웹 서버 개인 키의 대상 다시 지정

CA CEM과 함께 nCipher 사용 › nCipher 키 및 운영자 카드 작업 › 웹 서버 개인 키의 대상 다시 지정

웹 서버 개인 키의 대상 다시 지정

참고: 이 섹션의 내용은 nCipher에서 생성한 웹 서버용 개인 키가 있다는 것을 전제로 합니다.

nCipher 보안 환경은 키를 PKCS#11, Java JCE, OpenSSL, Microsoft CAPI(Windows), nCipher의 기본 API 등 다양한 API(응용 프로그램 프로그래밍 인터페이스)에 사용할 수 있도록 설정합니다. API와의 액세스를 원활히 하기 위해 키를 생성할 때 선택한 응용 프로그램 유형에 따라 다른 정보가 실제 암호화된 키 자료에 저장됩니다.

기존 키를 다른 응용 프로그램에서 사용할 수 있게 됩니다. 이러한 프로세스를 '대상을 다시 지정한다'고 합니다. 대상을 다시 지정하는 작업을 수행하면 새 키 BLOB이 파일 시스템에 저장됩니다. 여기에는 새 응용 프로그램 유형에 맞는 새 액세스 정보 및 암호화된 동일한 키 자료가 포함됩니다.

다음은 다양한 웹 서버 소프트웨어 패키지에 사용되는 API의 일부 목록입니다.

Server	플랫폼	API	응용 프로그램
Apache	모두	OpenSSL	embed
Sun ONE	모두	PKCS#11	pkcs11
MS IIS	Windows	MS CAPI	mscapi
Tomcat	모두(Java)	jce	jce

TIM 컴퓨터에는 응용 프로그램 유형 embed의 키가 필요합니다. /opt/nfast/kmdata/local 디렉터리의 암호화된 키 BLOB 이외에, embed 키는 embedsavefile 파일(사용할 특정 키 BLOB으로 OpenSSL을 가리키는 파일)과 함께 제공됩니다.

Sun ONE 웹 서버 키의 응용 프로그램 유형을 pkcs11에서 embed로 변환하려면

응용 프로그램 유형 pkcs11 및 유형 embed의 키 대상을 다시 지정하려면 아래의 예제를 참조하십시오.

이 예제에서 해당 키를 보호하는 MyOCS라는 1/N Operator Card는 HSM 카드 판독기에 있습니다. Enter 또는 Return 키를 사용하여 기본값을 그대로 수락합니다.

$ /opt/nfast/bin/generatekey --retarget embed
from-application: Source application? (custom, embed, hwcrhk, pkcs11, simple)
  [default custom] > pkcs11
from-ident: Source key identifier?
(uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419)
[default uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419]
>
embedsavefile: Filename to write key to? []
> /tmp/webserver1.pem
plainname: Key name? [] > webserver1
키 생성 매개 변수:
 operation         Operation to perform      retarget
 application       Application               embed
 slot              Slot to read cards from   0
 verify            Verify security of key    yes
 from-application  Source application        pkcs11
 from-ident        Source key identifier     uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419
 embedsavefile     Filename to write key to  /tmp/webserver1.pem
 plainname         Key name                  webserver1

Loading `MyOCS':
 Module 1: 0 cards of 1 read          
 Module 1 slot 0: `MyOCS' #1         
 Module 1 slot 0:- passphrase supplied - reading card                         
Card reading complete.            
                                 
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_embed_b4c36e18ff38d2d45a2df425abd9febfaf873da4