test

Sun Java System Portal Server Secure Remote Access 7.2 관리 설명서

certadmin 스크립트

다음과 같은 인증서 관리 작업에 certadmin 스크립트를 사용할 수 있습니다.

직접 서명한 인증서 생성

각 서버와 게이트웨이 사이의 SSL 통신을 위해서는 인증서를 생성해야 합니다.

Procedure설치 후 직접 서명한 인증서를 생성하려면

  1. 인증서를 생성하려는 게이트웨이 컴퓨터에서 루트로 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    인증서 관리 메뉴가 표시됩니다.


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
1

  2. 인증서 관리 메뉴의 옵션 1을 선택합니다.

    인증서 관리 스크립트에서 기존 데이터베이스 파일을 유지할 것인지 묻습니다.

  3. 조직별 정보, 토큰 이름 및 인증서 이름을 입력합니다.

    주 –

    와일드카드 인증서에는 호스트의 정규 DNS 이름에 *를 지정합니다. 예를 들어, 호스트의 정규 DNS 이름이 abc.sesta.com이면 *.sesta.com으로 지정합니다. 이제 생성된 인증서는 sesta.com 도메인에 있는 모든 호스트 이름에 유효합니다.


    이 호스트의 정규화된 DNS 이름은 무엇입니까? [host_name.domain_name]
조직의 종류는 무엇입니까(예: 회사)? []
조직 구성 단위는 무엇입니까(예: 부서)? []
구/군/시의 이름은 무엇입니까? []
시/도의 이름은 무엇입니까(약어는 사용 못함)? []
이 조직 구성 단위에 대한 2자로 된 국가 번호는 무엇입니까? []
토큰 이름은 기본 내부 (소프트웨어) 암호화 모듈을 사용하지 않는 경우,
예를 들어 암호화 카드를 사용하려는 경우 등에만 필요합니다(토큰 이름은 
다음 명령을 사용하여 나열할 수 있음:
modutil -dbdir /etc/opt/SUNWportal/cert/gateway-profile-name -list);
그렇지 않으면 아래의 Return을 누르십시오.
토큰 이름을 입력하십시오. []
이 인증서에 대해 원하는 이름을 입력하십시오?
이 인증서의 유효 기간(개월)을 입력하십시오. [6]
직접 서명한 인증서가 생성되고 프롬프트로 돌아갑니다.

    토큰 이름(기본적으로 비어 있음)과 인증서 이름은 /etc/opt/SUNWportal/cert/gateway-profile-namenickname 파일에 저장됩니다.

  4. 인증서가 적용되도록 게이트웨이를 다시 시작합니다.


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

CSR(인증서 서명 요청) 생성

CA가 발급하는 인증서를 주문하기 전에 CA에서 요구하는 정보가 들어 있는 인증서 서명 요청을 만들어야 합니다.

ProcedureCSR을 생성하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    인증서 관리 메뉴가 표시됩니다.


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
2

  2. 인증서 관리 메뉴의 옵션 2를 선택합니다.

    스크립트에서 조직별 정보, 토큰 이름 및 웹 마스터의 전자 메일과 전화 번호를 입력하라는 메시지를 표시합니다.

    호스트의 정규 DNS 이름을 반드시 지정해야 합니다.


    이 호스트의 정규화된 DNS 이름은 무엇입니까? [snape.sesta.com]
조직의 종류는 무엇입니까(예: 회사)? []
조직 구성 단위는 무엇입니까(예: 부서)? []
구/군/시의 이름은 무엇입니까? []
시/도의 이름은 무엇입니까(약어는 사용 못함)? []
이 조직 구성 단위에 대한 2자로 된 국가 번호는 무엇입니까? []
토큰 이름은 기본 내부 (소프트웨어) 암호화 모듈을 사용하지 않는 경우,
예를 들어 암호화 카드를 사용하려는 경우 등에만 필요합니다(토큰 이름은 
다음 명령을 사용하여 나열할 수 있음:
modutil -dbdir /etc/opt/SUNWportal/cert -list);
그렇지 않으면 아래의 Return을 누르십시오.
토큰 이름을 입력하십시오. []
이제 인증서를 생성할 컴퓨터의
웹 마스터 연락 정보를 
입력하십시오.
이 서버의 관리자 또는 웹 마스터의 전자 메일 주소는 무엇입니까 [] ?
이 서버의 관리자 또는 웹 마스터의 전화 번호는 무엇입니까 [] ?

