Home
보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
TLS 보안
TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
인증서 관리자를 통해 TLS 인증서 관리
HCL Domino® 12에서는 인증서 저장소(certstore.nsf)라는 새 데이터베이스와 함께 작동하여 Domino 환경에서 TLS 인증서를 관리하는 인증서 관리자(CertMgr)라는 새로운 서버 태스크를 도입했습니다.
Let's Encrypt CA를 통해 인증서 관리
CertMgr은 ACME 프로토콜을 사용하여 Let's Encrypt® CA(인증 기관)에서 널리 신뢰되는 무료 TLS 인증서를 자동으로 요청, 구성 및 갱신할 수 있는 기능을 제공함으로써 Domino 웹 서버 조작을 단순화하고 보호합니다.
Let's Encrypt CA 인증서 요청: 빠른 시작
HCL Domino® 서버가 발신 포트 443 및 수신 포트 80/443을 통해 인터넷에 연결되는 경우 CertMgr 명령을 사용하여 서버에 대한 Let's Encrypt CA의 인증서를 요청할 수 있습니다.

보안
이 절에서는 실행 제어 목록, ID 및 TLS를 포함한 보안 기능에 대해 설명합니다.
- Domino 보안 개요
  조직의 보안 설정은 아주 중요한 태스크입니다. 조직의 IT 자원 및 자산 보호를 위해 보안 하부 구조가 반드시 필요하며 관리자는 서버 또는 사용자를 설정하기 전에 조직의 보안 요구사항에 대해 신중히 고려해야 합니다. 사전 보안 계획으로 절충안을 채택한 보안상의 위험을 최소화할 수 있습니다.
- Notes® 사용자, 인터넷 사용자 및 Domino® 서버에 대한 서버 액세스
  다른 서버에 대한 사용자 및 서버의 액세스를 제어하기 위해, Domino®는 유효성 검증 및 인증 규칙과 서버 문서의 보안 탭에서 지정하는 설정을 사용합니다. 서버가 Notes® 사용자, 인터넷 사용자 또는 서버의 유효성을 검증하고 인증하며 서버 문서의 설정이 액세스를 허용하는 경우, 사용자 또는 서버는 서버에 액세스할 수 있습니다.
- 데이터베이스 ACL
  모든 .NSF 데이터베이스에는 해당 데이터베이스에 대한 사용자와 서버의 액세스 레벨을 지정하는 ACL이 있습니다. 사용자와 서버에 대한 액세스 레벨 이름이 동일하더라도 사용자에게 할당된 레벨은 사용자가 데이터베이스에서 수행할 수 있는 태스크를 결정하는 반면, 서버에 할당된 레벨은 데이터베이스 내에서 서버가 어떤 정보를 복제할 수 있는지 결정합니다. 관리자 권한을 가지는 사용자만 ACL을 작성하거나 수정할 수 있습니다.
- Domino® 서버 및 Notes® 사용자 ID
  Domino® 는 ID 파일을 사용하여 사용자를 식별하고 서버에 대한 액세스를 제어합니다. 모든 Domino 서버, Notes® 인증자 및 Notes 사용자는 ID를 갖고 있어야 합니다.
- 실행 제어 목록(ECL)
  ECL(실행 제어 목록)을 사용하여 워크스테이션 데이터 보안을 설정합니다. ECL은 출처를 알 수 없거나 의심되는 사용 중인 내용으로부터 사용자 워크스테이션을 보호하며, 워크스테이션에서 실행되는 내용 수행을 제한하도록 설정될 수 있습니다.
- Domino® 서버 기반 CA(Server-based certification authority)
  CA 프로세스 서버 태스크를 사용하는 Domino® 인증자를 설정하여 인증서 요청을 관리하고 처리할 수 있습니다. 인증 기관 프로세스는 인증서를 발행하는 데 사용되는 Domino 서버에서 프로세스로 실행됩니다. Notes® 또는 인터넷 인증자를 설정할 때 CA 프로세스 활동을 이용하기 위해 서버의 CA 프로세스에 링크합니다. CA 프로세스는 한 번만 서버에서 실행되지만 여러 인증자에 연결할 수 있습니다.
- TLS 보안
  TLS(Transport Layer Security)는 TCP/IP에서 작동하는 Domino® 서버 태스크의 통신 개인정보 보호 및 인증을 제공하는 보안 프로토콜입니다.
  - 인증서 관리자를 통해 TLS 인증서 관리
    HCL Domino® 12에서는 인증서 저장소(certstore.nsf)라는 새 데이터베이스와 함께 작동하여 Domino 환경에서 TLS 인증서를 관리하는 인증서 관리자(CertMgr)라는 새로운 서버 태스크를 도입했습니다.
    - CertMgr 실행
      CertMgr을(를) ServerTasks notes.ini 설정에 추가하거나 프로그램 문서에서 실행하도록 예약하여 CertMgr을 자동으로 시작하도록 구성합니다. 처음 실행하면 인증서 저장소 데이터베이스(certstore.nsf)가 작성됩니다.
    - 웹 서버에서 인증서 저장소 데이터베이스(certstore.nsf) 구성
      도메인의 웹 서버에서 certmgr을 실행하여 certstore.nsf의 복제본을 작성합니다.
    - 글로벌 설정 구성
      인증서 관리에 사용할 기본 값을 설정하도록 글로벌 설정을 구성합니다.
    - Let's Encrypt CA를 통해 인증서 관리
      CertMgr은 ACME 프로토콜을 사용하여 Let's Encrypt® CA(인증 기관)에서 널리 신뢰되는 무료 TLS 인증서를 자동으로 요청, 구성 및 갱신할 수 있는 기능을 제공함으로써 Domino 웹 서버 조작을 단순화하고 보호합니다.
