인증서 관리

• 인증서 요청

• 인증서 설치

• 인증서 갱신

• 인증서 삭제

• Administration Server 인증서 갱신

인증서 요청

인증서는 개인, 회사 또는 기타 엔티티의 이름을 지정하는 디지털 데이터로 구성되며 인증서에 포함된 공용 키가 개인에 속한다는 것을 인증합니다. SSL 사용 서버에는 인증서가 있어야 하며 클라이언트는 선택적으로 인증서를 가질 수 있습니다.

인증서는 인증 기관 또는 CA에서 발행하고 디지털로 서명됩니다. CA는 인터넷에서 인증서를 판매하는 회사일 수도 있고 회사의 인트라넷 또는 익스트라넷용으로 인증서를 발행하는 부서일 수도 있습니다. 다른 사람의 신분을 확인하는 데 충분히 신뢰할 수 있는 CA를 선택합니다.

인증서를 요청하여 인증 기관(CA)에 제출할 수 있습니다. 회사에 내부 CA가 있는 경우에는 해당 CA로부터 인증서를 요청합니다. 상용 CA로부터 인증서를 구매할 계획인 경우에는 CA를 선택하고 필요한 정보 형식이 있는지 문의합니다. 서버용으로 자체 서명된 인증서를 만들 수도 있습니다. 자체 서명된 인증서는 인터넷 배포에는 적합하지 않지만 CA의 개입 없이도 테스트 서버를 설정할 수 있기 때문에 개발과 테스트에는 매우 유용합니다.

위에 언급한 것과 같이 인증서에는 엔티티(이 경우 웹 서버)의 공용 키가 포함됩니다. 공용 키는 특정 알고리즘을 기반으로 생성됩니다(알고리즘 유형도 인증서에 암호화). 다음 절에서는 Web Server에서 키에 지원하는 알고리즘 유형에 대한 배경을 설명합니다.

인증서를 요청하는 방법

1. 서버 인증서 탭 > 요청 버튼을 누릅니다.

2. 구성 선택

   구성 목록에서 인증서를 설치하려는 구성을 선택합니다.

3. 토큰 선택

   키가 들어있는 토큰(암호화 장치)을 선택합니다. 서버에서 유지 관리하는 로컬 키 데이터베이스에 키가 저장되어 있으면 내부를 선택합니다. 스마트 카드 또는 기타 외부 장치나 엔진에 키가 저장되어 있으면 드롭다운 목록 상자에서 외부 토큰의 이름을 선택합니다. 선택한 토큰의 비밀번호를 입력합니다.

4. 세부 정보 입력

   요청 프로세스를 시작하기 전에 CA에서 필요한 정보를 확인하십시오. 상용 CA 또는 내부 CA 중 어느 곳에 서버 인증서를 요청할 것인가에 상관 없이 다음 정보를 제공해야 합니다.

   • 서버 이름은 DNS 조회에 사용되는 정규화된 호스트 이름이어야 합니다(예: www.sun.com). 이는 브라우저가 사이트에 연결할 때 사용하는 URL 내의 호스트 이름입니다. 이 두 이름이 일치하지 않으면 클라이언트에게 인증서 이름이 사이트 이름과 일치하지 않는다는 알림을 보내고 인증서의 진위 여부를 의심하게 됩니다.

     또한 내부 CA에 인증서를 요청하는 경우에는 이 필드에 와일드카드와 정규 표현식을 입력할 수 있습니다. 대부분의 공급업체는 공통 이름에 와일드카드나 정규 표현식이 있을 경우 인증서 요청을 승인하지 않습니다.

   • 조직은 회사, 교육 기관, 협력 관계 등의 공식적, 법적 이름을 지정합니다. 대부분의 CA는 이 정보에 대해 법적 문서(사업자 등록 등)로 확인할 것을 요구합니다.

   • 조직 단위는 회사 내의 조직에 대한 설명을 입력하는 선택 필드입니다. 또한 Inc., Corp. 등이 없는 비공식적인 회사 이름을 나타내는 데 사용할 수 있습니다.

   • 구/군/시는 선택 필드로, 조직의 소재 시/도 또는 국가를 나타냅니다.

   • 시/도는 선택 필드입니다.

   • 국가는 필수 필드로 국가 이름의 두 자리 약자를 지정합니다(ISO 형식). 미국의 국가 코드는 US입니다.

   이 모든 정보는 DN(고유 이름)이라고 하는 일련의 속성 값 쌍으로 조합되어 인증서의 개체를 구성합니다.

