OpenSSL 인증서 발급
Windows 기반
Content CA root 인증서와 CA개인키 생성 2. 요청 인증서 발급 3. 서명 4. CRL 만들기 5. 인증서에서 공개키 빼내기 6. 패스프레이즈 제거하여 순수 RSA개인키 만들기
OpenSSL ( root인증서 ) 1. CA root 인증서와 CA개인키 생성 버전 : Win32OPENSSL_0_9_8e
OpenSSL ( rootca.cnf ) rootca.cnf ################################################################ [ req ] default_bits = 1024 default_keyfile = privkey.pem default_md = md5 prompt = no distinguished_name = req_distinguished_name x509_extensions = v3_ca [ req_distinguished_name ] countryName = KR stateOrProvinceName = TAEGU localityName = TAEGU organizationName = Dgssm organizationalUnitName = SeLinuxPTeam commonName = SCH emailAddress = tkss8329@naver.com [ v3_ca ] basicConstraints = CA:true #################################################################
OpenSSL CA root 인증서와 CA 개인키 생성 완료 - 실행화면 < 마소 예제 >
OpenSSL 2. 요청 인증서 발급 마소의 예제 명령을 입력하면 뒤에 서명까지는 되지만 인증서를 인증하는 프로그램에서는 에러가 나온다. <원인 모름 – x509문제> http://tong.nate.com/muritzy/36595002 의 요청서 작성 명령예제 < 서명까지 되며 인증서 인증도 성공함 > “openssl req -config ntt.cnf -new -keyout newreq.pem - out newreq.pem -days 365 ” * 인증서버에서의 서명 명령 참조 - 서버에서 실행* < 뒤에도 언급할 것임 > “openssl ca -config ntt.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem”
.conf < 컨피그레이션 파일 > ################################################################# [ ca ] default_ca = CA_default [ CA_default ] dir = c:\\OpenSSl\\CA database = $dir\\index.txt new_certs_dir = $dir\\certs certificate = $dir\\rootcert.pem serial = $dir\\serial private_key = $dir\\private\\rootkey.pem default_days = 365 dafault_crl_days = 30 default_md = md5 policy = policy_match x509_extensions = v3_ca [ policy_match ] countryName = supplied stateOrProvinceName = supplied localityName = supplied organizationName = supplied organizationalUnitName = supplied commonName = supplied emailAddress = supplied < 컨피그레이션 파일 > .conf
.conf < 컨피그레이션 파일 > [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional [ req ] default_bits = 1024 default_keyfile = privkey.pem default_md = md5 default_days = 365 distinguished_name = req_distinguished_name x509_extensions = v3_ca < 컨피그레이션 파일 > .conf
[ req_distinguished_name ] countryName = Country Name(2 letter code) countryName_default = KR countryName_min = 2 countryName_max = 2 stateOrProvinceName = state or Province Name (full name) stateOrProvinceName_default = TAEGU localityName = Locality Name (eg, city) localityName_default = TAEGU organizationName = organization Name (eg, company) organizationName_default = Dgssm organizationalUnitName = Web Dev organizationalUnitName_default = Web Dev commonName = NTT_Test_CA commonName_default = NTT_Test_CA commonName_max = 64 emailAddress = tkss8329@naver.com emailAddress_default = tkss8329@naver.com emailAddress_max = 40 [ v3_ca ] basicConstraints = CA:false #################################################################
OpenSSL 3. 서명 ntt.cnf파일 작성하여 ./ca폴더에 복사 2번과정에서 생성된 rootkey.pem(루트 개인키) 파일을 private로 복사 “openssl ca –config ntt.cnf –in testreq.pem” < 마소 예제 > - 에러남 “openssl ca -config ntt.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem” < 5쪽 예제 다시 제시 > 인증서의 기한이 만료된 경우는 서명되지 않는다. (화면 참조) 실행 후 certs폴더에 0~.pem파일이 생성 < 마소 예제 명령 - private폴더에 rootkey.pem을 복사하지 않은 경우의 에러문 > < 화면참조 그림 >
OpenSSL - 실행화면 .conf
OpenSSL - 실행화면
OpenSSL 4. CRL 만들기 <실행화면> 철회할 인증서를 openssl에 가르쳐 준다. 여기서 01.pem파일 을 철회한다 실행결과에 있는 명령의 코드를 입력하여 리스트에 입력하면 그 해당 인증서 는 인증되지 않는다. 폐기할 것으로 정했기 때문이다. crl파일 생성 “openssl ca –config ntt.cnf –gencrl –out testcrl.pem” 실행 결과
OpenSSL 철회할 인증서가 없는 경우 그냥 crl문서를 만들기 위해서는 철회할 인증서 명령없이 바로 “openssl ca –config ntt.cnf –gencrl –out testcrl.pem” 를 입력하면 crl문서가 바로 만들어진다. 마소 문서를 보고 쓸때없이 철회할 인증서< ex) 00.pem >를 등록하고 명령을 주어 crl문서를 만드는 일이 없도록 하자.ㅡㅇㅡ;; 인증서를 인증하는 프로그램에서 root인증서와 서명한 client인증서와 함께 crl문서는 꼭 필요하다. 동작도중에 crl에 등록되어 있는지 확인하기 때문이다.
OpenSSL 5. 인증서에서 공개키 빼내기 받은 인증서에서 공개키를 뽑아서 해당 인증서 주체에게 파일을 그 공개키로 암호화해서 보낼 수 있다. http://cnet.sejong.ac.kr/Downloads/file/20021115162537/openssl.pdf 참조함 “openssl x509 –in rootcert.pem –pubkey –noout >pubkey.pem” 6장에서 설명 ->
OpenSSL 6. 패스프레이즈 제거하여 순수 RSA개인키 만들기 인증서 생성시 인증서와 함께 생성되는 개인키는 생성도중에 입력한 비밀번호를 포함하게 된다. 안에 보면 어떤 암호법으로 했는지 정보가 나온다. 패스프레이즈를 제거하지 않은 개인키를 사용하면 암호화된 문서를 풀수 없다.. -> PEM_read_bio_RSAPrivateKey()함수에서 에러발생 제거후
OpenSSL http://cnet.sejong.ac.kr/Downloads/file/20021115162537/openssl.pdf 참조함 “openssl rsa –in rootkey.pem –out rootkeys.pem” 5장에서 설명 ->