      - Let's Encrypt CA 인증서 요청: 빠른 시작
        HCL Domino® 서버가 발신 포트 443 및 수신 포트 80/443을 통해 인터넷에 연결되는 경우 CertMgr 명령을 사용하여 서버에 대한 Let's Encrypt CA의 인증서를 요청할 수 있습니다.
      - Let's Encrypt CA 도전 과제 옵션
        Let’s Encrypt CA에서 인증서를 수신한 경우 서버에서 도전 과제를 사용하여 인증서의 도메인 이름이 제어되는지 확인합니다. 두 가지 유형의 도전 과제가 지원되며, 둘 모두 Domino에서 사용할 수 있습니다.
      - Let's Encrypt CA에서 인증서를 요청하도록 Domino 서버 준비
        Domino 서버가 Let's Encrypt® CA에서 인증서를 요청하도록 준비하려면 사용하려는 도전 과제의 유형(HTTP-01 또는 DNS-01)에 해당하는 절차를 따르십시오. HTTP-01이 가장 일반적으로 사용되는 도전 과제입니다.
      - ACME 계정 프로파일 구성
        certstore.nsf에는 첫 번째 인증서 요청을 Let's Encrypt CA에 제출하기 전에 구성할 두 ACME 계정 프로파일 문서가 있습니다.
      - Let's Encrypt CA에서 인증서 요청
        certstore.nsf 인터페이스를 사용하여 Let's Encrypt® CA에서 인증서를 요청합니다.
      - HTTP-01 도전 과제에 대한 Let's Encrypt 인증서 요청 흐름
        다음 다이어그램은 HTTP-01 도전 과제가 사용될 때 Let's Encrypt® CA에 대한 인증서 요청에 관련된 구성요소와 단계를 보여 줍니다.
    - 써드파티 CA에서 키와 인증서 요청 및 가져오기
      HCL Domino® 12 이상에서 Domino 서버에서 써드파티 인증 기관(C)의 인터넷 인증서를 구성하는 프로세스가 더 간단해졌습니다.
    - TLS 신임 정보 업그레이드
      아직 TLS 신임 정보 문서에 추가되지 않은 디스크에 TLS 신임 정보가 있는 경우, CertMgr에서 사용할 수 있도록 certstore.nsf 데이터베이스를 사용하여 가져올 수 있습니다.
    - 파일로 신임 정보 내보내기
      TLS 신임 정보 문서의 신임 정보를 파일로 내보낼 수 있습니다.
    - 신뢰할 수 있는 루트 인증서 추가
      신뢰할 수 있는 루트 인증서를 사용하면 웹 서버에서 연결 중인 클라이언트의 신뢰된 루트 인증서를 수락할 수 있습니다. 신뢰할 수 있는 루트 인증서는 CA에서 제공하는 부분 인증서 체인을 자동으로 완료하는 데에도 유용합니다.
    - 마이크로 CA에서 인증서 작성
      마이크로 CA에서 웹 서버 TLS 인증서를 작성할 수 있습니다.
    - ACME 계정 및 호스트 키에 대한 ECDSA 암호화 지원
      CertMgr은 Let's Encrypt® CA 또는 써드파티 CA에서 생성되는 TLS 1.2 호스트 키(키링 파일) 및 ACME 계정에 대해 NIST P-256 및 NIST P-384 곡선을 사용하여 ECDSA(Elliptic Curve Digital Signature Algorithm)를 지원합니다.
    - 키 롤오버 요청
      TLS 호스트 키 롤오버(일반적) 또는 ACME 계정 키 롤오버를 요청할 수 있습니다.
    - CertMgr 명령행 매개변수
      load certmgr 명령은 다음 매개변수와 함께 실행될 수 있습니다.
    - CertMgr tell 명령
      사용할 수 있는 CertMgr tell 명령은 다음과 같습니다.
    - CertMgr notes.ini 설정
      CertMgr에는 다음 notes.ini 설정이 포함되어 있습니다. 일부 설정은 명령행 매개변수에 해당하며 관련 내용이 명시되어 있습니다.
    - 인증서 상태 확인
      CertMgr 태스크에서는 가져오는 시점과 이후 30분마다 가져온 키와 인증서의 상태를 확인합니다.
    - 인증서 URL 상태 확인
      CertMgr은 TLS 신임 정보 문서에 지정된 대상 URL 엔드포인트에서 TLS 인증서 검증을 지원합니다. 이 검증에서는 인증 만료를 확인하고 인증서가 만료된 경우 관리자에게 알립니다.
    - 인터넷 CA 루트 인증서가 업데이트됨
      Domino 디렉토리 및 인증서 저장소의 인터넷 CA 루트 인증서가 추가 필드를 포함하도록 업데이트되었습니다.
    - CertMgr 디버그 로깅
      CertMgr 디버그 로깅을 사용하도록 설정하는 데 사용되는 load certmgr -d 명령에는 단일 위치에서 문제 해결 정보를 제공하기 위한 일반 메시지 로깅도 포함됩니다. 이 로깅은 Let's Encrypt 인증 기관 및 써드파티 CA의 인증서와 관련이 있습니다.
  - TLS 포트 구성
    항상 TLS 프로토콜을 통해 통신 채널이 암호화되고 무결성이 확인되며 서버 신원이 인증됩니다. 다양한 양식의 클라이언트 신원 인증을 요구하도록 TLS 서버를 선택적으로 설정할 수 있습니다.
  - 서버에 대한 TLS 연결 요구