5. 인증서 옵션 선택

   키 정보를 입력해야 합니다. 키 유형으로 RSA 또는 ECC를 선택할 수 있습니다. 키 유형이 RSA이면 키 크기는 1024, 2048 또는 4098일 수 있습니다. 키 유형이 ECC이면 곡선도 선택해야 합니다. 새로운 키 쌍을 생성하려면 시간이 걸립니다. 키 길이가 길수록 마법사에서 키를 생성하는 시간이 더 오래 걸립니다.

   ---

   주의 –

   나중에 서명을 위해 요청을 제출할 CA에서 지원할 수 있는 키 유형을 선택해야 합니다.

   ---

6. 인증서 유형 선택

   인증서의 인증서 서명 기관(CSA)을 선택합니다(자체 서명 또는 CA 서명). 자체 서명된 인증서를 선택하는 경우에는 인증서의 HTTP Listener를 연결할 수도 있습니다. 이 작업을 나중에 수행할 수도 있습니다.

7. 요청 생성

   CA 서명이 있는 인증서의 경우 생성된 인증서 요청은 ASCII 형식으로 사용할 수 있습니다. 자체 서명된 인증서의 경우에는 인증서가 바로 설치됩니다. 자체 서명 유형인 경우에는 별명, 유효 기간(개월) 및 보안 요청을 처리할 HTTP Listener 이름의 값을 입력합니다.

8. 결과 보기

   이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 요청 생성을 완료하려면 마침을 누릅니다.

   ---

   주 –

   CLI 사용

   CLI를 통해 인증서를 요청하려면 다음 명령을 실행합니다.

   wadm> create-cert-request --user=admin --password-file=admin.pwd --host=serverhost --port=8989 --config=config1 --server-name=servername.org --org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

   ---

   CLI 참조 create-cert-request(1)를 참조하십시오.

   ---

   주 –

   CLI를 통해 자체 서명된 인증서를 만들려면 자체 서명된 인증서 만들기를 참조하십시오.

   ---

Solaris 암호화 프레임워크 구성

이 절에서는 Web Server와 같이 사용하도록 Solaris 암호화를 구성하는 방법에 대해 설명합니다.

Solaris 암호화를 구성하는 방법

1. ./sunw 디렉토리를 다음 명령을 사용하여 시스템에서 제거합니다.

   %rm -rf $HOME/.sunw

2. 다음 명령을 사용하여 새 핀을 설정합니다.

   % pktool setpin 새 핀 입력:<여기에 핀 입력>

   새 핀 다시 입력:<여기에 핀 다시 입력>

3. 다음 명령을 사용하여 pkcs11_kernel.so 및 pkcs11_softtoken.so 파일의 메커니즘을 비활성화합니다.

   #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_kernel.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

   #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_softtoken.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

   ---

   주 –

   pkcs11_softtoken_extra.so 파일을 사용하는 경우 이 파일의 메커니즘을 비활성화해야 합니다.

   ---

PKCS#11 라이브러리 파일을 등록하는 방법

1. 다음 명령을 입력하여 Solaris 암호화 프레임워크를 구성 디렉토리의 네트워크 보안 서비스(network security services, NSS)에 추가합니다.

   $ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -add "scf" -libfile /usr/lib/libpkcs11.so -mechanisms RSA

2. 다음 명령을 사용하여 등록 여부를 확인합니다.

   $ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -list

   Listing of PKCS #11 Modules
   1. NSS Internal PKCS #11 Module
        slots: 2 slots attached
            status: loaded
   
             slot: NSS Internal Cryptographic Services
            token: NSS Generic Crypto Services
   
             slot: NSS User Private Key and Certificate Services
            token: NSS Certificate DB
   
      2. scf
            library name: /usr/lib/libpkcs11.so
             slots: 1 slot attached
            status: loaded
   
             slot: Sun Crypto Softtoken
            token: Sun Software PKCS#11 softtoken
   
      3. Root Certs
            library name: libnssckbi.so
             slots: There are no slots attached to this module
            status: Not loaded

   서버 인증서 만들기에 대한 자세한 내용은 인증서 요청을 참조하십시오.

   NSS 데이터베이스에 인증서가 있을 경우 다음 pk12util 명령을 사용하여 인증서를 내보내거나 가져올 수 있습니다.

