테스트 목적에는 타사 CA 대신 자체 서명된 서버 CA(인증 기관)를 사용할 수 있습니다. Apache에 대한 자체 서명된 서버 CA를 만드는 단계는 클라이언트 인증서에 대한 인증 기관 만들기의 설명에 따라 클라이언트 인증서에 대한 CA를 만드는 단계와 유사합니다.
다음 명령을 사용하여 서버 CA를 만듭니다. subject를 서버의 DNS 이름으로 설정합니다.
$ pktool gencert label=apacheCA subject="CN=apachetest" \ serial=0x01
다음 명령을 사용하여 서버 CA에 대한 CSR을 만듭니다. 여러 이름으로 서버에 액세스할 수 있거나 해당 IP 주소로 직접 사용할 수 있게 하려는 경우 OpenSSL 설명서의 Subject Alternative Name의 설명에 따라 subjectAltNames 지시어를 사용합니다.
$ pktool gencsr label=apache subject="CN=pkg-sec.internal.example.com" \ altname="IP=192.168.1.1,DNS=pkg-sec.internal.example.com" \ format=pem outcsr=apache.csr
다음 명령을 사용하여 CSR에 서명합니다. SSLCertificateFile에 대해 server.crt를 사용합니다.
$ pktool signcsr signkey=apacheCA csr=apache.csr serial=0x02 \ outcert=server.crt issuer="CN=apachetest"
다음 명령을 사용하여 키를 추출합니다. SSLCertificateKeyFile에 대해 server.key를 사용합니다.
$ pktool export objtype=key label=apache outformat=pem \ outfile=server.key
클라이언트가 이 서버 키를 허용하게 하려면 클라이언트 시스템의 허용된 CA 디렉토리에 CA 인증서(apacheCA)를 추가하고 ca-certificates 서비스를 다시 시작하여 필요한 OpenSSL 링크를 만듭니다.
다음 명령을 사용하여 CA 인증서를 추출합니다.
$ pktool export label=apacheCA objtype=cert outformat=pem \ outfile=test_server_ca.pem
클라이언트 시스템의 CA 인증서 디렉토리에 CA 인증서를 복사합니다.
$ cp /path-to/test_server_ca.pem /etc/certs/CA/
CA 인증서 서비스를 다시 시작합니다.
$ svcadm refresh ca-certificates
계속하기 전에 새 CA 인증서가 연결되었는지 확인합니다. 새로 고치면 ca-certificate 서비스가 /etc/openssl/certs 디렉토리의 링크를 재작성합니다. 다음 명령을 실행하여 새 CA 인증서가 연결되었는지 확인합니다.
$ ls -l /etc/openssl/certs | grep test_server_ca.pem lrwxrwxrwx 1 root root 40 May 1 09:51 e89d96e0.0 -> ../../certs/CA/test_server_ca.pem
해시 값 e89d96e0.0은 인증서 주체를 기반으로 하기 때문에 다를 수도 있습니다.