어느날 갑자기 잘만 실행되었던 PO의 ESR,ID 툴이 실행이 안되었던적이 있어 찾아본 내용을 정리하였습니다.
에러,현상 정리
실행할때 자바 콘솔로그에는 아래와 같이 발생되면 툴 실행이 실패
보안을 위해 애플리케이션이 차단됨
인증서 검증을 실패했습니다.
애플리케이션이 실행되지 않습니다.
java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: OCSP response error: MALFORMED_REQUEEST
인증서 관련 오류인것 같은데 암호화 통신 기반이 되느느 SSL,TLS에서는 인증서관리가 매우 중요하며 인증서에는 만료기간 및 생성,폐지,갱신 등이 필요하여 무결성이 항상 유지되어야 한다고 하며 무결성 유지를 하기 위해 OCSP,CRL,OCSP Stapling 등 기술등이 사용되어 유지되어있는 것같음
OCSP란?
- OCSP = Onlice Certificate Status Protocol = 온라인인증서 상태 프로토콜
- X.509를 이용한 전자 서명 인증서의 폐지상태를 파악하는 사용되는 인터넷 프로토콜
- CRL보다 동일한 기능이지만 개선된 표준
- 인증기관의 서버에서 실시간으로 인증서의 유효성을 검증
- OCSP가 CRL보다 우선 → 모두 가능한경우
- 만료여부를 CA인증서 DB에 직접요청 → CRL보다 빠름
- good,revoked,unknown의 세가지 응답값
- 유효하지 못한 인증서는 error code로 응답
- 실시간으로 많은 요청이 발생되는 경우 응답이 느리거나 접속을 보장해줄수 없는 상태가 될수도 있음
CRL란?
- CRL = Certificate Revocation List = 인증서 해지목록
- 클라이언트가 다운로드한 CRL파일을 사용 → 인증서 유효성을 검증
- 사용중인 인증서 정상여부 판단
- 단점으로 폐기목록을 모두 다운로드 받아 확인필요
- 처리시간 느림
- CA기관과 클라이언트가 계속 갱신하여 확인필요
그외 OCSP Stapling(Online Certificate Status Protocol Stapling)은 OCSP,CRL의 단점을 개선한것이라고 하며 인증서 만료여부는 중간에 위치한 웹서버가 OCSP서버와 확인, 클라이언트는 웹서버 통해 만료여부 확인
해결과정
과정1
"ESR/ID PO Tool에서 접속 시 인증서 유효성체크 후에 실행이 되는것 같은데.."
2594847 - Certificate validity for signed jar files in Process Integration / Process Orchestration
".jnlp파일 안에 보이는 .jar파일 안에 인증서가 Tool 실행 시 인증서 상태확인이 필요한듯"
3308407 - XI/PI:Jar Files are signed by different certificates in 2023
"최신 인증서가 포함된 서비스 패키지(SP)를 업데이트 하면 될듯"
과정2
제어판 > JAVA > 보안에 예외사이트로 등록 시에도 실행 실패
과정3
에러내용으로 찾아보면 제어판 > JAVA > 코드인증서,TLS인증서 철회 확인의 체크된 항목을 'CRT 및 OCSP' → 'CRL(인증서 취소목록)으로 변경후 잘 실행이 됨
"전에 체크했던 항목에서 OCSP가 우선이라 실행에러가 난것 같고 CRL로 했을경우 실행된경우는 아직 폐기된 목록을 다운받지 않아서인것 같음"
댓글 없음:
댓글 쓰기