7.1.1 자체 서명된 인증서

자체 서명된 인증서는 게이트웨이의 자체 개인 키를 사용하여 서명되는 인증서를 말합니다. 자체 서명된 인증서는 안전하지 않지만 실제 서명된 인증서를 사용하기 전, 인증서가 필요한 응용 프로그램을 테스트하는 데 사용할 수 있습니다. 자체 서명된 인증서는 CA의 서명이 아닌 자체 인증서 요청을 서명으로 사용합니다.

PKI를 통해 자체 서명된 인증서를 만드는 경우 10개의 공통 필드가 있는데, 이 중 6개는 필수이고 4개는 선택 필드입니다. 일련 번호, 인증서 서명 알고리즘 식별자, 인증서 발행자 이름, 인증서 유효 기간, 공개 키 및 주체 이름은 필수 필드입니다. 선택 필드는 버전 번호, 2개의 고유 식별자 및 확장자입니다. 이러한 선택 필드는 버전 2 및 3 인증서에만 나타납니다.

필수 유효 기간 필드는 인증서가 유효하게 되는 날짜와 만료되는 날짜를 나타냅니다. NSS certutils에서 제공하는 기본 만료 날짜는 3개월입니다. 그러나 인증서의 유효 기간 데이터는 만료 날짜에 도달하기 전에 신뢰할 수 없게 됩니다. X.509 CRL 메커니즘은 인증서 만료 날짜에 주의할 수 있도록 발행한 인증서의 상태 업데이트를 제공합니다. 또한 CA는 인증서 만료를 1-2년으로 강제 적용합니다.

인증서가 만료되거나 유효 날짜가 지나면 인증서를 갱신해야 합니다. 갱신은 새 인증서를 발행하여 공개 키 인증서로 논리 검사된 데이터 바인딩의 유효성을 연장하는 작업 또는 프로세스입니다. 다음 명령을 사용하여 인증서의 유효성을 검사할 수 있습니다.

-V -n certname -b validity-time -u certusage [-e] [-l] [-d certdir]

다음 예는 인증서의 유효성을 검사하는 명령의 사용 방법을 보여 줍니다.

certutil -V -n jsmith@netscape.com -b 9803201212Z -u SR -e -l -d certdir.

인증서 데이터베이스 도구에서 다음과 유사한 결과가 표시됩니다.

Certificate:'jsmith@netscape.com' is valid.

또는

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Expired certificate

또는

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Certificate not approved for this operation