2.5. 개인 CA를 사용하여 OpenSSL과 함께 CSR의 인증서 발행
시스템이 TLS 암호화 통신 채널을 설정할 수 있도록 하려면 CA(인증 기관)에서 유효한 인증서를 제공해야 합니다. 개인 CA가 있는 경우 시스템에서 인증서 서명 요청(CSR)에 서명하여 요청된 인증서를 생성할 수 있습니다.
사전 요구 사항
- 이미 개인 CA가 구성되어 있습니다. 자세한 내용은 2.2절. “OpenSSL을 사용하여 개인 CA 생성”를 참조하십시오.
- CSR이 포함된 파일이 있습니다. 2.3절. “OpenSSL을 사용하여 TLS 서버 인증서의 개인 키와 CSR 생성” 에서 CSR 생성의 예를 확인할 수 있습니다.
절차
선택 사항: 선택한 텍스트 편집기를 사용하여 인증서에 확장을 추가하기 위해 OpenSSL 구성 파일을 준비합니다. 예를 들면 다음과 같습니다.
$ vim <openssl.cnf> [server-cert] extendedKeyUsage = serverAuth [client-cert] extendedKeyUsage = clientAuthx509유틸리티를 사용하여 CSR을 기반으로 인증서를 생성합니다. 예를 들면 다음과 같습니다.$ openssl x509 -req -in <server-cert.csr> -CA <ca.crt> -CAkey <ca.key> -CAcreateserial -days 365 -extfile <openssl.cnf> -extensions <server-cert> -out <server-cert.crt> Signature ok subject=C = US, O = Example Organization, CN = server.example.com Getting CA Private Key보안을 높이려면 CSR에서 다른 인증서를 생성하기 전에 일련 번호 파일을 삭제하십시오. 이렇게 하면 일련 번호가 항상 임의인지 확인합니다. 사용자 지정 파일 이름을 지정하는
CAserial옵션을 생략하면 serial-number 파일 이름은 인증서의 파일 이름과 동일하지만 확장자는.srl확장자(이전 예제의server-cert.srl)로 교체됩니다.
추가 리소스
-
시스템에 OpenSSL(1),ca(1),x509(1)매뉴얼 페이지