  3. 필요한 정보를 모두 입력하십시오.

    주 –

    웹 마스터의 전자 메일과 전화 번호를 공백으로 남겨두지 마십시오. 이 정보는 유효한 CSR을 받는 데 필요합니다.

    CSR이 생성되어 portal-server-install-root/SUNWportal/bin/csr.hostname.datetimestamp 파일에 저장됩니다. CSR은 화면에도 인쇄됩니다. CA가 발급하는 인증서를 주문할 때 CSR을 직접 복사한 후 붙여넣을 수 있습니다.

루트 CA 인증서 추가

클라이언트 사이트에서 게이트웨이 인증서 데이터베이스에 알려지지 않은 CA에서 서명한 인증서를 제시하면 SSL 핸드셰이크가 실패합니다.

이를 방지하려면 루트 CA 인증서를 인증서 데이터베이스에 추가해야 합니다. 그러면 게이트웨이에서 CA를 인식할 수 있게 됩니다.

CA의 웹 사이트를 찾아서 해당 CA의 루트 인증서를 얻으십시오. certadmin 스크립트를 사용할 때 파일 이름과 루트 CA 인증서의 경로를 지정합니다.

Procedure루트 CA 인증서를 추가하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    인증서 관리 메뉴가 표시됩니다.


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
3

  2. 인증서 관리 메뉴의 옵션 3을 선택합니다.

  3. 루트 인증서가 들어 있는 파일 이름을 입력한 다음 인증서 이름을 입력합니다.

    그러면 루트 CA 인증서가 인증서 데이터베이스에 추가됩니다.

인증 기관에서 발급한 SSL 인증서 설치

게이트웨이를 설치하는 동안 기본적으로 직접 서명한 인증서가 만들어져 설치됩니다. 설치 후 언제라도 공식 인증 기관(CA) 서비스를 제공하는 공급업체나 기업 CA에 의해 서명된 SSL 인증서를 설치할 수 있습니다.

이 작업은 다음과 같은 3단계로 이루어집니다.

CA에서 발급하는 인증서 주문

인증서 서명 요청(CSR)을 만들었으면 CSR을 사용하여 CA가 발급하는 인증서를 주문해야 합니다.

ProcedureCA가 발급하는 인증서를 주문하려면

  1. 인증 기관의 웹 사이트로 가서 인증서를 주문합니다.

  2. CA의 요청에 따라 CSR을 제공합니다. CA의 요청에 따라 기타 정보도 제공합니다.

    그러면 CA가 발급하는 인증서를 받게 됩니다. 인증서를 파일에 저장합니다. 파일에 인증서와 함께 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 라인을 포함시킵니다.

    다음 예제에서는 실제 인증서 데이터를 생략하였습니다.


    -----BEGIN CERTIFICATE-----
The certificate contents...
----END CERTIFICATE-----

CA에서 받은 인증서 설치

certadmin 스크립트를 사용하여 CA에서 받은 인증서를 /etc/opt/SUNWportal/cert/ gateway-profile-name의 로컬 데이터베이스 파일에 설치합니다.

ProcedureCA에서 받은 인증서를 설치하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    인증서 관리 메뉴가 표시됩니다.


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
4

  2. 인증서 관리 메뉴의 옵션 4를 선택합니다.

    스크립트에서 인증서 파일 이름, 인증서 이름 및 토큰 이름을 입력하라고 요청합니다.


    인증서를 포함하는 파일의 이름(경로 포함)은 무엇입니까?
이 인증서의 CSR을 만들 때 사용한 토큰 이름을 입력하십시오. []

  3. 필요한 정보를 모두 입력하십시오.