    클라이언트가 보안 연결을 사용하여 서버의 데이터베이스에 액세스해야 할 때, TLS 연결을 요구하십시오. TCP/IP 포트를 통해 TLS 포트로 들어오는 연결 요청 방향을 리디렉션하여 연결을 요구합니다. TLS 연결을 요구하지 않을 경우, 클라이언트는 TLS 또는 TCP/IP를 사용하여 서버에 대한 액세스 여부를 결정할 수 있습니다.
  - 서버-서버 TLS에 대한 인터넷 교차 인증서 작성
    하나의 서버가 신뢰를 얻기 위해 다른 서버로부터 인터넷 교차 인증서를 얻을 수 있습니다. 예로는 어떤 서버가 다른 서버의 디렉토리 보조자에 액세스해야 할 경우를 들 수 있습니다.
  - TLS 클라이언트에 대한 데이터베이스 액세스 설정
    Domino® 서버에 TLS를 설정한 후, 서버에 있는 데이터베이스에 대한 클라이언트 액세스 권한을 부여해야 합니다.
  - TLS 암호 제한 수정
    TLS는 공용, 개인 및 협상된 세션 키를 사용합니다. 모든 TLS 인증서 세트에는 한 쌍의 키(공개 키와 개인 키)와 인증서 소유자가 네트워크에서 자신의 신분을 확인한 후 S/MIME을 사용하여 메시지를 암호화하고 서명할 수 있도록 지원하는 X.509 인증서가 들어 있습니다. 인증서는 키 쌍의 공개 키 쪽만 포함합니다. 개인 키는 Notes® 클라이언트에서는 ID 파일에 보관되고 TLS 서버에서는 키 링 파일 또는 cerstore.nsf 데이터베이스에 보관됩니다. Domino 12부터 Domino는 RSA 키와 ECDSA 키를 모두 지원합니다. 자세한 정보는 wn_ECDSA_cryptography.html의 내용을 참조하십시오.
  - 2차 Domino® 및 LDAP 디렉토리에 있는 웹 TLS 클라이언트 인증
    웹 클라이언트가 서버에서 인증할 때, 기본적으로 서버는 클라이언트 인증서가 사용자 문서에 존재하는지 알기 위해 1차 HCLDomino® 디렉토리를 확인합니다. 사용자 조직에서 2차 Domino 디렉토리 및/또는 LDAP 디렉토리를 사용하여 클라이언트 인증서를 확인할 경우, 추가 디렉토리를 검사하도록 Domino를 설정할 수 있습니다. 이렇게 하려면 디렉토리 보조자 데이터베이스에서 2차 Domino 및 LDAP 디렉토리를 신뢰된 도메인으로 설정하십시오.
  - TLS 세션 복구
    TLS 세션을 복구하면 TLS 세션 키 협상 과정에서 처리 시간이 가장 오래 걸리는 과정을 통과하기 위해 이전의 성공적인 TLS 세션 협상의 정보를 다시 불러와서 TLS를 사용할 때 성능이 크게 향상됩니다. HTTP가 TLS 세션 복구 시 가장 큰 이익을 얻는 프로토콜이지만 다른 인터넷 프로토콜도 이익을 얻습니다.
  - 인증서 관리자 없이 TLS 인증서 관리
    인증서 관리자(CertMgr) 및 인증서 저장소(certstore.nsf) 데이터베이스로 인증서를 관리하지 않는 경우 이 섹션에서 설명하는 대로 인증서를 수동으로 생성하고 관리합니다.
- 클라이언트에 대한 TLS 및 S/MIME
  클라이언트는 Domino® 인증 기관 애플리케이션 또는 써드파티 인증 기관을 사용하여 보안 TLS 및 S/MIME 통신용 인증서를 가져올 수 있습니다.
- 암호화
  암호화는 인증되지 않은 액세스로부터 데이터를 보호합니다.
- 인터넷/인트라넷 클라이언트에 대한 이름과 비밀번호 인증 확인
  이름과 비밀번호 인증 확인(또는 기본 비밀번호 인증 확인)은 사용자에게 이름과 비밀번호를 묻기 위한 기본 질문/응답 프로토콜을 사용한 후, Domino® 디렉토리의 사용자 문서에 저장된 비밀번호의 보안 해시와 비교하여 비밀번호의 정확성을 확인합니다.
- TOTP(시간 기반 일회성 비밀번호) 인증
  사용자가 Domino 웹 서버에 로그인할 때 사용자 이름 및 비밀번호에 더해 시간 기반 일회성 비밀번호를 제공하도록 요구할 수 있습니다.
- 다중 서버 세션 기반 인증(single sign-on)
  다중 서버 세션 기반 인증(SSO라고도 함)을 통해 웹 사용자는 Domino® 또는 WebSphere® 서버에 한 번 로그인한 후 다시 로그인하지 않고도 SSO에 대해 사용으로 설정된 동일한 DNS 도메인 내의 다른 Domino 또는 WebSphere 서버에 액세스할 수 있습니다.
- SAML(Security Assertion Markup Language)을 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. Domino® 및 Notes®에서 사용자 인증을 위한 연합 ID는 OASIS의 SAML(Security Assertion Markup Language) 표준을 사용합니다.
- OIDC(OpenID Connect)를 사용하여 연합 ID 인증 구성
  연합 ID는 싱글 사인온을 실현하여 사용자에게 편의를 제공하고 관리 비용을 줄이는 데 도움이 되는 방법입니다. 클라이언트 애플리케이션에서 사용자를 인증하는 한 가지 방법으로 OIDC(OpenID Connect) 제공자를 사용합니다.
- 신임 정보 저장소를 사용하여 신임 정보 저장
  Domino® 서버에서는 신임 정보 저장소 애플리케이션을 보안 아티팩트 저장소로 사용할 수 있습니다. 보안 아티팩트의 예로는 인증 신임 정보 및 보안 키가 있습니다.
- Notes 및 Domino의 지원되는 키 크기 히스토리
  Notes® 및 Domino®의 이전 릴리스에서 현재 릴리스까지 지원되는 RSA 키 크기를 이해하십시오.

