CA CEM을 사용하여 보안 웹 응용 프로그램 모니터링

다음 목록에는 SSL 기반 보안을 사용하는 웹 응용 프로그램을 모니터링하도록 CA CEM을 설정하는 것과 관련된 주요 작업이 나와 있습니다.

웹 서버 SSL 개인 키를 얻습니다.
SSL 개인 키가 PEM 파일에 있는지 확인합니다.
필요한 경우 개인 키를 변환합니다.
SSL용으로 CA CEM을 구성하고 CA CEM에 PEM 파일을 업로드합니다.
SSL을 사용하여 CA CEM을 확인합니다.

SSL 개인 키 가져오기 및 관리

CA CEM에서 여러 개인 키를 지원하므로 서로 다른 개인 키를 사용하여 다양한 HTTPS 서버의 SSL 트래픽을 분석할 수 있습니다. CA CEM은 Apache 및 OpenSSL 기반 서버에서 사용하는 PEM 개인 키 형식을 지원합니다. Microsoft IIS, SunONE, iPlanet 및 Netscape에서도 개인 키 형식을 사용하지만 해당 키를 CA CEM에서 사용할 PEM 파일로 변환할 수 있습니다. CA CEM에서는 캡처하는 데이터의 암호를 해독하는 데 필요한 키가 자동으로 식별됩니다.

변환을 수행하는 데 사용되는 시스템에서 OpenSSL 버전을 사용할 수 있어야 합니다. OpenSSL은 http://www.openssl.org에서 제공됩니다.

지원되는 웹 서버의 SSL 개인 키를 얻는 방법에 대한 자세한 내용은 다음을 참조하십시오.

Apache 또는 OpenSSL 기반 웹 서버 개인 키 저장

Apache 또는 OpenSSL 기반 웹 서버 개인 키 파일을 저장해 두었다가 CA CEM에서 사용할 수 있습니다.

다음 단계를 따르십시오.

서버 구성 파일을 찾습니다. 예:
```
/etc/httpd/conf.d/ssl.conf
```
개인 키 파일을 가리키는 SSL 인증서 키 파일을 찾습니다. 예:
```
SSLCertificateKeyFile=/etc/httpd/conf/ssl.key/server.key
```
해당 파일을 복사하고 이름을 output.pem으로 바꿉니다.

자세한 내용은 http://httpd.apache.org/ 및 http://www.openssl.org/를 참조하십시오.

Microsoft Internet Information Service(IIS) 개인 키 내보내기 및 변환

Microsoft IIS(인터넷 정보 서비스) 개인 키는 CA CEM에서 읽을 수 있는 형식으로 내보내야 합니다. 이 형식은 PFX입니다. 변환을 수행하는 데 사용되는 시스템에서 OpenSSL 버전을 사용할 수 있어야 합니다. http://www.openssl.org/에서 OpenSSL을 얻을 수 있습니다.

먼저 IIS 서버에서 개인 키를 내보낸 다음 출력 파일을 PEM 형식으로 변환합니다.

키를 PFX 형식으로 내보내려면

IIS를 실행 중인 Windows 기반 시스템에서 "시작", "실행"을 차례로 클릭합니다.
MMC.exe를 입력하고 "확인"을 클릭합니다.
"콘솔" 메뉴를 클릭하고 "스냅인 추가/제거"를 클릭합니다.
"Add"(추가)를 클릭합니다. "인증서" 스냅인을 선택하고 "추가"를 클릭합니다.
"컴퓨터 계정"을 선택하고 "다음"을 클릭합니다.
"로컬 컴퓨터"를 선택하고 "확인"을 클릭합니다.
"닫기", "확인"을 차례로 클릭합니다.
"인증서" 메뉴를 확장하고 "개인" 폴더를 클릭합니다. 내보낼 인증서를 마우스 오른쪽 단추로 클릭하고 "모든 작업" > "내보내기"를 선택합니다.
마법사가 나타납니다.
개인 키를 포함하고 PFX 파일을 얻을 때까지 마법사를 계속 진행하려면 확인란을 선택합니다.

PFX 파일을 PEM 키 파일로 변환하려면

OpenSSL 소프트웨어를 실행 중인 시스템에서 다음 명령을 입력하십시오.
```
openssl pkcs12 –in filename.pfx –nocerts –out output.pem
```
filename.pfx를 만든 파일의 이름으로 바꿉니다.
output.pem을 만들고 있는 출력 파일의 이름으로 바꿉니다.
명령을 실행합니다.

이 PEM 파일을 생성할 때 지정된 암호는 이 파일을 TIM에 업로드할 때 사용하는 암호입니다.

