탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
pktool gencert 명령을 사용하여 인증서를 만드는 방법
PKCS #12 형식의 인증서 및 개인 키를 내보내는 방법
pktool setpin 명령을 사용하여 문장암호를 생성하는 방법
pktool genkeypair 명령을 사용하여 키 쌍을 생성하는 방법
키 관리 프레임워크(KMF)는 공개 키 기술(PKI) 관리에 대한 통일된 접근법을 제공합니다. Oracle Solaris에는 PKI 기술을 이용하는 여러 다른 응용 프로그램이 있습니다. 각 응용 프로그램은 고유의 프로그래밍 인터페이스, 키 저장소 방식, 관리 유틸리티를 제공합니다. 응용 프로그램이 정책 시행 방식을 제공하는 경우 방식이 해당 응용 프로그램에만 적용됩니다. KMF와 함께 응용 프로그램은 통일된 관리 도구 세트, 단일 프로그래밍 인터페이스 세트, 단일 정책 시행 방식을 사용합니다. 이러한 기능은 해당 인터페이스를 채택한 모든 응용 프로그램의 PKI 요구를 관리합니다.
KMF는 다음 인터페이스를 사용하여 공개 키 기술 관리를 통일합니다.
kmfcfg 명령 – 이 명령은 PKI 정책 데이터베이스 및 타사 플러그인을 관리합니다.
PKI 정책 결정은 검증 방법과 같은 작업을 포함합니다. 또한 PKI 정책은 인증서의 범위를 제한할 수 있습니다. 예를 들어, PKI 정책이 인증서를 특정 목적으로만 사용할 수 있는지 검증할 수 있습니다. 이러한 정책은 해당 인증서가 다른 요청에 사용되는 것을 금지합니다.
KMF 라이브러리 – 이 라이브러리는 기본 키 저장소 방식을 끌어내는 프로그래밍 인터페이스를 포함합니다.
응용 프로그램이 하나의 특정 키 저장소 방식을 선택할 필요는 없지만, 한 방식에서 다른 방식으로 마이그레이션할 수 있습니다. 지원되는 키 저장소는 PKCS #11, NSS, OpenSSL입니다. 라이브러리가 플러그인 가능한 프레임워크를 포함하므로 새 키 저장소 방식을 추가할 수 있습니다. 따라서 새 방식을 사용하는 응용 프로그램을 조금만 바꾸면 새 키 저장소를 사용할 수 있습니다.
KMF는 키 저장소 관리 방법을 제공하고 이러한 키 사용에 대한 전체 정책을 제공합니다. KMF는 세 가지 공개 키 기술에 대한 정책, 키, 인증서를 관리합니다.
PKCS #11 공급자(암호화 프레임워크)의 토큰
NSS(Network Security Services)
OpenSSL, 파일 기반 키 저장소
kmfcfg 도구는 KMF 정책 항목을 만들고 수정, 삭제할 수 있습니다. 또한 프레임워크에 대한 플러그인을 관리합니다. KMF는 pktool 명령을 통해 키 저장소를 관리합니다. 자세한 내용은 kmfcfg(1) 및 pktool(1) 매뉴얼 페이지와 다음 절을 참조하십시오.
KMF 정책은 데이터베이스에 저장됩니다. 이 정책 데이터베이스는 KMF 프로그래밍 인터페이스를 사용하는 모든 응용 프로그램에서 내부적으로 액세스할 수 있습니다. 데이터베이스는 KMF 라이브러리에서 관리되는 키 및 인증서의 사용을 제약할 수 있습니다. 응용 프로그램이 인증서를 확인하려고 시도할 때 정책 데이터베이스를 검사합니다. kmfcfg 명령은 정책 데이터베이스를 수정합니다.
kmfcfg 명령은 다음과 같은 플러그인의 하위 명령을 제공합니다.
list plugin – KMF에서 관리되는 플러그인을 나열합니다.
install plugin – 모듈의 경로 이름으로 플러그인을 설치하고 플러그인에 대한 키 저장소를 만듭니다. KMF에서 플러그인을 제거하려면 키 저장소를 제거합니다.
uninstall plugin – 키 저장소를 제거하여 KMF에서 플러그인을 제거합니다.
modify plugin – debug와 같은 플러그인 코드에 저장된 옵션과 함께 플러그인이 실행되도록 합니다.
자세한 내용은 kmfcfg(1) 매뉴얼 페이지를 참조하십시오. 절차는 KMF에서 타사 플러그인을 관리하는 방법을 참조하십시오.
KMF는 세 가지 공개 키 기술인 PKCS #11 토큰, NSS 및 OpenSSL에 대한 키 저장소를 관리합니다. 이러한 기술은 모두 pktool 명령으로 다음 작업을 수행할 수 있습니다.
자체 서명된 인증서를 생성합니다.
인증서 요청을 생성합니다.
대칭 키를 생성합니다.
공개/개인 키 쌍을 생성합니다.
서명할 외부 인증 기관(CA)에 보낼 PKCS #10 인증서 서명 요청(CSR)을 생성합니다.
PKCS #10 CSR을 서명합니다.
객체를 키 저장소로 가져옵니다.
키 저장소의 객체를 나열합니다.
키 저장소에서 객체를 삭제합니다.
CRL을 다운로드합니다.
PKCS #11 및 NSS 기술의 경우 pktool 명령으로 문장암호를 생성하여 PIN을 설정할 수도 있습니다.
키 저장소에 대한 문장암호를 생성합니다.
키 저장소의 객체에 대한 문장암호를 생성합니다.
pktool 유틸리티 사용의 예는 pktool(1) 매뉴얼 페이지와 키 관리 프레임워크 사용(작업 맵)을 참조하십시오.