CA는 인증서 체인의 최상위 레벨 인증서입니다. CA는 클라이언트 인증서를 생성하고 클라이언트가 저장소에 액세스하기 위해 제공하는 인증서를 검증해야 합니다.
타사 CA는 VeriSign 등의 일부 신뢰할 수 있는 회사에서 관리됩니다. 이 신뢰할 수 있는 관리를 사용하면 클라이언트가 해당 CA 중 하나에서 서버의 ID를 확인할 수 있습니다. 이 절의 예에는 저장소 서버의 ID 확인이 포함되어 있지 않습니다. 이 예에서는 클라이언트 인증서 확인만 보여 줍니다. 따라서 이 예에서는 자체 서명된 인증서를 사용하여 CA를 만들고 타사 CA를 사용하지 않습니다.
CA에는 CN(일반 이름)이 필요합니다. 하나의 저장소만 실행하는 경우 CN을 조직 이름(예: "Oracle Software Delivery")으로 설정하는 것이 좋습니다. 여러 저장소가 있는 경우 각 저장소에 해당 CA가 있어야 합니다. 이 경우 CA를 만들 저장소를 고유하게 식별하는 이름으로 CN을 설정합니다. 예를 들어, 릴리스 저장소와 지원 저장소가 있는 경우 릴리스 CA의 인증서만 릴리스 저장소에 대한 액세스를 허용하고 지원 CA의 인증서만 지원 저장소에 대한 액세스를 허용합니다.
키 저장소에서 인증서를 식별하려면 인증서에 대한 설명 레이블을 설정합니다. 모범 사례는 인증서 레이블을 CN_ca로 설정하는 것입니다. 여기서 CN은 인증서 CN입니다.
다음 명령을 사용하여 CA 인증서를 만듭니다. 여기서 name은 인증서 CN이고 CAlabel은 인증서 레이블입니다.
$ pktool gencert label=CAlabel subject="CN=name" serial=0x01
CA는 키 저장소에 저장됩니다. 다음 명령을 사용하여 키 저장소 컨텐츠를 표시합니다.
$ pktool list
Apache 구성 파일에 SSL 구성 추가의 설명에 따라 Apache를 구성하는 경우 키 저장소에서 CA 인증서를 추출해야 합니다. 다음 명령을 사용하여 ca_file.pem이라는 파일로 CA 인증서를 추출합니다.
$ pktool export objtype=cert label=CAlabel outformat=pem \ outfile=ca_file.pem