개요

웹서비스에 https 를 적용할 경우 SSL 인증서를 VeriSign 이나 Thawte, GeoTrust 등에서 인증서를 발급받아야 하지만 비용이 발생하므로 실제 운영 서버가 아니면 발급 받는데 부담이 될 수 있다.

이럴때 OpenSSL 을 이용하여 인증기관을 만들고 Self signed certificate 를 생성하고 SSL 인증서를 발급하는 법을 정리해 본다.

발급된 SSL 인증서는 apache httpd 등의 Web Server 에 설치하여 손쉽게 https 서비스를 제공할 수 있다.

Self Signed Certificate(SSC)란 ?

인증서(digital certificate)는 개인키 소유자의 공개키(public key)에 인증기관의 개인키로 전자서명한 데이타다. 모든 인증서는 발급기관(CA) 이 있어야 하나 최상위에 있는 인증기관(root ca)은 서명해줄 상위 인증기관이 없으므로 root ca의 개인키로 스스로의 인증서에 서명하여 최상위 인증기관 인증서를 만든다. 이렇게 스스로 서명한 ROOT CA 인증서를 Self Signed Certificate 라고 부른다.

IE, FireFox, Chrome 등의 Web Browser 제작사는 VeriSign 이나 comodo 같은 유명 ROOT CA 들의 인증서를 신뢰하는 CA로 미리 등록해 놓으므로 저런 기관에서 발급된 SSL 인증서를 사용해야 browser 에서는 해당 SSL 인증서를 신뢰할수 있는데

OpenSSL 로 만든 ROOT CA와 SSL 인증서는 Browser가 모르는 기관이 발급한 인증서이므로 보안 경고를 발생시킬 것이나 테스트 사용에는 지장이 없다.

ROOT CA 인증서를 Browser에 추가하여 보안 경고를 발생시키지 않으려면 Browser 에 SSL 인증서 발급기관 추가하기 를 참고하자.

ROOT CA 인증서 생성

openssl 로 root ca 의 개인키와 인증서를 만들어 보자

1. CA 가 사용할 RSA  key pair(public, private key) 생성

   2048bit 개인키 생성

   openssl genrsa -aes256 -out /etc/pki/tls/private/lesstif-rootca.key 2048

   개인키 분실에 대비해 AES 256bit 로 암호화한다. AES 이므로 암호(pass phrase)를 분실하면 개인키를 얻을수 없으니 꼭 기억해야 한다.

2. 개인키 권한 설정

   보안 경고

   개인키의 유출 방지를 위해 group 과 other의 permission 을 모두 제거한다.

   chmod 600  /etc/pki/tls/private/lesstif-rootca.key

3. CSR(Certificate Signing Request) 생성을 위한 rootca_openssl.conf 로 저장

   rootca_openssl.conf

   [ req ] default_bits            = 2048 default_md              = sha1 default_keyfile         = lesstif-rootca.key distinguished_name      = req_distinguished_name extensions             = v3_ca req_extensions = v3_ca    [ v3_ca ] basicConstraints       = critical, CA:TRUE, pathlen:0 subjectKeyIdentifier   = hash ##authorityKeyIdentifier = keyid:always, issuer:always keyUsage               = keyCertSign, cRLSign nsCertType             = sslCA, emailCA, objCA [req_distinguished_name ] countryName                     = Country Name (2 letter code) countryName_default             = KR countryName_min                 = 2 countryName_max                 = 2   # 회사명 입력 organizationName              = Organization Name (eg, company) organizationName_default      = lesstif Inc.    # 부서 입력 #organizationalUnitName          = Organizational Unit Name (eg, section) #organizationalUnitName_default  = Condor Project    # SSL 서비스할 domain 명 입력 commonName                      = Common Name (eg, your name or your server's hostname) commonName_default             = lesstif's Self Signed CA commonName_max                  = 64

   인증서 요청 생성

   root@lesstif:~:> openssl req -new -key /etc/pki/tls/private/lesstif-rootca.key -out /etc/pki/tls/certs/lesstif-rootca.csr -config rootca_openssl.conf You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [KR]: Organization Name (eg, company) [lesstif Inc]:lesstif Inc. Common Name (eg, your name or your servers hostname) [lesstif's Self Signed CA]:lesstif's Self Signed CA

4. 10년짜리 self-signed 인증서 생성

   -extensions v3_ca 옵션을 추가해야 한다.

   openssl x509 -req \ -days 3650 \ -extensions v3_ca \ -set_serial 1 \ -in /etc/pki/tls/certs/lesstif-rootca.csr \ -signkey /etc/pki/tls/private/lesstif-rootca.key \ -out /etc/pki/tls/certs/lesstif-rootca.crt \ -extfile rootca_openssl.conf

   서명에 사용할 해시 알고리즘을 변경하려면 -sha256, -sha384, -sha512 처럼 해시를 지정하는 옵션을 전달해 준다.

   기본값은 -sha256 이며 openssl 1.0.2 이상이 필요

5. 제대로 생성되었는지 확인을 위해 인증서의 정보를 출력해 본다.

   openssl x509 -text -in /etc/pki/tls/certs/lesstif-rootca.crt