참조 안내서 › 유틸리티 › sechkey 유틸리티 › sechkey 유틸리티 - X.509 인증서 구성

sechkey 유틸리티 - X.509 인증서 구성

sechkey 유틸리티는 CA ControlMinder이 구성 요소 사이의 통신을 인증하기 위해 사용하는 루트 및 서버 인증서를 구성합니다.

sechkey 유틸리티를 사용하여 다음 작업을 수행할 수 있습니다.

• OU 암호로 보호되는 인증서를 포함하여 타사 루트 및 서버 인증서를 사용하도록 CA ControlMinder을 구성합니다.
• 타사 루트 인증서에서 서버 인증서를 만듭니다.
• 컴퓨터에 암호로 보호되는 인증서의 암호를 저장합니다.

sechkey를 사용하여 X.509 인증서를 구성하기 전에 반드시 CA ControlMinder을 중지해야 합니다. sechkey를 사용하려면 ADMIN 특성이 있어야 합니다.

참고: CA ControlMinder이 FIPS 전용 모드에서 실행 중인 경우 암호로 보호된 인증서를 사용할 수 없습니다. crypto 섹션의 fips_only 구성 토큰의 값이 1인 경우 CA ControlMinder은 FIPS 전용 모드로 동작합니다. 이 제한으로 인해 FIPS와 호환되지 않는 방법으로 인증서 내의 암호를 암호화할 수 없습니다.

이 명령은 다음 형식을 사용하여 X.509 루트 또는 서버 인증서를 만듭니다.

sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]

이 명령은 다음 형식으로 OU 암호로 보호된 서버 인증서를 사용합니다.

sechkey -g {-subpwd password | -verify}

-ca

sechkey가 CA (루트) 인증서로 사용되는 자체 서명된 인증서를 만들도록 지정합니다.

sechkey는 crypto 섹션의 ca_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.

-capwd password

서버 (주체) 인증서를 만들기 위해 sechkey가 사용하는 루트 인증서의 개인 키에 대한 암호를 지정합니다.

-e

sechkey가 X.509 인증서를 만들도록 지정합니다.

-g

CA ControlMinder이 타사 서버 인증서를 사용하도록 지정합니다. crypto 섹션의 subject_certificate 구성 설정에 지정된 위치에 타사 서버 인증서를 저장하거나 crypto 섹션의 subject_certificate 구성 설정의 값을 편집하여 타사 서버 인증서의 전체 경로를 지정합니다.

참고: 새 디렉터리에 서버 인증서를 설치하는 경우 새 디렉터리를 보호하기 위해 CA ControlMinder FILE 규칙을 작성하십시오.

-in infilepath

인증서 정보를 포함하는 입력 파일을 지정합니다. -in을 지정하지 않으면, sechkey는 표준 입력에서 정보를 읽습니다.

인증서를 작성하려면 sechkey에 다음 정보가 필요합니다.

• 일련 번호
• 제목
• 첫 번째 날(인증서의 첫 번째 유효한 날)
• 마지막 날(인증서의 마지막 유효한 날)

  sechkey는 다음 정보를 사용할 수 있지만 이러한 정보가 필수 사항은 아닙니다.

• 전자 메일
• URI(종종 URL이라고 함)
• DNS 이름
• IP 주소

-out outfilepath

인증서 정보를 저장할 출력 파일을 지정합니다. 출력 파일은 입력 정보의 사본입니다. -out을 지정하지 않으면, sechkey는 입력 정보를 복제하지 않습니다.

-priv privfilepath

인증서와 관련된 개인 키를 포함하는 파일을 지정합니다. 이 옵션은 -sub 옵션과 함께 사용할 경우에만 유효합니다.

-sub

sechkey가 서버 (주체) 인증서를 만들도록 지정합니다.

sechkey는 crypto 섹션의 subject_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.

-priv가 지정되지 않으면 crypto 섹션의 private_key 구성 설정은 인증서와 연결된 개인 키를 보유하는 파일을 정의합니다.

암호로 보호된 서버 인증서를 만드는 경우 sechkey는 인증서를 암호화하지 않습니다. 암호로 보호되지 않는 서버 인증서를 만드는 경우 sechkey는 AES256 및 CA ControlMinder 암호화 키를 사용하여 인증서를 암호화합니다.

-subpwd password

서버 (주체) 인증서의 개인 키에 대한 암호를 지정합니다. sechkey는 ACInstallDir/Data/crypto 디렉터리에 있는 crypto.dat 파일에 암호를 저장합니다. 여기서 ACInstallDir는 CA ControlMinder을 설치한 디렉터리입니다. crypto.dat 파일은 읽기 전용의 암호화된 숨김 파일로, CA ControlMinder에 의해 보호됩니다. CA ControlMinder이 중지되면 superuser만 이 암호에 액세스할 수 있습니다.

-verify

CA ControlMinder이 저장된 암호를 사용하여 암호로 보호된 서버 키를 열 수 있는지 확인합니다.

예: OU 암호로 보호된 타사 루트 인증서에서 서버 인증서 만들기

다음 명령은 OU 암호로 보호된 타사 루트 인증서에서 다음 값을 사용하여 서버 인증서를 만듭니다.

• 인증서 정보를 수록하는 입력 파일의 경로는 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info입니다.
• 루트 인증서에 대한 개인 키의 경로는 C:\Program Files\CA\AccessControl\data\crypto\ca.key입니다.
• 루트 인증서에 대한 개인 키의 암호는 P@ssw0rd입니다.

  sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
  

예: 입력 파일

다음은 인증서 정보를 수록하는 입력 파일의 예입니다.

SERIAL: 00-15-58-C3-5E-4B
SUBJECT: CN=192.168.0.1
NOTBEFORE: "12/31/08"
NOTAFTER: "12/31/09"
E-MAIL: john.smith@example.com
URI: http://www.example.com
DNS: 168.192.0.100
IP:  168.192.0.1

추가 정보:

타사 루트 및 서버 인증서 사용

타사 루트 인증서에서 생성하는 서버 인증서 사용