1.8. ModCluster 하위 시스템과 Elytron 통합

elytron 하위 시스템에서 노출하는 보안 기능 중 하나는 SSL/TLS를 사용하여 로드 밸런서 장치와 통신하도록 modcluster 하위 시스템을 구성하는 데 사용할 수 있는 클라이언트 ssl-context 입니다.

애플리케이션 서버와 로드 밸런서 간의 통신을 보호할 때 다음과 같이 클라이언트 ssl-context 를 정의해야 합니다.

다음 절차에 따라 truststore 및 trust manager를 구성해야 합니다. 이러한 생성에 대한 자세한 내용은 Create an Elytron Truststore and Create an Elytron Trust Manager 에서 참조하십시오.

클라이언트 SSL 컨텍스트를 만듭니다.
이 SSL 컨텍스트는 SSL/TLS를 사용하여 로드 밸런서에 연결할 때 modcluster 하위 시스템에서 사용합니다.
```
/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:add(trust-manager=default-trust-manager)
```
다음 옵션 중 하나를 사용하여 새로 생성된 클라이언트 SSL 컨텍스트를 참조합니다.
- ssl-context 를 설정하여 modcluster 하위 시스템을 구성합니다.
  /subsystem=modcluster/mod-cluster-config=configuration:write-attribute(name=ssl-context, value=modcluster-client-ssl-context)
- mod-cluster 필터의 ssl-context 특성을 정의하여 undertow 하위 시스템을 구성합니다.
  /subsystem=undertow/configuration=filter/mod-cluster=modcluster:write-attribute(name=ssl-context,value=modcluster-client-ssl-context)
서버를 다시 로드합니다.
```
reload
```

modcluster 하위 시스템을 구성하고 신뢰 관리자와 함께 양방향 인증을 사용하려면 키 관리자도 구성해야 합니다.

키 저장소를 생성합니다.

/subsystem=elytron/key-store=twoWayKS:add(path=/path/to/client.keystore.jks, credential-reference={clear-text=secret},type=JKS)

키 관리자를 구성합니다.

/subsystem=elytron/key-manager=twoWayKM:add(key-store=twoWayKS, algorithm="SunX509", credential-reference={clear-text=secret})

클라이언트 SSL 컨텍스트를 만듭니다.

/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:add(trust-manager=default-trust-manager, key-manager=twoWayKM)

참고

기존 클라이언트 SSL 컨텍스트가 이미 있는 경우 다음과 같이 key-manager 를 추가할 수 있습니다.

/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:write-attribute(name=key-manager, value=twoWayKM)