루트 보증 기관(Root CA)
웹 사이트의 증명서를 작성하려면 사이트에 루트 CA를 작성해야 합니다. 루트 CA 사용자는 자체적으로 증명서를 작성한 다음, 이 증명서로 키 패키지를 작성하고 네트워크의 웹 서버용 보증서에 서명합니다. 이 증명서를 연합 명명 서비스(FNS)에 저장하면 다른 시스템에서 쉽게 액세스할 수 있으며, 액세스를 제한하려면 루트 CA 시스템의 파일에만 저장합니다. 기본적으로 증명서는 /var/fn에 저장됩니다.
증명서를 작성하는 루트 CA 호스트는 Sun WebServer와 동일한 시스템이 아니어도 되며, 보안을 위해 다른 시스템이나 네트워크 액세스를 전혀 할 수 없는 시스템에서 루트 CA를 실행할 수도 있습니다.
주 -
앞의 단계는 자체 서명한 보증서에만 필요하며 협력업체 보증서만을 사용한다면 필요 없습니다.
루트 CA 사용자
루트 CA 사용자가 되려면, 사용자 이름으로 루트 CA 호스트의 root (UID 0)를 제외한 모두를 사용할 수 있습니다. 루트 CA 사용자는 웹 사이트의 증명서를 작성할 수 있는 유일한 사용자입니다. 루트 CA 사용자는 암호로 보호된 자체 증명서를 가지고 있으며 이를 사용하여 자신이 작성하는 모든 보증서에 서명합니다.
루트 CA 증명서는 고유 이름(DN) 항목에 국한됩니다. 모든 증명서는 DN에 국한됩니다. 루트 CA 고유 이름에는 다음과 같은 속성을 사용합니다.
| 속성 유형 | 약어 | 예제 |
|---|---|---|
| 공통 이름 | cn | cn=rootca |
| 전자 우편 주소 | em | em=rootca@A.net |
| 일련 번호 | serial | serial=no12345 |
| 조직 단위 이름 | ou | ou=web |
| 조직 이름 | o | o=A.net |
| 지역 이름 | l | l=internet |
| 주 또는 지방 이름 | st | st=California |
| 국가 이름 | c | c=US |
속성의 순서가 DN에서 중요합니다. DN은 가장 구체적인 속성부터 시작하여 가장 포괄적인 속성으로 끝나야 합니다. 테이블에 가장 구체적인 속성(공통 이름)에서 가장 포괄적인 속성(국가) 순으로 나열합니다.
모든 증명서는 루트 CA 사용자의 디렉토리에 저장되며, 공용으로 읽을 수 없습니다. 각 웹 사이트의 증명서와 마찬가지로 루트 CA 사용자의 증명서는 연합 명명 서비스(FNS)를 통해 사용할 수 있습니다.
루트 CA 호스트
SSL 또는 키 패키지를 사용하는 모든 컴퓨터에는 보안 도구 패키지를 설치해야 합니다. 컴퓨터에는 최소한 시스템 하나(루트 CA 호스트)는 있어야 합니다. 이 시스템에는
-
루트 CA의 사용자 이름이 있습니다.
-
루트 CA 증명서가 저장됩니다.
-
FNS가 적절하게 설치됩니다.
루트 CA는 이 호스트의 웹 사이트용 증명서를 작성하고 저장합니다.
Sun WebServer는 루트 CA 호스트에서 실행하지 않아도 됩니다. Sun WebServer 시스템은 루트 CA 호스트의 파일을 복사함으로써 호스트하는 웹 사이트의 증명서에 액세스할 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates