4.13.3. 특정 애플리케이션 구성
다양한 애플리케이션에서
TLS
에 대한 자체 구성 메커니즘을 제공합니다. 이 섹션에서는 가장 일반적으로 사용되는 서버 애플리케이션에서 사용하는 TLS
관련 구성 파일에 대해 설명하고 일반적인 구성의 예를 제공합니다.
사용하도록 선택한 구성에 관계없이 항상 서버 애플리케이션에서 서버 측 암호 순서를 적용해야 합니다. 사용할 암호화 제품군은 구성하는 순서에 따라 결정됩니다.
4.13.3.1. Apache HTTP 서버 구성
Apache HTTP 서버는
TLS
요구 사항에 OpenSSL 및 NSS 라이브러리를 모두 사용할 수 있습니다. TLS
라이브러리 선택 사항에 따라 mod_ssl 또는 mod_nss 모듈(eponymous 패키지에서 제공됨)을 설치해야 합니다. 예를 들어 OpenSSL mod_ssl 모듈을 제공하는 패키지를 설치하려면 root로 다음 명령을 실행합니다.
~]# yum install mod_ssl
mod_ssl 패키지는 Apache HTTP 서버의
TLS
관련 설정을 수정하는 데 사용할 수 있는 /etc/httpd/conf.d/ssl.conf
구성 파일을 설치합니다. 마찬가지로 mod_nss 패키지는 /etc/httpd/conf.d/nss.conf
구성 파일을 설치합니다.
httpd-manual 패키지를 설치하여
TLS
구성을 포함하여 Apache HTTP Server 에 대한 전체 문서를 가져옵니다. /etc/httpd/conf.d/ssl.conf
구성 파일에서 사용 가능한 지시문은 /usr/share/httpd/manual/mod/mod_ssl.html
에 자세히 설명되어 있습니다. 다양한 설정의 예로는 /usr/share/httpd/manual/ssl/ssl_howto.html
에 있습니다.
/etc/httpd/conf.d/ssl.conf
구성 파일의 설정을 수정할 때 최소한 다음 세 가지 지시문을 고려해야 합니다.
-
SSLProtocol
- 허용하려는
TLS
버전(또는SSL
)을 지정하려면 이 지시문을 사용합니다. -
SSLCipherSuite
- 이 지시문을 사용하여 선호하는 암호화 제품군을 지정하거나 허용하지 않을 암호화 제품군을 비활성화합니다.
-
SSLHonorCipherOrder
- 연결 클라이언트가 지정한 암호 순서를 준수하는지 확인하기 위해 이 지시문의 주석을
on
으로 설정합니다.
예를 들어 다음과 같습니다.
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
위의 구성은 최소 사양이며, 4.13.1절. “사용할 알고리즘 선택” 에 설명된 권장 사항에 따라 크게 강화할 수 있습니다.
mod_nss 모듈을 구성하고 사용하려면
/etc/httpd/conf.d/nss.conf
구성 파일을 수정합니다. mod_nss 모듈은 mod_ssl 로부터 파생되며, 따라서 구성 파일의 구조가 아니라, 사용 가능한 지시문과 많은 기능을 공유합니다. mod_nss 지시문에는 SSL
대신 NSS
접두사가 있습니다. mod_nss 에 적용되지 않는 mod_ssl 구성 지시문 목록을 포함하여 mod_nss 에 대한 자세한 내용은 https://git.fedorahosted.org/cgit/mod_nss.git/plain/docs/mod_nss.html 를 참조하십시오.