   $pk12util -o server.pk12 -d . -n <server-cert>

   $pk12util -i server.pk12 -d . -h "Sun Software PKCS#11 softtoken"

   ---

   주 –

   기본적으로 certutil/pk12util은 cert8.db 및 key3.db의 데이터베이스를 검색합니다. https-instance-hostname-cert8.db 및 https-instance-hostname-key3.db 등의 대체 이름을 사용하는 Web Server에 대한 접두어로 -P를 추가합니다.

   ---

PKCS#11 토큰을 활성화 및 무시하는 방법

1. 홈 페이지에서 구성 탭을 누릅니다.

2. 구성 페이지에서 PKCS#11 및 무시 허용 옵션을 활성화할 구성을 누릅니다.

3. 인증서 탭을 누릅니다.

4. PKCS#11 토큰 하위 탭을 누릅니다.

5. 일반 설정에서 확인란을 선택하여 PKCS#11 및 무시 허용을 활성화합니다.

6. 저장 버튼을 누릅니다.

   CLI 참조 set-pkcs11-prop(1)를 참조하십시오.

CLI를 사용하여 자체 서명된 인증서 만들기 및 SSL 활성화

설치 디렉토리에서 wadm을 시작하고 다음 단계를 수행합니다.

$wadm --user=admin
Please enter admin-user-password>enter the administration serverpassword

$wadm>list-tokens --config=test.sun.com

internal
Sun Software PKCS#11 softtoken

$wadm>create-selfsigned-cert --config=test.sun.com --server-name=test.sun.com --nickname=MyCert 
--token="Sun Software PKCS#11 softtoken"
Please enter token-pin>enter the password

CLI201 Command 'create-selfsigned-cert' ran successfully

$wadm>set-ssl-prop --config=test.sun.com --http-listener=http-listener-1 enabled=true 
server-cert-nickname="Sun Software PKCS#11 softtoken:MyCert"
CLI201 Command 'set-ssl-prop' ran successfully

$wadm>deploy-config test.sun.com
CLI201 Command 'deploy-config' ran success

이제 Administration Server를 시작합니다.

$ cd <install-dir>/<instance-dir>/bin/startserv
Sun Java System Web Server 7.0 Update 3

Please enter the PIN for the "Sun Software PKCS#11 softtoken" token:enter the password
info: HTTP3072: http-listener-1: https://test.sun.com:2222 ready to accept requests
info: CORE3274: successful server startup

인증서 설치

CA에서 인증서를 받은 후 관리 콘솔을 사용하여 특정 구성에 대해 인증서를 설치할 수 있습니다.

인증서 설치 방법

1. 서버 인증서 탭 > 설치 버튼을 누릅니다.

2. 구성 선택

   구성 목록에서 인증서를 설치하려는 구성을 선택합니다.

3. 토큰 선택

   키가 들어있는 토큰(암호화 장치)을 선택합니다. 서버에서 유지 관리하는 로컬 키 데이터베이스에 키가 저장되어 있는 경우 내부를 선택합니다. 스마트 카드 또는 기타 외부 장치나 엔진에 키가 저장되어 있으면 드롭다운 목록 상자에서 외부 토큰의 이름을 선택합니다. 선택한 토큰의 비밀번호를 입력합니다.

4. 인증서 데이터 입력

   제공된 텍스트 영역에 인증서 텍스트를 붙여넣습니다. 텍스트를 복사하여 붙여넣는 경우, 반드시 "Begin Certificate" 및 "End Certificate" 헤더를 시작 및 끝 하이픈과 함께 포함해야 합니다. 찾아보기 버튼을 눌러 .DER 파일을 직접 선택할 수도 있습니다.

5. 인증서 세부 정보 제공

   인증서에 사용할 별칭을 제공합니다. 보안 요청을 처리할 HTTP Listener를 사용 가능한 목록에서 선택합니다. 자체 서명된 인증서 옵션을 선택할 수도 있습니다.

6. 결과 보기

   이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 설치 프로세스를 완료하려면 마침을 누릅니다.

   ---

   주 –

   CLI 사용

   CLI를 통해 인증서를 설치하려면 다음 명령을 실행합니다.

   wadm> install-cert --user=admin --port=8989 --password-file=admin.pwd --config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

   여기서 cert.req에는 인증서 데이터가 포함됩니다.

   CLI 참조 install-cert(1)를 참조하십시오.

   ---

외부 인증서 요청 및 설치

다른 인증 기관의 인증서를 요청하고 설치할 수 있습니다. CA 목록은 업계에서 구할 수 있습니다. 이 절에서는 외부의 서버 인증서를 요청 및 설치하는 방법에 대해 설명합니다.

인증서를 요청하는 방법 절에서 설명한 대로 1-5단계를 수행합니다. 지침을 따라 외부 인증서 요청을 완료합니다.

1. 인증서 유형 마법사에서 CA 서명이 있는 인증서 옵션을 선택하고 다음을 누릅니다.

2. 검토 페이지가 표시됩니다. 설정을 확인한 다음 마침 버튼을 누릅니다.

3. 헤더를 포함한 인증서 서명 요청(Certificate Signing Requests, CSR)을 복사하고 닫기 버튼을 누릅니다.

4. 인증 기관 웹 사이트로 이동하여 기관에서 서명한 인증서 발급에 필요한 공식 절차를 완료합니다.

5. 로컬 폴더에 인증서를 저장하거나 웹 사이트에서 인증서를 복사합니다.

받은 인증서를 설치하려면 인증서 설치 방법에서 설명한 대로 1-3단계를 수행합니다. 지침을 따라 외부 인증서 설치를 완료합니다.

1. 인증서 데이터 입력 페이지에서 인증서를 붙여넣거나 시스템에 파일을 저장한 경로를 입력합니다. 다음 버튼을 누릅니다.

2. 인증서의 별명을 입력하고 드롭다운 목록에서 Listener를 선택합니다. 다음 버튼을 누릅니다.

3. 검토 페이지가 표시됩니다. 마침 버튼을 눌러 설치를 완료합니다.

토큰 핀 설정에 대한 자세한 내용은 토큰 비밀번호 설정을 참조하십시오.

인증서 갱신

다음 단계를 통해 기존 인증서를 갱신할 수 있습니다.

인증서 갱신

1. 서버 인증서 탭 > 인증서 이름 > 갱신 버튼을 누릅니다.

2. 토큰 정보 입력

   필요한 경우 토큰의 비밀번호를 입력합니다. 그렇지 않으면 다음을 눌러 계속합니다.

3. 인증서 세부 정보 업데이트

   인증서 세부 정보를 검토하고 유효 기간을 개월 수로 입력합니다.

4. 키 정보 업데이트

   키 유형으로 RSA 또는 ECC를 선택할 수 있습니다. 키 유형이 RSA이면 키 크기는 1024, 2048 또는 4098일 수 있습니다. 키 유형이 ECC이면 곡선도 선택해야 합니다. 새로운 키 쌍을 생성하려면 시간이 걸립니다.

5. 요약 보기

   이 페이지에서는 선택한 옵션에 대한 요약을 제공합니다. 갱신 프로세스를 완료하려면 마침을 누릅니다.

   ---

   주 –

   관리 서버 인증서를 갱신한 다음 관리 서버와 노드를 다시 시작해야 합니다.

   ---

인증서 삭제

인증서를 삭제하려면 다음 작업을 수행하십시오.

인증서 삭제

1. 서버 인증서 탭을 누릅니다.

2. 인증서 선택

   인증서 목록에서 인증서 이름을 선택합니다.

3. 인증서 삭제

   삭제 버튼을 눌러 선택한 인증서를 삭제합니다.

   ---

   주 –

   CLI 사용

   CLI를 통해 인증서를 삭제하려면 다음 명령을 실행합니다.

   wadm> delete-cert --user=admin --port=8989 --password-file=admin.pwd --token=internal --config=config1 cert1

   CLI 참조 delete-cert(1)를 참조하십시오.

   ---

Administration Server 인증서 갱신

Administration Server 인증서를 갱신하려면 renew-admin-certs CLI 명령을 실행합니다. 이 명령을 사용하면 별명이 Admin-CA-Cert, Admin-Server-Cert 및 Admin-Client-Cert인 관리 인증서를 갱신할 수 있습니다. 이 명령은 현재 실행 중이며 갱신된 인증서로 액세스할 수 있는 노드도 업데이트합니다.

이 명령을 실행한 후 새 인증서를 적용하려면 Administration Server와 노드를 다시 시작하는 것이 좋습니다. 인증서를 갱신하는 동안 노드가 오프라인 상태였던 경우(실행 중이 아니거나 네트워크 문제로 인해 액세스할 수 없었던 경우)에는 노드를 다시 등록해야 합니다. Administration Server 인증서를 갱신하려면 다음 명령을 실행합니다.

wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

CLI 참조 renew-admin-certs(1)를 참조하십시오.