Let's Encrypt CA 인증서 요청: 빠른 시작

HCL Domino® 서버가 발신 포트 443 및 수신 포트 80/443을 통해 인터넷에 연결되는 경우 CertMgr 명령을 사용하여 서버에 대한 Let's Encrypt CA의 인증서를 요청할 수 있습니다.

이 태스크 정보

이 명령은 HTTP-01 도전 과제를 사용하여 인증서를 요청합니다.

프로시저

서버 콘솔에서 다음 명령을 실행합니다.

load certmgr -ACCEPT_TOU_AUTO_CONFIG

주: 이 명령은 다음에 해당합니다.

load certmgr -r -c -o -y  -ACCEPT_TOU

결과

CertMgr은 다음 단계를 로드하여 완료합니다.

Let's Encrypt(-ACCEPT_TOU)에 대한 운영 조건을 수락합니다.
certstore.nsf를 작성합니다.
시스템의 호스트 이름을 결정하고 첫 번째 인증서(-r)를 요청합니다.
HTTP(-o)를 시작하거나 HTTP(이미 실행 중인 경우)를 다시 시작합니다(-c).
ACME 프로토콜 작업을 실행하여 Let's Encrypt CA에서 인증서를 요청합니다.

동일한 이 인증서 요청 시나리오를 다음 notes.ini 설정을 사용하여 자동화할 수 있습니다.

CertMgr_ACCEPT_TOU=1
CertMgr_AutoRequestCert=1
CertMgr_AutoConfigHttp=1