자체 서명된 인증서는 공식적으로 서명된 인증서가 인증 기관(CA)에서 리턴되기를
기다리는 동안 클라이언트와 서버 간에 SSL 세션을 사용할 수 있게 할 인증서를 제공합니다. 개인 및 공용 키는
이 프로세스 중에 작성됩니다. 자체 서명된 인증서를 작성하면 식별된
키 데이터베이스에 자체 서명된 X509 인증서가 생성됩니다. 자체 서명된 인증서에는
주체 이름과 동일한 발급자 이름이 있습니다.
이 태스크 정보
사설 웹 네트워크의 자체 CA 역할을 하는 경우 다음 프로시저를
사용하십시오. IKEYCMD 명령 인터페이스 또는 GSKCapiCmd 도구를 사용하여
자체 서명된 인증서를 작성하십시오.
프로시저
- 다음과 같이 IKEYCMD 명령 인터페이스를 사용하여
자체 서명된 인증서를 작성하십시오.
gskcmd -cert -create -db <filename> -pw <password> -size <2048 | 1024 | 512> -dn <distinguished_name>
-label label> -default_cert <yes | no> - expire <days> -san dnsname <DNS name value>[,<DNS name value>]
-san emailaddr <email address value>[,<email address value>]
-san ipaddr <IP address value>[,<IP address value>][-ca <true | false>]
여기서, - -cert는 자체 서명된 인증서를 지정합니다.
- -create는 작성 조치를 지정합니다.
- -db <filename>은 데이터베이스 이름입니다.
- -pw <password>는 키 데이터베이스에 액세스하기 위한 비밀번호입니다.
- -dn <distinguished_name>은
X.500 식별 이름을 나타냅니다. 다음 형식의
인용 문자열로 입력하십시오(CN, O 및 C만 필요함).
CN=common_name, O=조직, OU=organization_unit, L=위치, ST=시/도, C=국가
(예: "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP
Server,L=RTP,ST=NC,C=US")
- -label <label>은 데이터베이스에서 키와 인증서를 식별하는 데 사용되는 설명 주석입니다.
- -size <2048 | 1024 | 512>는 키 크기(2048, 1024 또는 512)를 나타냅니다. 기본 키 크기는 1024입니다. GSKit(Global Security Kit)
버전 7.0.4.14 이상을 사용하는 경우에는 2048 키 크기를 사용할 수 있습니다.
- -default_cert<yes | no>는 이 인증서가 키 데이터베이스의 기본 인증서인지 여부를 지정합니다.
- -expire <days>는 자체 서명된 새 디지털 인증서의 기본 유효 기간이 365일임을 나타냅니다. 최소값은 1일입니다. 최대값은 7300일(20년)입니다.
- -san * <subject alternate name attribute value>
| <subject alternate name attribute value>는 서명된 인증서에 해당하는
대체 호스트 이름을 SSL 클라이언트에 알리는 주체 대체 이름 확장자를 인증서 요청에 지정합니다.
이들 옵션은
ikminit.properties 파일에 다음 행이 입력되는 경우에만 유효합니다. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true.
*(별표) 값은 다음과 같습니다.
- dnsname
- RFC 1034에 따라 "선호 이름 구문"을 사용하여 이 값을 형식화해야 합니다(예: zebra,tek.ibm.com).
- emailaddr
- RFC 822에 따라 "addr-spec"으로 이 값을 형식화해야 합니다(예: myname@zebra.tek.ibm.com).
- ipaddr
- 이 값은 RFC 1338 및 RFC 1519에 따라 형식화된 IP 주소를 나타내는 문자열입니다(예: 193.168.100.115).
이러한 옵션 값은 생성된 인증서의 주체 대체 이름 확장 속성에 누적됩니다. 옵션이 사용되지 않으면
이 확장 속성이 인증서에 추가되지 않습니다.
- -ca <true | false>는 자체 서명된 인증서의 기본 제한조건 확장을 지정합니다. 확장은
전달되는 값이 true인 경우 CA:true 및 PathLen:<max int>가 추가되고,
전달되는 값이 false인 경우 추가되지 않습니다.
- GSKCapiCmd 도구를 사용하여 자체 서명된 인증서를 작성하십시오. GSKCapiCmd는
CMS 키 데이터베이스 내에서 키, 인증서, 인증서 요청을 관리하는 도구입니다. 이 도구는 GSKCapiCmd가 CMS 및 PKCS11 키 데이터베이스를 지원하는 것을 제외하고 기존 GSKit
Java 명령행 도구가 가진
모든 기능을 제공합니다. CMS 또는 PKCS11 이외의 키 데이터베이스를 관리하려면 기존 Java 도구를 사용하십시오. GSKCapiCmd를 사용하여 CMS 키 데이터베이스의
모든 측면을 관리할 수 있습니다. GSKCapiCmd는
Java가
시스템에 설치될 필요가 없습니다.
gskcapicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>]
-label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>]
[-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips]
[-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
참고: Unix 유형 운영 체제에서는 모든 태그와 연관된 문자열 값을 항상 큰따옴표(“”) 안에
캡슐화하는 것이 좋습니다. 또한 ‘!', ‘\', ‘”', ‘`' 문자가 문자열 값에 나타나는 경우
‘\' 문자를 사용하여 이스케이프해야 합니다.
이렇게 하면 일부 명령행 쉘에서 이러한 값에 포함된 특정 문자를 해석하지 못합니다.(예: gsk7capicmd –keydb –create –db
“/tmp/key.kdb” –pw “j\!jj”). 그러나 gsk7capicmd가 값(예: 비밀번호)을 입력하도록
프롬프트를 표시하는 경우에는 문자열을 따옴표로 묶고 이스케이프 문자를 추가하는 것을 하지 않아야 합니다. 쉘이 더 이상 이 입력에 영향을 주지 않기 때문입니다.