9.3. 발신 연결 보안

절차

1. /etc/qpid-dispatch/qdrouterd.conf 구성 파일을 엽니다.

2. 라우터에 외부 AMQP 컨테이너의 ID를 확인하는 데 사용할 수 있는 인증서를 정의하는 sslProfile 이 포함되어 있지 않은 경우 이를 추가합니다.

   sslProfile {
       name: broker-tls
       caCertFile: /etc/qpid-dispatch-certs/ca.crt
       ...
   }

   name

   이 sslProfile 을 참조하는 데 사용할 수 있는 고유한 이름입니다.

   caCertFile

   외부 AMQP 컨테이너의 ID를 확인하는 데 사용되는 CA 인증서의 절대 경로입니다.

3. SSL/TLS를 사용하도록 이 연결에 대한 커넥터 를 구성하여 SSL 핸드셰이크 중에 브로커가 수신한 서버 인증서의 유효성을 검사합니다.

   이 예제에서는 브로커에 대한 커넥터 를 구성합니다. 라우터가 브로커에 연결하면 broker-tls sslProfile 에 정의된 CA 인증서를 사용하여 브로커에서 수신한 서버 인증서의 유효성을 검사합니다.

   connector {
       host: 192.0.2.1
       port: 5672
       role: route-container
       sslProfile: broker-tls
       ...
   }

   sslProfile

   외부 AMQP 컨테이너의 ID를 확인하는 데 사용할 인증서를 정의하는 sslProfile 의 이름입니다.

절차

1. /etc/qpid-dispatch/qdrouterd.conf 구성 파일을 엽니다.

2. 라우터에 외부 AMQP 컨테이너에 연결할 개인 키와 인증서를 정의하는 sslProfile 이 포함되어 있지 않은 경우 하나를 추가합니다.

   이 sslProfile 에는 개인 키의 위치와 라우터에서 피어로 인증하는 데 사용해야 하는 인증서가 포함되어 있습니다.

   sslProfile {
       name: broker-tls
       certFile: /etc/pki/tls/certs/tls.crt
       caCertFile: /etc/pki/tls/certs/ca.crt
       privateKeyFile: /etc/pki/tls/private/tls.key
       password: file:/etc/pki/tls/private/password.txt
       ...
   }

   name

   이 sslProfile 을 참조하는 데 사용할 수 있는 고유한 이름입니다.

   certFile

   이 라우터의 공용 인증서가 포함된 파일의 절대 경로입니다.

   caCertFile

   라우터가 들어오는 클라이언트를 인증하는 데 사용하는 CA 인증서의 절대 경로입니다.

   privateKeyFile

   이 라우터의 공용 인증서에 대한 개인 키가 포함된 파일의 절대 경로입니다.

   참고

   qdrouterd 또는 root 사용자가 개인 키에 액세스할 수 있는지 확인합니다. 예를 들면 다음과 같습니다.

   chmod 0600 /etc/pki/tls/private/tls.key
   chown qdrouterd /etc/pki/tls/private/tls.key

   암호

   인증서 키의 잠금을 해제하는 암호입니다. 인증서 키에 암호가 없는 경우 이를 지정할 필요가 없습니다. 다른 접두사를 사용하여 보안 요구 사항에 따라 암호를 여러 가지 방법으로 지정할 수 있습니다.

   • 암호가 포함된 파일의 절대 경로를 지정합니다. 암호가 포함된 파일에 대한 권한을 설정할 수 있으므로 가장 안전한 옵션입니다. 예를 들면 다음과 같습니다.

     password: file:/etc/qpid-dispatch-certs/inter-router/password.txt

   • 암호를 저장하는 환경 변수를 지정합니다. 다른 프로세스의 환경이 특정 플랫폼에 표시되므로 이 옵션을 신중하게 사용합니다. 예를 들면 다음과 같습니다.

     password: env:CERT_PASSWORD

   • 암호를 일반 텍스트로 지정합니다. 이 옵션은 안전하지 않으므로 보안이 우려되지 않은 경우에만 사용해야 합니다. 예를 들면 다음과 같습니다.

     password: pass:mycertpassword

3. 생성한 sslProfile 을 사용하도록 이 연결에 대한 커넥터 를 구성합니다.

   connector {
       host: 192.0.2.1
       port: 5672
       role: route-container
       sslProfile: broker-tls
       saslMechanisms: EXTERNAL
       ...
   }

   sslProfile

   라우터 간 네트워크의 SSL/TLS 개인 키 및 인증서를 정의하는 sslProfile 의 이름입니다.

절차

1. /etc/qpid-dispatch/qdrouterd.conf 구성 파일을 엽니다.

2. 외부 AMQP 컨테이너에 사용자 이름 및 암호 자격 증명을 제공하도록 이 연결에 대한 커넥터 를 구성합니다.

   connector {
       host: 192.0.2.1
       port: 5672
       role: route-container
       saslMechanisms: PLAIN
       saslUsername: user
       saslPassword: file:/path/to/file/password.txt
       }

   saslPassword

   피어에 연결할 암호입니다. 다른 접두사를 사용하여 보안 요구 사항에 따라 암호를 여러 가지 방법으로 지정할 수 있습니다.

   • 암호가 포함된 파일의 절대 경로를 지정합니다. 암호가 포함된 파일에 대한 권한을 설정할 수 있으므로 가장 안전한 옵션입니다. 예를 들면 다음과 같습니다.

     password: file:/path/to/file/password.txt

   • 암호를 저장하는 환경 변수를 지정합니다. 다른 프로세스의 환경이 특정 플랫폼에 표시되므로 이 옵션을 신중하게 사용합니다. 예를 들면 다음과 같습니다.

     password: env:PASSWORD

   • 암호를 일반 텍스트로 지정합니다. 이 옵션은 안전하지 않으므로 보안이 우려되지 않은 경우에만 사용해야 합니다. 예를 들면 다음과 같습니다.

     password: pass:mypassword