· KLDP.org · KLDP.net · KLDP Wiki · KLDP BBS ·
Docbook Sgml/SSL-Certificates-HOWTO

SSL ÀÎÁõ¼­ HOWTO

SSL ÀÎÁõ¼­ HOWTO

Franck Martin

¾ç¹è ¹Ú

     
    

ÀÌ ¹®¼­¿¡¼­´Â ÀÎÁõ±â°ü(Certificate Authority, CA)À» °ü¸®ÇÏ´Â ¹æ¹ý¿¡ ´ëÇØ ´Ù·ïº¼ °ÍÀÌ´Ù. ±×¸®°í À¥À̳ª º¸¾È e-mail, ÄÚµå ¼­¸í µî¿¡ »ç¿ëÇÒ ¼ö ÀÖ´Â ÀÎÁõ¼­¸¦ »ý¼ºÇÏ°í ¼­¸íÇÏ´Â ¹æ¹ýµµ ´Ù·ïº¼ °ÍÀÌ´Ù.

Revision History
Revision v0.5-kr2006-10-03Revised by: godyang
0.5 ¹öÀüÀ» ±âÁØÀ¸·Î ¹ø¿ªÇß´Ù.
Revision v0.52002-10-20Revised by: FM
Adding IPsec information from Nate Carlson, natecars@natecarlson.com / Adding IMAPS and POPS information from Bill Shirley, webnut@telocity.com / Adding WinCrypt information from Colin McKinnon, colin@wew.co.uk
Revision v0.42002-06-22Revised by: FM
Various corrections - adding ASCII Art
Revision v0.32002-05-09Revised by: FM
Adding x509v3 extension information - Correcting spelling
Revision v0.22001-12-06Revised by: FM
Adding openssl.cnf file / Adding CRL info from Averroes, a.averroes@libertysurf.fr / Correcting spelling
Revision v0.1-kr-22002-03-18Revised by: godyang
º»¹®¿¡ ¼ÓÇÑ HistoryºÎºÐÀ» revhistory·Î ¿Å°å´Ù.
Revision v0.1-kr-12002-03-18Revised by: godyang
À߸øµÈ ű׸¦ ¼öÁ¤Çß´Ù.
Revision v0.1-kr2002-03-13Revised by: godyang
0.1¹öÀüÀ» ±âÁØÀ¸·Î ¹ø¿ªÇß´Ù.
Revision v0.12001-11-18Revised by: FM
Creation of the HOWTO

Table of Contents
1. ÀϹÝÀûÀÎ ±Û
1.1. ¼Ò°³
1.1.1. ¶óÀ̼¾½º
1.1.2. ±âº» Áö½Ä
1.2. SSLÀº ¹¹°í, ÀÎÁõ¼­´Â ¹º°¡?
1.2.1. Private Key/Public Key:°³ÀÎÅ°/°ø°³Å°
1.2.2. ÀÎÁõ¼­
1.2.3. ´ëĪŰ
1.2.4. ¾Ïȣȭ ¾Ë°í¸®Áò
1.2.5. Çؽ¬
1.2.6. ¼­¸í
1.2.7. ¾ÏÈ£¹®
1.2.8. Public Key Infrastructure
1.3. S/MimeÀº ¹«¾ùÀ» ÀǹÌÇÏ´ÂÁö? ±×¸®°í ´Ù¸¥ ÇÁ·ÎÅäÄݵéÀº?
2. ÀÎÁõ¼­ °ü¸®
2.1. ¼³Ä¡
2.1.1. CA.pl À¯Æ¿¸®Æ¼
2.1.2. openssl.cnf ÆÄÀÏ
2.1.3. ÀÎÁõ±â°ü »ý¼ºÇϱâ
2.2. ·çÆ® ÀÎÁõ±â°ü(Root CA) ÀÎÁõ¼­ »ý¼ºÇϱâ
2.3. ÇÏÀ§ ÀÎÁõ±â°ü ÀÎÁõ¼­(Non root Certification Authority Certificate) »ý¼ºÇϱâ
2.4. ·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ¼­ ÀúÀå¼Ò¿¡ ¼³Ä¡Çϱâ
2.4.1. ³Ý½ºÄÉÀÌÇÁ/¸ðÁú¶ó/ÆÄÀ̾îÆø½º
2.4.2. °¥·¹¿Â
2.4.3. ¿ÀÆä¶ó
2.4.4. ÀÎÅÍ³Ý ÀͽºÇ÷η¯
2.5. ÀÎÁõ¼­ °ü¸®
2.5.1. ÀÎÁõ¿äû¼­(Certificate Request) »ý¼º/¼­¸í ¹æ¹ý
2.5.2. ÀÎÁõ¼­ öȸ¹æ¹ý
2.5.3. ÀÎÁõ¼­ °»½Å¹æ¹ý
2.5.4. ÀÎÁõ¼­ È®Àιæ¹ý
2.5.5. index.txt ÆÄÀÏ
2.5.6. À¥±â¹Ý ÀÎÁõ±â°ü °ü¸®
3. ÀÀ¿ëÇÁ·Î±×·¥¿¡¼­ ÀÎÁõ¼­ È°¿ëÇϱâ
3.1. ÀÎÅÍ³Ý ÇÁ·ÎÅäÄÝ º¸¾È
3.1.1. Apache¿¡¼­ mod_sslÀ» ÀÌ¿ëÇÏ¿© ÀÎÁõ¼­ »ç¿ëÇϱâ
3.1.2. IMAPS¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.1.3. POPS¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.1.4. Postfix¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.1.5. Stunnel¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.1.6. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® Å° °ü¸®ÀÚ(Microsoft Key Manager)·Î Å° »ý¼ºÇÏ°í ¼­¸íÇϱâ
3.2. E-mail º¸¾È
3.2.1. S/MIME ÀÎÁõ¼­ »ý¼º°ú »ç¿ë
3.2.2. MS Outlook¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.2.3. MS Outlook Express¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.2.4. Netscape Messenger¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.2.5. Evolution¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.2.6. Balsa¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.2.7. KMail¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ
3.3. ÆÄÀÏ º¸¾ÈSecuring Files
3.3.1. WinCrypt
3.4. µðÁöÅÐ ÄÚµå ÀÎÁõ¼­
3.4.1. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÄÚµå
3.5. IPSec
3.5.1. FreeS/WAN
3.5.1.1. FreeS/WAN °ÔÀÌÆ®¿þÀÌ ¸Ó½Å
3.5.1.2. FreeS/WAN Ŭ¶óÀ̾ðÆ®
3.5.1.3. MS À©µµ¿ì 2000/XP Ŭ¶óÀ̾ðÆ® ¸Ó½Å
4. ±Û·Î¹ú PKI
4.1. ÇöÀç ¿î¿µµÇ°í ÀÖ´Â PKI
4.2. ±Û·Î¹ú PKIÀÇ Çʿ伺

