2.5. ÀÎÁõ¼­ °ü¸®

2.5.1. ÀÎÁõ ¿ä±¸¼­ »ý¼º°ú ¼­¸íÇϱâ

CA.pl -newreq 
(openssl req -config /etc/openssl.cnf -new -keyout newreq.pem -out newreq.pem -days 365) 
   

»õ·Î¿î Private Key¿Í ÀÎÁõ ¿ä±¸¼­¸¦ newreq.pem¿¡ ÀúÀåÇÑ´Ù.

CA.pl -sign 
(openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem) 
   

ÀÎÁõ ¿ä±¸¼­¸¦ ¾Æ±î ¸¸µç ·çÆ® ÀÎÁõ ±â°üÀÇ Å°·Î ¼­¸íÇÑ ÈÄ, newcert.pemÀ̶õ »õ·Î¿î ÀÎÁõ¼­¸¦ »ý¼ºÇÑ´Ù. ÀÌ ¶§ ÀÎÁõ ±â°üÀÇ ¾ÏÈ£¹®(Passphrase)À» ³Ö¾î¾ß ¼­¸íÀÌ µÉ °ÍÀÌ´Ù. ±×¸®°í ³­ ÈÄ newcerts/xx.pemÀ̶õ ÆÄÀÏÀÌ openssl.cnf¿¡¼­ ÁöÁ¤ÇÑ °æ·Î¿¡ »ý±â¸ç, index.txt, serialÀÌ ÀÚµ¿À¸·Î °»½ÅµÈ´Ù.

Private Key´Â newreq.pem ÆÄÀÏ¿¡ ---PRIVATE KEY--- ¶ó°í µÇ¾î ÀÖÀ¸¸ç, ÀÎÁõ¼­´Â newcert.pem¿¡ ---CERTIFICATE---¶ó°í µÇ¾î ÀÖ´Ù.

¹æ±Ý ¸»Çß´Ù½ÃÇÇ newcerts/¶õ µð·ºÅ丮¿¡ newcert.pemÆÄÀÏÀÌ »ý±â¸ç index.txt°¡ °»½ÅµÈ´Ù. Ŭ¶óÀÌ¾ðÆ®´Â ÀÌ Á¤º¸¸¦ ¹ÙÅÁÀ¸·Î À¥¼­¹ö¿¡°Ô ÀÎÁõ ±â°ü¿¡ ´ëÇÑ Á¤º¸¸¦ ¿äûÇÒ ¼ö ÀÖ´Ù.

newreq.pemÆÄÀÏÀ» Á¶½ÉÇØ¼­ ´Ù·ç¾î¾ß ÇÑ´Ù. ±× ÆÄÀÏ¿¡´Â ÀÎÁõ ¿ä±¸¼­ »Ó¸¸ ¾Æ´Ï¶ó, Private Key±îÁö µé¾îÀֱ⠶§¹®ÀÌ´Ù. Private Key´Â ¼­¸íÇÒ ½Ã¿¡ Çʿ䰡 ¾øÀ¸¸ç, °°ÀÌ º¸³¾ °æ¿ì ÀÎÁõ ±â°ü¿¡°Ô º¸¾ÈÀÌ ³ëÃâµÉ ¼ö ÀÖ´Ù. ±×·¡¼­ ¸¸¾à ´Ù¸¥ ÀÎÁõ ±â°ü¿¡°Ô ÀÎÁõ ¿ä±¸¼­¸¦ º¸³¾ ¶§´Â ¹Ýµå½Ã ---PRIVATE KEY--- ºÎºÐÀº Àß¶ó³»¾ß ÇÑ´Ù. ¹Ý´ë·Î ´ç½ÅÀÌ ¼­¸íÀ» ÇÒ ¶§´Â ---CERTIFICATE REQUEST---ºÎºÐ¸¸ º¸³»ÁÖµµ·Ï ¿ä±¸ÇؾßÇÑ´Ù.

2.5.2. ÀÎÁõ¼­ öȸÇϱâ

ÀÎÁõ¼­¸¦ öȸÇϱâ À§Çؼ­´Â ¾Æ·¡¿Í °°ÀÌ ¸í·ÉÇÏ¸é µÈ´Ù:

openssl ca -revoke newcert.pem
   

±×·¯¸é µ¥ÀÌÅͺ£À̽º°¡ ¾÷µ¥ÀÌÆ®µÇ°í, ÀÎÁõ¼­°¡ öȸµÇ¾ú´Ù°í Ç¥½ÃµÈ´Ù. ´ÙÀ½Àº ÀÎÁõ¼­ÀÇ ÀÎÁõ öȸ ¸®½ºÆ®¸¦ ÀÛ¼ºÇØ¾ß ÇÑ´Ù.

openssl ca -gencrl -out crl/crl.pem
   

(¿ªÁÖ:MS Windows¿¡¼­´Â .crlÀ̶õ È®ÀåÀÚ¸¦ ÀÎÁõ öȸ ¸®½ºÆ®·Î ÀνÄÇÑ´Ù. À§ pemÈ®ÀåÀÚ¸¦ crlÀ¸·Î ¹Ù²Ù¸é MS Windows¿¡¼­ »ç¿ëÇÒ ¼ö ÀÖ´Ù.)