    인증서가 /etc/opt/SUNWportal/cert/gateway-profile-name에 설치되고 화면 메시지가 나타납니다.

  4. 인증서가 적용되도록 게이트웨이를 다시 시작합니다.


    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

인증서 삭제

인증서 관리 스크립트를 사용하면 인증서를 삭제할 수 있습니다.

Procedure인증서를 삭제하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n

    여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.

    인증서 관리 메뉴가 표시됩니다. 


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
5

  2. 인증서 관리 메뉴의 옵션 5를 선택합니다.

  3. 삭제할 인증서의 이름을 입력하십시오.

인증서의 트러스트 속성 수정

인증서의 트러스트 속성을 수정해야 하는 한 경우는 게이트웨이에서 클라이언트 인증이 사용될 때입니다. 클라이언트 인증의 한 예는 PDC(Personal Digital Certificate)입니다. PDC를 발급하는 CA는 게이트웨이에 의해 인증되어야 하며 CA 인증서에는 SSL용으로 "T"라고 표시되어 있어야 합니다.

게이트웨이 구성 요소가 HTTPS 사이트와 통신하도록 설정된 경우 HTTPS 사이트 서버 인증서의 CA는 게이트웨이에서 인증되어야 하며 CA 인증서에는 SSL용의 "C" 표시가 있어야 합니다.

Procedure인증서의 트러스트 속성을 수정하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    gateway-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

    여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.

    인증서 관리 메뉴가 표시됩니다. 


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
6

  2. 인증서 관리 메뉴의 옵션 6을 선택합니다.

  3. 인증서의 이름을 입력합니다. 예를 들어, Thawte Personal Freemail CA와 같이 입력하면 됩니다.


    이 인증서의 이름을 입력하시겠습니까?
Thawte Personal Freemail CA

  4. 인증서의 트러스트 속성을 입력합니다.


    인증서에 포함할 트러스트 속성을 입력하십시오. [CT,CT,CT]

    인증서 트러스트 속성이 변경됩니다.

루트 CA 인증서 나열

인증서 관리 스크립트를 사용하면 모든 루트 CA 인증서를 볼 수 있습니다.

Procedure루트 CA 목록을 보려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

    여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.

    인증서 관리 메뉴가 표시됩니다. 


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
7

  2. 인증서 관리 메뉴의 옵션 7을 선택합니다.

    모든 루트 CA 인증서가 표시됩니다.

모든 인증서 나열

인증서 관리 스크립트를 사용하면 모든 인증서에 해당하는 트러스트 속성을 볼 수 있습니다.

Procedure모든 인증서를 나열하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root
/SUNWportal/bin/certadmin -n
gateway-profile-name

    여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.

    인증서 관리 메뉴가 표시됩니다. 


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
8

  2. 인증서 관리 메뉴의 옵션 8을 선택합니다.

    모든 CA 인증서가 표시됩니다.

인증서 인쇄

인증서 관리 스크립트를 사용하면 인증서를 인쇄할 수 있습니다.

Procedure인증서를 인쇄하려면

  1. 루트로서 certadmin 스크립트를 실행합니다.


    portal-server-install-root/SUNWportal/bin/certadmin -n
 gateway-profile-name

    여기서 gateway-profile-name은 게이트웨이 인스턴스의 이름입니다.

    인증서 관리 메뉴가 표시됩니다. 


    1) 직접 서명한 인증서 생성
2) CSR(인증서 서명 요청) 생성
3) 루트 CA 인증서 추가
4) CA(인증 기관)에서 인증서 설치
5) 인증서 삭제
6) 인증서의 트러스트 속성 수정(예: PDC)
7) 루트 CA 인증서 표시
8) 모든 인증서 표시
9) 인증서 내용 인쇄
10) 종료
선택: [10]
9

  2. 인증서 관리 메뉴의 옵션 9를 선택합니다.

  3. 인증서의 이름을 입력합니다.