SunONE, iPlanet 또는 Netscape Enterprise Server

Sun, SunONE, iPlanet 및 Netscape 웹 서버는 모두 동일한 핵심 기술을 기반으로 합니다. 이러한 웹 서버의 개인 키는 CA CEM에서 읽을 수 있는 형식으로 내보내야 합니다.

변환을 수행하기 위해 사용하는 시스템에서 다음 유틸리티를 사용할 수 있어야 합니다.

OpenSSL
NSS(Network Security Services)
NSPR(Netscape Portable Runtime)

다음 단계에서는 Windows 시스템이 변환에 사용된다고 가정합니다.

개인 키 파일을 생성하려면

다음과 같이 키 관리 유틸리티를 다운로드하고 추출합니다.
- OpenSSL. http://www.openssl.org/에서 제공됩니다.
- NSS(Network Security Services). http://www.mozilla.org/projects/security/pki/nss/에서 제공됩니다.
- NSPR(Netscape Portable Runtime). http://www.mozilla.org/projects/nspr/에서 제공됩니다.
파일을 추출합니다.
- ZIP 파일을 임시 디렉터리에 추출합니다.
- nss-3.9.zip 파일을 c:\에 추출합니다.
- nspr-4.4.1 파일을 c:\에 추출합니다.
Win32-OpenSSL-v0.9.7c에 해당: Win32-OpenSSL-v0.9.7c를 실행하고 C:\OpenSSL 디렉터리에 설치합니다.
다음을 줄을 포함하도록 PATH 변수를 수정합니다.
```
c:\nss-3.9\lib;c:\nspr-4.4.1\lib
```
SunONE/iPlanet/Netscape 인증서와 키가 확장명이 .db인 파일에 저장됩니다.
*.db 파일을 쓰기 가능한 디렉터리(이 예의 경우 c:\dbfiles)에 복사합니다.
명령 프롬프트를 열고 다음을 입력합니다.
```
cd c:\nss-3.9\bin
```
기본적으로 NSS 도구는 이름이 key3.db 및 cert7.db인 파일을 찾습니다. 데이터베이스 파일에 key3.db와 cert7.db 이외의 이름이 지정된 경우 파일 이름을 바꾸지 마십시오. 그 대신 –P(접두사) 스위치를 제공하여 certutil 및 pk12util이 규칙에 맞지 않는 이름이 지정된 파일을 찾을 수 있도록 합니다.

예를 들어 파일에 prodSite-cert.db와 prodSite-key.db라는 이름이 지정된 경우 certutil 명령을 사용하여 prodSite-cert7.db와 prodSite-key3.db 파일을 생성합니다. 다음 명령의 출력에는 포함된 인증서 이름이 표시됩니다.
```
certutil -P prodSite- -K –d C:\dbfiles\
```
NSS 인증서 DB의 암호 또는 PIN을 입력합니다(데이터베이스 암호 입력).
prodSite-cert7.db와 prodSite-key3.db 파일이 생성됩니다.

내보내기와 변환을 수행하려면

프롬프트에서 다음을 입력합니다.

pk12util -P prodSite- -d C:\dbfiles\ -o C:\dbfiles\output.p12 –n Server-Cert

NSS 인증서 DB의 암호 또는 PIN을 입력합니다(데이터베이스 암호 입력).
PKCS12 파일의 암호를 입력합니다(출력 암호 입력).
암호를 다시 입력합니다(출력 암호 다시 입력).
이제 C:\dbfiles 디렉터리에 output.p12라는 파일이 있습니다.

출력 암호는 이 파일을 Enterprise Manager에 업로드할 때 필요한 암호입니다.

OpenSSL\bin 디렉터리에서 다음 명령을 실행하십시오.

openssl pkcs12 –in C:\dbfiles\output.p12 -nodes –out C:\dbfiles\pkcs12out.txt

이 명령을 실행하면 pkcs12 구조가 MAC 및 모음 정보가 포함된 텍스트 파일로 변환됩니다. 이 명령은 개인 키와 인증서가 포함된 PEM 파일도 생성됩니다.

pkcs12out.txt 파일의 내용은 다음 예제와 비슷합니다.

Enter Import Password:
MAC verified OK
Bag Attributes
localKeyID: 01 00 00 00
1.3.6.1.4.1.311.17.1: Microsoft Enhanced Cryptographic Provider v1.0
friendlyName: 98849c683ad0e90810a77235bd728b12_668b93c6-0795-
4ba7-9da8-78737a299d3f
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1
yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q
1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB
AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0
ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg
vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+
gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb
C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn
-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
Land/CN=www.megamoose.com
issuer=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
Land/CN=www.megamoose.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

다음 예제처럼 키 구문을 복사하여 PEM 확장명을 갖는 별도 파일에 붙여넣습니다.