참조 안내서 › 유틸리티 › sechkey 유틸리티 › sechkey 유틸리티 - X.509 인증서 구성

sechkey 유틸리티 - X.509 인증서 구성

sechkey 유틸리티는 CA Access Control이 구성 요소 사이의 통신을 인증하기 위해 사용하는 루트 및 서버 인증서를 구성합니다.

sechkey 유틸리티를 사용하여 다음 작업을 수행할 수 있습니다.

• OU 암호로 보호되는 인증서를 포함하여 타사 루트 및 서버 인증서를 사용하도록 CA Access Control을 구성합니다.
• 타사 루트 인증서에서 서버 인증서를 만듭니다.
• 컴퓨터에 암호로 보호되는 인증서의 암호를 저장합니다.

sechkey를 사용하여 X.509 인증서를 구성하기 전에 반드시 CA Access Control을 중지해야 합니다. sechkey를 사용하려면 ADMIN 특성이 있어야 합니다.

참고: CA Access Control이 FIPS 전용 모드에서 실행 중인 경우 암호로 보호된 인증서를 사용할 수 없습니다. crypto 섹션의 fips_only 구성 토큰의 값이 1인 경우 CA Access Control은 FIPS 전용 모드로 동작합니다. 이 제한으로 인해 FIPS와 호환되지 않는 방법으로 인증서 내의 암호를 암호화할 수 없습니다.

이 명령은 다음 형식을 사용하여 X.509 루트 또는 서버 인증서를 만듭니다.

sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]

이 명령은 다음 형식으로 OU 암호로 보호된 서버 인증서를 사용합니다.

sechkey -g {-subpwd password | -verify}

-ca

sechkey가 CA (루트) 인증서로 사용되는 자체 서명된 인증서를 만들도록 지정합니다.

sechkey는 crypto 섹션의 ca_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.

-capwd password

서버 (주체) 인증서를 만들기 위해 sechkey가 사용하는 루트 인증서의 개인 키에 대한 암호를 지정합니다.

-e

sechkey가 X.509 인증서를 만들도록 지정합니다.

-g

CA Access Control이 타사 서버 인증서를 사용하도록 지정합니다. crypto 섹션의 subject_certificate 구성 설정에 지정된 위치에 타사 서버 인증서를 저장하거나 crypto 섹션의 subject_certificate 구성 설정의 값을 편집하여 타사 서버 인증서의 전체 경로를 지정합니다.

참고: 새 디렉터리에 서버 인증서를 설치하는 경우 새 디렉터리를 보호하기 위해 CA Access Control FILE 규칙을 작성하십시오.

-in infilepath

인증서 정보를 포함하는 입력 파일을 지정합니다. -in을 지정하지 않으면, sechkey는 표준 입력에서 정보를 읽습니다.

인증서를 작성하려면 sechkey에 다음 정보가 필요합니다.

• 일련 번호
• 제목
• 첫 번째 날(인증서의 첫 번째 유효한 날)
• 마지막 날(인증서의 마지막 유효한 날)

  sechkey는 다음 정보를 사용할 수 있지만 이러한 정보가 필수 사항은 아닙니다.

• 전자 메일
• URI(종종 URL이라고 함)
• DNS 이름
• IP 주소

-out outfilepath

인증서 정보를 저장할 출력 파일을 지정합니다. 출력 파일은 입력 정보의 사본입니다. -out을 지정하지 않으면, sechkey는 입력 정보를 복제하지 않습니다.

-priv privfilepath

인증서와 관련된 개인 키를 포함하는 파일을 지정합니다. 이 옵션은 -sub 옵션과 함께 사용할 경우에만 유효합니다.

-sub

sechkey가 서버 (주체) 인증서를 만들도록 지정합니다.

sechkey는 crypto 섹션의 subject_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.

-priv가 지정되지 않으면 crypto 섹션의 private_key 구성 설정은 인증서와 연결된 개인 키를 보유하는 파일을 정의합니다.

암호로 보호된 서버 인증서를 만드는 경우 sechkey는 인증서를 암호화하지 않습니다. 암호로 보호되지 않는 서버 인증서를 만드는 경우 sechkey는 AES256 및 CA Access Control 암호화 키를 사용하여 인증서를 암호화합니다.

-subpwd password

서버 (주체) 인증서의 개인 키에 대한 암호를 지정합니다. sechkey는 ACInstallDir/Data/crypto 디렉터리에 있는 crypto.dat 파일에 암호를 저장합니다. 여기서 ACInstallDir는 CA Access Control을 설치한 디렉터리입니다. crypto.dat 파일은 읽기 전용의 암호화된 숨김 파일로, CA Access Control에 의해 보호됩니다. CA Access Control이 중지되면 superuser만 이 암호에 액세스할 수 있습니다.

-verify

CA Access Control이 저장된 암호를 사용하여 암호로 보호된 서버 키를 열 수 있는지 확인합니다.

예: OU 암호로 보호된 타사 루트 인증서에서 서버 인증서 만들기

다음 명령은 OU 암호로 보호된 타사 루트 인증서에서 다음 값을 사용하여 서버 인증서를 만듭니다.

• 인증서 정보를 수록하는 입력 파일의 경로는 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info입니다.
• 루트 인증서에 대한 개인 키의 경로는 C:\Program Files\CA\AccessControl\data\crypto\ca.key입니다.
• 루트 인증서에 대한 개인 키의 암호는 P@ssw0rd입니다.

  sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
  

예: 입력 파일

다음은 인증서 정보를 수록하는 입력 파일의 예입니다.

SERIAL: 00-15-58-C3-5E-4B
SUBJECT: CN=192.168.0.1
NOTBEFORE: "12/31/08"
NOTAFTER: "12/31/09"
E-MAIL: john.smith@example.com
URI: http://www.example.com
DNS: 168.192.0.100
IP:  168.192.0.1

추가 정보:

타사 루트 및 서버 인증서 사용

타사 루트 인증서에서 생성하는 서버 인증서 사용