합니다.
기본 Windchill은 HTTP용으로 구성되어 있습니다. 그러나 Windchill은 HTTPS도 지원할 준비가 되어 있으며, 최소한의 단계만을 거쳐 HTTPS를 구현할 수 있습니다. 이 단원의 지침은 HTTP Server(Windchill과 함께 제공되는 기본 웹 서버)용 HTTPS에만 해당됩니다. 기타 웹 서버의 HTTPS에 대한 지침은 해당 제품 공급업체로부터 구해야 합니다.
기타 웹 서버에 대해 Windchill이 HTTPS를 지원하도록 하는 방법은 다음과 같습니다.
• xconfmanager를 사용하여 HTTPS를 사용하도록 wt.properties의 wt.server.codebase property를 설정합니다. 이는 HTTP Server에서 수행한 지침과 동일합니다.
• 웹 서버, 서브렛 엔진 및 Windchill을 다시 시작하여 변경을 적용합니다.
HTTPS 구성을 위해서는 상업용 인증서를 사용해야 합니다. 타사 공급업체에서 이러한 인증서를 배포합니다. 인증서를 이용하여 구현할 수 있는 몇 가지 구성 방법이 있습니다. 여기서 설명하는 지침에 따르면 상황에 맞는 HTTPS를 최소한의 노력으로 구현할 수 있을 것입니다.
1. 인증서를 확보합니다.
첫 번째 단계는 인증서를 확보하는 것입니다. 타사 공급업체에서 인증서를 제공합니다. Windchill은 Java 공인 인증서를 요구합니다. Java 비공인 인증서를 사용할 경우, 해당 인증서를 신뢰하도록 Java를 구성해야 합니다. 예를 들어 Verisign과 Thawte에서 제공하는 인증서는 Java 공인 인증서입니다.
웹 서버 인증서가 Java에서 신뢰하지 않는 인증서일 경우 해당 인증서를 jssescacerts keystore에 추가해야 합니다. 다음 명령을 실행하기 전에 기본 JDK cacerts 파일을 jssecacerts 파일로 복사해야 합니다. cacerts 파일은 <JAVA_HOME>/lib/security 디렉토리에 있습니다.
keytool -import -alias <일부 별칭 이름>
-file <certificateAuthority.cert의 경로> -storetype jks-keystore /<JAVA_HOME>/lib/security/jssecacerts
이 설정은 서브렛 엔진, Windchill 서버 및 웹 서버에 액세스하는 모든 Java 응용 프로그램에서 사용할 JDK에 맞추어 구성되어야 합니다.
사용자의 JDK에서 신뢰하는 기본 인증서 목록을 나열하려면 다음을 실행합니다.
keytool -list -v -keystore /<JAVA_HOME>/lib/security/cacerts
Java 보안에 대한 추가 정보는 다음에서 찾을 수 있습니다.
http://java.sun.com/products/jsse
2. HTTP Server가 인증서를 인식하도록 구성합니다.
인증서 파일 및 개인 키를 HTTP Server에 추가합니다. 기본적으로, 보안 액세스 구성의 참조용으로 두 개의 파일이 제공됩니다.
For PTC HTTP Server
a. 인증서 파일(server.crt)을 <Apache>/conf/ 디렉토리에 설치합니다.
b. 개인 키(server.key)를 <Apache>/conf/ 디렉토리에 설치합니다.
3. PTC HTTP Server 2.4에서 HTTPSERVER_HOME에 다음 명령을 사용하면 SSL이 활성화됩니다.
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. URL을 HTTPS로 변경하여 Windchill을 HTTPS용으로 구성합니다.
xconfmanager를 사용하여 다음 두 등록 정보를 적절한 값으로 변경합니다.
a. wt.webserver.port=<HTTPS에 사용되는 포트>. 프로토콜의 기본 포트는 443입니다.
b. wt.webserver.protocol=https
5. HTTP Server를 다시 시작합니다.
HTTP Server 시작 명령은 SSL 또는 비 SSL 서버에서 동일합니다.
◦ Windows:
<httpserver_home>\bin\httpd.exe
◦ Unix의 경우:
<httpserver_home>/bin/apachectl
6. Embedded Servlet Engine를 다시 시작합니다.
7. Windchill을 다시 시작합니다.
작업 그룹 매니저와 같은 다른 Windchill 제품도 HTTPS를 지원할 수 있으며, 그 경우 추가 구성을 통해 HTTPS로 변환시키는 작업이 필요합니다. 자세한 내용은 작업 그룹 매니저 설명서를 참조하십시오.
HSTS(HTTP Strict-Transport-Security) 구성
HSTS는 프로토콜 다운그레이드 공격 및 쿠키 하이재킹으로부터 웹사이트를 보호하는 데 유용합니다. HSTS 구성은 Windchill 12.0.1.0에서 HTTPS로 구성된 Windchill 서버에 OOTB로 설정됩니다. HTTPS는 보안 배포를 위해 항상 사이트에서 구성되어야 합니다.
• 구성 보존 옵션을 사용하여 HTTP 서버를 배포할 경우 Windchill 설치 및 구성 안내서 - 기존 설치 업데이트의 도움말 항목인 업데이트 후 옵션 단원에서 HTTP 서버 구성 파일 업데이트 단원을 참조하십시오.
• 구성 보존 옵션을 사용하여 HTTP 서버를 배포할 경우 도움말 항목인
업데이트 후 옵션 단원에서 HTTP 서버 구성 파일 업데이트 단원을 참조하십시오.
|
Windchill 설치에 HSTS(HTTP Strict-Transport-Security)를 구성하는 것이 좋습니다.
|
IIS에 HSTS를 사용하려면 다음 지침을 따릅니다.
1. IIS를 HTTPS로 구성합니다.
2. IIS Manager의 왼쪽 창에서 <ComputerName/Site> 노드를 선택합니다.
3. 가운데 창에서 HTTP 응답 헤더를 클릭합니다.
4. 작업 패널에서 추가...를 클릭합니다.
5. 사용자 정의 HTTP 응답 헤더 추가 대화 상자에 다음 값을 입력합니다.
◦ 이름: Strict-Transport-Security
◦ 값: max-age=10368000; includeSubDomains;
6. 사이트를 다시 시작합니다.