키 및 인증서 관리
이 절에서는 certutil 및 pk12util을 사용하여 키 및 인증서를 만들고 관리하는 몇 가지 일반 절차에 대해 설명합니다. certutil 및 pk12util에 대한 자세한 내용은 NSS(Network Security Services) 도구 사용 및 NSS 보안 도구 사이트(http://www.mozilla.org/projects/security/pki/nss/tools)의 설명서를 참조하십시오.
주 –
또한 java.security 등록 정보 파일(Java 런타임의 JAVA_HOME/jre/lib/security 디렉토리에 있음)에 PKCS#11 공급자를 구성하면 J2SE keytool 유틸리티를 사용하여 키와 인증서를 관리할 수 있습니다. keytool 사용에 대한 자세한 내용은 http://java.sun.com/j2se/1.5.0/docs/guide/security/p11guide.html의 Java PKCS#11 Reference Guide를 참조하십시오.
이 절은 다음 내용으로 구성되어 있습니다.
키 및 인증서 나열
-
구성된 PKCS#11 토큰의 키와 인증서를 나열하려면 다음 명령을 실행합니다.
certutil -L -d AS_NSS_DB [-h tokenname]
예를 들어, 기본 NSS 소프트 토큰의 내용을 나열하려면 다음을 입력합니다.
certutil -L -d AS_NSS_DB
표준 출력은 다음과 유사합니다.
verisignc1g1 T,c,c verisignc1g2 T,c,c verisignc1g3 T,c,c verisignc2g3 T,c,c verisignsecureserver T,c,c verisignc2g1 T,c,c verisignc2g2 T,c,c verisignc3g1 T,c,c verisignc3g2 T,c,c verisignc3g3 T,c,c s1as u,u,u
출력의 왼쪽 열에는 토큰의 이름이 표시되고 오른쪽 열에는 세 가지 트러스트 속성 집합이 표시됩니다. Application Server 인증서의 경우 대부분 T,c,c로 출력됩니다. 한 가지 수준의 트러스트만 포함된 J2SE java.security.KeyStore API와는 달리, NSS 기술에는 여러 수준의 트러스트가 포함되어 있습니다. Application Server는 기본적으로 이 토큰이 SSL을 사용하는 방법을 설명하는 첫 번째 트러스트 속성을 사용합니다. 이 속성에 대한 설명은 다음과 같습니다.
T는 클라이언트 인증서 발급을 위한 인증 기관(CA)이 트러스트되었음을 나타냅니다.
u는 인증서(및 키)를 인증 또는 서명에 사용할 수 있음을 나타냅니다.
u,u,u 속성 조합은 개인 키가 데이터베이스에 있음을 나타냅니다.
-
하드웨어 토큰 mytoken의 내용을 나열하려면 다음 명령을 실행합니다.
certutil -L -d AS_NSS_DB -h mytoken
하드웨어 토큰의 비밀번호를 입력하라는 메시지가 표시됩니다. 표준 출력은 다음과 유사합니다.
Enter Password or Pin for "mytoken": mytoken:Server-Cert 	u,u,u
개인 키 및 인증서 작업
certutil을 사용하여 자체 서명된 인증서를 만들고 인증서를 가져오거나 내보냅니다. 개인 키를 가져오거나 내보내려면 pk12util 유틸리티를 사용합니다. 자세한 내용은 NSS(Network Security Services) 도구 사용을 참조하십시오.
주의 – Application Server에서 NSS 도구 certutil 및 modutil을 사용하여 NSS 비밀번호를 직접 수정하지 마십시오. NSS 비밀번호를 직접 수정하면 Application Server의 보안 데이터가 손상될 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates