JSSE(Java Secure Socket Extension) 도구 사용

keytool을 사용하여 JSSE(Java Secure Socket Extension) 디지털 인증서를 설정하고 작업합니다. 개발자 프로필의 경우 Application Server는 서버측에서 JSSE 형식을 사용하여 인증서와 키 저장소를 관리합니다. 모든 프로필에서 클라이언트측(응용 프로그램 클라이언트 또는 독립 실행형)에서는 JSSE 형식을 사용합니다.

J2SE SDK에는 keytool이 함께 제공되므로 관리자가 공개/개인 키 쌍 및 연관된 인증서를 관리할 수 있습니다. 사용자가 통신 피어의 공개 키를 인증서 양식으로 캐시할 수도 있습니다.

keytool을 실행하려면 J2SE /bin 디렉토리가 경로에 있도록 쉘 환경을 구성하거나 도구에 대한 전체 경로를 명령줄에서 제공해야 합니다. keytool에 대한 자세한 내용은 http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html에 있는 keytool 설명서를 참조하십시오.

keytool 유틸리티 사용

다음 예는 JSSE 도구를 사용한 인증서 처리와 관련된 사용법을 보여줍니다.

• 자체 서명된 인증서를 RSA 키 알고리즘을 사용하여 JKS 유형의 keystore로 만듭니다. RSA는 RSA Data Security, Inc.에서 개발한 공개 키 암호화 기술입니다. RSA는 기술 발명자인 Rivest, Shamir, Adelman의 약자입니다.

  keytool -genkey -noprompt -trustcacerts -keyalg RSA -alias ${cert.alias} -dname ${dn.name} -keypass ${key.pass} -keystore ${keystore.file} -storepass ${keystore.pass}

  인증서를 만드는 다른 예는 keytool 유틸리티를 사용하여 인증서 생성에 있습니다.

• 자체 서명된 인증서를 기본 키 알고리즘을 사용하여 JKS 유형의 keystore로 만듭니다.

  keytool -genkey -noprompt -trustcacerts -alias ${cert.alias} -dname ${dn.name} -keypass ${key.pass} -keystore ${keystore.file} -storepass ${keystore.pass}

  인증서에 서명하는 예는 keytool 유틸리티를 사용하여 디지털 인증서 서명에 있습니다.

• JKS 유형의 keystore에서 사용할 수 있는 인증서를 표시합니다.

  keytool -list -v -keystore ${keystore.file} -storepass ${keystore.pass}

• JKS 유형의 keystore에서 인증서 정보를 표시합니다.

  keytool -list -v -alias ${cert.alias} -keystore ${keystore.file} -storepass ${keystore.pass}

• RFC/텍스트 형식 인증서를 JKS 저장소로 가져옵니다. 인증서는 대체로 바이너리 인코딩 대신 인터넷 RFC(Request for Comments) 1421 표준으로 정의한 인쇄 가능한 인코딩 형식으로 저장됩니다. Base 64 인코딩이라고도 하는 이 인증서 형식은 인증서를 다른 응용 프로그램으로 전자 메일이나 몇 가지 다른 메커니즘을 통해 간편하게 내보낼 수 있게 해줍니다.

  keytool -import -noprompt -trustcacerts -alias ${cert.alias} -file ${cert.file} -keystore ${keystore.file} -storepass ${keystore.pass}

• JKS 유형의 keystore에서 PKCS7 형식으로 인증서를 내보냅니다. Public Key Cryptography Standards(공개 키 암호화 표준) #7과 Cryptographic Message Syntax Standard(암호화 메시지 구문 표준)로 정의한 응답 형식에는 발행된 인증서 외에 지원 인증서 체인이 포함됩니다.

  keytool -export -noprompt -alias ${cert.alias} -file ${cert.file} -keystore ${keystore.file} -storepass ${keystore.pass}

• JKS 유형의 keystore에서 PKCS7 형식으로 인증서를 내보냅니다.

  keytool -export -noprompt -rfc -alias ${cert.alias} -file ${cert.file} -keystore ${keystore.file} -storepass ${keystore.pass}

• JKS 유형의 keystore에서 인증서를 삭제합니다.

  keytool -delete -noprompt -alias ${cert.alias} -keystore ${keystore.file} -storepass ${keystore.pass}

  keystore에서 인증서를 삭제하는 다른 예는 keytool 유틸리티를 사용하여 인증서를 삭제하는 방법에 있습니다.

keytool 유틸리티를 사용하여 인증서 생성

keytool을 사용하여 인증서를 생성하고 가져오며 내보냅니다. 기본적으로 keytool은 실행될 디렉토리에 keystore 파일을 만듭니다.

1. 인증서가 실행될 디렉토리로 변경합니다.

   인증서는 반드시 keystore와 truststore 파일이 있는 디렉토리(기본은 domain-dir/config)에 생성하십시오. 이 파일의 위치를 변경하는 방법에 대한 자세한 내용은 인증서 파일 위치 변경을 참조하십시오.

2. 다음의 keytool 명령을 입력하여 keystore 파일 keystore.jks에 인증서를 생성합니다.

   keytool -genkey -alias keyAlias-keyalg RSA -keypass changeit -storepass changeit -keystore keystore.jks

   keyAlias와 같이 고유한 이름을 사용합니다. keystore 또는 개인 키 비밀번호의 기본값을 변경한 경우 위 명령의 changeit을 새 비밀번호로 대체합니다. 기본 키 비밀번호 별칭은 “s1as"입니다.

   이름, 조직 및 keytool이 인증서를 생성하는 데 사용할 기타 정보를 묻는 메시지가 표시됩니다.

3. 다음의 keytool 명령을 입력하여 생성된 인증서를 server.cer(아니면 client.cer) 파일로 내보냅니다.

   keytool -export -alias keyAlias-storepass changeit -file server.cer -keystore keystore.jks

4. 인증 기관에서 서명한 인증서가 필요한 경우에는 keytool 유틸리티를 사용하여 디지털 인증서 서명을 참조하십시오.

5. cacerts.jks truststore 파일을 만들고 인증서를 truststore에 추가하려면 다음의 keytool 명령을 입력합니다.

   keytool -import -v -trustcacerts -alias keyAlias -file server.cer -keystore cacerts.jks -keypass changeit

6. keystore 또는 개인 키 비밀번호의 기본값을 변경한 경우 위 명령의 changeit을 새 비밀번호로 대체합니다.

   도구는 인증서에 대한 정보를 표시하고 해당 인증서에 대한 신뢰 여부를 묻습니다.

7. yes를 입력하고 Enter 키를 누릅니다.

   그러면 keytool은 다음과 같은 메시지를 표시합니다.

   Certificate was added to keystore [Saving cacerts.jks]

8. Application Server를 다시 시작합니다.

keytool 유틸리티를 사용하여 디지털 인증서 서명

디지털 인증서를 만든 후 소유자는 위조를 막기 위해 인증서에 서명해야 합니다. 전자 상거래 사이트나 아이디 인증이 중요한 사이트는 잘 알려진 인증 기관(CA)에서 인증서를 구매할 수 있습니다. 인증이 중요하지 않은 경우, 예를 들어 개인적인 보안 통신만 필요한 경우에는 인증서를 얻는데 필요한 시간과 경비를 절약하고 자체 서명된 인증서를 사용합니다.

1. CA의 웹 사이트에서 지침을 수행하여 인증서 키 쌍을 생성합니다.

2. 생성된 인증서 키 쌍을 다운로드합니다.

   인증서는 반드시 keystore와 truststore 파일이 있는 디렉토리(기본은 domain-dir/config 디렉토리)에 저장하십시오. 인증서 파일 위치 변경을 참조하십시오.

3. 쉘에서 인증서가 있는 디렉토리로 변경합니다.

4. keytool을 사용하여 인증서를 로컬 keystore로 가져오고, 필요한 경우 로컬 truststore로도 가져옵니다.

   keytool -import -v -trustcacerts -alias keyAlias -file server.cer -keystore cacerts.jks -keypass changeit -storepass changeit

   keystore 또는 개인 키 비밀번호의 기본값을 변경한 경우 위 명령의 changeit을 새 비밀번호로 대체합니다.

5. Application Server를 다시 시작합니다.

keytool 유틸리티를 사용하여 인증서를 삭제하는 방법

기존의 인증서를 삭제하려면 다음 예와 같이 keytool -delete 명령을 사용합니다.

keytool -delete
 -alias keyAlias
 -keystore keystore-name
 -storepass password