2.5.3. ÀÎÁõ¼­ °»½ÅÇϱâ

³¯Â¥ Á¦ÇÑÀÌ Áö³ª°Å³ª Private Key°¡ ´©ÃâµÇ¸é ´õ ÀÌ»ó ÀÎÁõ¼­¸¦ »ç¿ëÇÒ ¼ö ¾øÀ¸¹Ç·Î »õ·Î¿î ÀÎÁõ¼­¸¦ ¹ßÇàÇØ¾ß ÇÑ´Ù. ÀÌ ¶§ À¯ÀúµéÀÌ ÀÎÁõ¼­¸¦ ºÐ½ÇÇØ¼­ ÀÎÁõ ¿ä±¸¼­³ª Private Key¸¦ º¸³»Áָ鼭 öȸ ¿ä±¸¸¦ ÇÒ ¼öµµ ÀÖ´Ù.

¿ì¼± ¿¹ÀüÀÇ ÀÎÁõ¼­¸¦ öȸÇϰí ÀÎÁõ ¿ä±¸¼­¸¦ ´Ù½Ã ¼­¸íÇØ¾ß ÇÑ´Ù.

¿¹ÀüÀÇ ÀÎÁõ¼­¸¦ ã±â À§Çؼ­´Â index.txt ÆÄÀÏ¿¡ Distinguished Name (DN) ºÎºÐ, serial ÆÄÀÏÀÇ Serial Number ºÎºÐÀ» ÀÎÁõ ¿ä±¸¼­¿Í ÇÔ²² ºñ±³ÇÏ¸é µÈ´Ù. ±×¸®°í ±×¿¡ ¸Â´Â cert/<xx>.pem ¿¡ ÀúÀåµÈ ÀÎÁõ¼­¸¦ ÀÎÁõ öȸ½Ã¿¡ »ç¿ëÇÏ¸é µÈ´Ù.

½ÃÀÛ°ú ¸¸±âÀÏÀ» È®½ÇÈ÷ Çϱâ À§ÇØ ¼öµ¿À¸·Î ¼­¸íÇÒ ¼öµµ ÀÖ´Ù.

openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem -startdate [now] -enddate [previous enddate+365days]
   

[now] ºÎºÐ°ú [previous enddate+365days] ºÎºÐÀ» Á¤È®ÇÑ °ªÀ¸·Î ¼öÁ¤Çؼ­ ½ÇÇàÇÏ¸é µÈ´Ù.

2.5.4. À¥ ±â¹Ý Certificate Authority ¸¸µé±â

¾Æ·¡´Â ÀÎÁõ ±â°üÀ» ¿î¿µÇÒ ¶§ ÇÊ¿äÇÑ °ÍÀÌ´Ù.

  1. ·çÆ® ÀÎÁõ ±â°üÀÇ ÀÎÁõ¼­¸¦ ¹ßÇàÇØ¼­ ÀÀ¿ë ÇÁ·Î±×·¥¿¡ ¼³Ä¡µÇµµ·Ï ÇØ¾ß ÇÑ´Ù.

  2. ÀÎÁõ öȸ ¸®½ºÆ®¸¦ ¹ßÇàÇØ¾ß ÇÑ´Ù.

  3. ÀÎÁõ¼­ÀÇ Á¤º¸¸¦ Serial Number¸¦ Æ÷ÇÔÇØ¼­ ÀÚ¼¼È÷ Ãâ·ÂµÇµµ·Ï ÇØ¾ß ÇÑ´Ù.

  4. À¯Àúµé·Î ÇÏ¿©±Ý ÀÎÁõ ¿ä±¸¼­¸¦ ¹ÞÀ» ¼ö ÀÖµµ·Ï Æû(form)À» Á¦°øÇØ¾ß ÇÑ´Ù.

À¥¼­¹ö¿Í ¸î¸î ½ºÅ©¸³Æ® ¾ð¾î¸¦ ÀÌ¿ëÇϸé À§¿Í °°Àº °ÍµéÀ» ÇÒ ¼ö ÀÖ´Ù.