본 장에서는 Tibero에서 통신 암호화 기능을 사용하고 관리하기 위한 방법을 설명한다.
Tibero는 서버와 클라이언트 간에 송수신되는 메시지에 대한 기밀성을 보장하기 위하여 통신 암호화 기능을 제공한다. Tibero의 통신 암호화 기능은 Netscape사의 SSL 통신 프로토콜을 채택하였으며 Openssl Project에서 제공하는 라이브러리를 사용하여 개발되었다. 참고로 Windows 운영체제의 경우 현재 통신 암호화 기능을 제공하지 않는다.
통신 암호화 기능을 사용하기 위해서는 통신 양자 간에 보안 통신을 위한 설정이 필요하다. 서버에서는 보안 통신에 사용될 인증서와 개인 키를 미리 소지하고 있거나 없으면 새로 생성해야 한다. 그 다음 인증서와 개인 키의 위치를 환경설정 파일에 지정해주게 되면 보안 통신 전용 포트가 열리게 된다.
클라이언트에서는 보안 통신 사용 여부를 환경설정 파일에 지정해준다. 이에 따라 일반 또는 보안 접속이 이루어지게 된다.
개인 키 및 인증서 생성은 X.509 v3(PKI ITU-T 표준)을 따른다. 개인키 및 인증서를 생성할 때 입력하는 주요 정보는 다음과 같다.
password
해당 암호는 개인키 및 인증서를 생성하는 데에만 쓰인다.
basename to make a certificate and a private key
개인키 및 인증서 파일의 이름을 결정하는데 쓰이며, 이외의 용도는 없다.
the number of days to make a certificate valid for
해당 기간 만료 후에는 개인키 및 인증서를 사용할 수 없기 때문에 재생성해야 하며 재생성은 온라인 중에도 가능하다. 세션이 새로 로그인할 때 하나의 ssl 단위가 새로 생성되기 때문에, 온라인 중에 인증서 및 개인키를 갱신할 경우 기존과 동일한 파일명으로 갱신한 후 ssl 옵션으로 세션을 새로 붙이면 된다.
실제 개인 키 및 인증서를 생성하는 방법은 다음과 같다.
[예 7.1] 개인 키 및 인증서의 생성
$ cd $TB_HOME/bin $ ./tb_cert_manager Enter new password: tibero Repeat: tibero Enter basename to make a certificate and a private key.(default: $TB_SID): (enter) TB Enter the number of days to make a certificate valid for.(default: 3650): (enter) 3650 === STEP 1. Generate private key === Generating RSA private key, 1024 bits long modulus ....++++++ ..........++++++ e is 65537 (0x10001) === STEP 2. Generate CSR(Certificate Signing Request) === You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: 82 State or Province Name (full name) [Some-State]: Kyounggi Locality Name (eg, city) []: Seongnam Organization Name (eg, company) [Internet Widgits Pty Ltd]: TIBERO Organizational Unit Name (eg, section) []: RnD Common Name (eg, YOUR name) []: Hong Gil Dong Email Address []: gdhong@tibero.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: (enter) An optional company name []: (enter) === STEP 3. Generate certificate ===
입력을 마치면 전자지갑 저장소($TB_HOME/config/tb_wallet/)에 다음과 같은 파일이 생성된다. 만약 원하는 폴더에 개인 키 및 인증서를 생성하고 싶다면 다음과 같이 -p나 -P 옵션을 통해 생성 가능하다.
./tb_cert_manager -p $TB_HOME/config/[생성을 원하는 폴더이름]
이때, 경로는 절대경로를 입력한다.
공개 키 기반 개인 키: [$TB_SID].key 인증서 생성 요청서: [$TB_SID].csr 인증서: [$TB_SID].crt
추가로 TAC인 경우는 노드별로 각각 개인키 및 인증서를 생성할 필요가 없고 한번 만든 개인키 및 인증서를 공유해서 사용할 수 있다. 혹은 -p 또는 -P 옵션으로 개인키 및 인증서를 생성하여 다중 인스턴스에서 사용 가능하다.
$TB_SID.tip 환경설정 파일에 CERTIFICATE_FILE과 PRIVKEY_FILE 초기화 파라미터를 추가하고 인증서와 개인 키의 위치를 절대경로로 설정한다.
[예 7.2] 개인 키 및 인증서의 위치설정
<<$TB_SID.tip>>
# 아래의 $TB_HOME을 절대경로로 입력한다. CERTIFICATE_FILE=$TB_HOME/config/tb_wallet/[$TB_SID].crt PRIVKEY_FILE=$TB_HOME/config/tb_wallet/[$TB_SID].key
tbdsn.tbr 파일에서 통신 암호화 사용을 설정하는 방법은 다음과 같다.
[예 7.3] 클라이언트 설정
<<tbdsn.tbr>>
TB=( (INSTANCE=(HOST=서버 IP) (PORT=서버 포트) (DB_NAME=데이터베이스 이름) (USE_SSL=Y) ) )
SID 내의 USE_SSL값을 'Y'로 설정하면 통신 암호화 기능을 사용할 수 있다. 반면에 USE_SSL 초기화 파라미터가 없거나 'Y' 외의 다른 값을 입력하면 일반 접속이 된다.
PORT는 서버 포트(LISTENER_PORT)를 명시하면 되는데 내부적으로 SSL 전용 포트(_LSNR_SSL_PORT = LISTENER_PORT + 2)가 추가 지정되게 된다. 일반 포트를 통한 통신으로 일단 SSL 소켓을 생성하기 위한 핸드쉐이킹을 수행하게 되고 SSL 소켓이 생성된 이후에는 내부적으로 지정된 SSL 전용 포트를 통해 보안통신을 하게 된다.