구현 안내서 › 통신 암호화 방법 변경 › SSL, 인증 및 인증서 › SSL 암호화 활성화 › 타사 루트 인증서에서 생성하는 서버 인증서 사용

타사 루트 인증서에서 생성하는 서버 인증서 사용

SSL 암호화를 사용하는 경우 타사 루트 인증서에서 서버 인증서를 만들 수 있습니다. 이러한 인증서를 사용하여 CA Access Control 구성 요소 사이의 통신을 암호화하고 인증합니다.

암호로 보호된 서버 인증서를 만들 수 있으며, 이 경우 CA Access Control은 지정된 암호를 사용하여 서버 인증서에 대한 개인 키를 보호합니다.

타사 루트 인증서에서 서버 인증서를 만들려면 다음 파일이 필요합니다.

• root.pem - 루트 인증서
• root.key - 루트 인증서의 개인 키

타사 루트 인증서에서 생성하는 서버 인증서를 사용하려면

1. CA Access Control 서비스가 중지되었고 SSL이 활성화되었는지 확인합니다.
2. OU 암호로 보호된 인증서를 사용하는 경우 crypto 섹션의 fips_only 구성 설정의 값이 0인지 확인하십시오.

   참고: CA Access Control이 FIPS 전용 모드에서 실행 중인 경우 암호로 보호된 인증서를 사용할 수 없습니다.

3. 다음 디렉터리에서 sub_cert_info를 제외한 모든 파일을 삭제합니다. 여기서 ACInstallDir는 CA Access Control을 설치한 디렉터리입니다.

   ACInstallDir/data/crypto
   

   중요! sub_cert_info 파일은 삭제하지 마십시오.

   기본 서버 인증서 및 서버 인증서의 기본 키가 삭제됩니다.

4. 루트 인증서를 대체합니다. 다음 작업 중 하나를 수행합니다.
   • 새 루트 인증서를 crypto 섹션에 있는 ca_certificate 구성 설정에 지정된 위치에 복사합니다.
   • crypto 섹션에 있는 ca_certificate 구성 설정의 값을 편집하여 새 루트 인증서에 대한 전체 경로를 지정합니다.

     참고: 새 디렉터리에 루트 인증서를 설치하는 경우 이 디렉터리를 보호하기 위한 CA Access Control FILE 규칙을 작성하십시오.

5. sechkey 유틸리티를 사용하여 서버 인증서를 만듭니다.

   참고: sechkey 유틸리티에 대한 자세한 내용은 참조 안내서를 참조하십시오. sechkey를 사용하려면 ADMIN 특성이 있어야 합니다. CA Access Control SDK를 사용하는 타사 프로그램을 사용하여 작업하는 경우 sechkey를 실행할 때 sechkey 명령에 -s 옵션을 사용하십시오.

6. (선택 사항) 루트 인증서에 대한 개인 키를 삭제합니다.

   루트 인증서로부터 다른 서버 인증서를 만들지 않으려면 루트 인증서에 대한 개인 키를 삭제해도 됩니다.

7. CA Access Control을 시작합니다.
   • CA Access Control 엔터프라이즈 관리 서버에서 암호화 설정을 변경하는 경우 CA Access Control 웹 서비스도 시작하십시오.
   • CA Access Control SDK를 사용하는 타사 프로그램을 사용하여 작업하는 경우 CA Access Control SDK를 사용하는 프로세스를 다시 시작하십시오.

   SSL 암호화가 활성화됩니다.

예: sechkey를 사용하여 서버 인증서 만들기

이 예는 타사 루트 인증서에서 서버 인증서를 만듭니다. 이 예는 기본 CA Access Control 인증서 정보 파일을 사용합니다. 루트 인증서의 개인 키 이름은 custom_root.key이며 /opt/CA/AccessControl/data/crypto에 있습니다.

sechkey -e -sub -in "/opt/CA/AccessControl/data/crypto/sub_cert_info" -priv /opt/CA/AccessControl/data/crypto/custom_root.key

추가 정보:

sechkey 유틸리티 - X.509 인증서 구성

crypto

crypto