1Chapter. ÀϹÝÀûÀÎ ±Û

1.1. ¼Ò°³

ÀÌ ±ÛÀ» Àд µ¶ÀÚµéÀº ¾Æ¸¶ ÇÊÀÚó·³ OpenSSL ÇÁ·ÎÁ§Æ®¿¡ ÀÖ´Â ¸Þ´º¾óÀ» ¶Õ¾îÁö°Ô Àо¾ÒÀ¸¸®¶ó »ý°¢µÈ´Ù. ±×¸®°í ¾Æ¸¶ ÇÊÀÚó·³ ÀÐ°í³ª¼­µµ ¹¹ºÎÅÍ ½ÃÀÛÇؾߵÉÁö, ¾î¶»°Ô ÀÎÁõ¼­¸¦ ´Ù·ï¾ßµÉÁö Çò°¥·ÈÀ» °ÍÀ¸·Î »ý°¢µÈ´Ù. ÀÌ ¹®¼­´Â ±×·± ¿©·¯ºÐµé¿¡°Ô ÁÁÀº ÇØ´äÀÌ µÉ °ÍÀÌ´Ù.

ÀÌ HOWTO ¹®¼­¿¡¼­´Â ºñ ¸®´ª½º ȯ°æÀÇ ÀÀ¿ëÇÁ·Î±×·¥µéµµ ´Ù·ç°í ÀÖ´Ù: ¸¸¾à ¸®´ª½º¿¡¼­¸¸ ÀÎÁõ¼­¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù¸é ÀÌ ±ÛÀ» ÀÐÀ» ÇÊ¿äµµ ¾øÀ» °ÍÀÌ´Ù... ¸ðµç OS, ÀÀ¿ëÇÁ·Î±×·¥µéÀ» ´Ù·ç±â´Â Èûµé°ÚÁö¸¸, ÃÖ´ëÇÑ ¾ð±ÞÇÒ ¿¹Á¤ÀÌ´Ù. ¸¸¾à ÇÊÀÚ¿¡°Ô ÇØÁÙ Á¶¾ðÀ̳ª ¼öÁ¤»çÇ×ÀÌ ÀÖ´Ù¸é franck@sopac.org·Î e-mailÀ» º¸³»Áֱ⠹ٶõ´Ù.

ÀÌ HOWTO ¹®¼­´Â ¸®´ª½º ¹®¼­È­ ÇÁ·ÎÁ§Æ®(The Linux Documentation Project)¿¡ ¹ß°£µÈ ¹®¼­ÀÌ´Ù. ÃֽŠ¹öÀüÀº ÀÌ »çÀÌÆ®¿¡ ¿Ã¶ó¿Ã °ÍÀÌ´Ù.


1.1.1. ¶óÀ̼¾½º

ÀÌ ¹®¼­´Â ¾î¶°ÇÑ ¹æ¹ýÀ¸·Î ¹èÆ÷Çصµ ¹«¹æÇÏ´Ù. ´Ü, ¹®¼­¿¡ ´ëÇØ ¾î¶°ÇÑ º¸Áõµµ ÇÒ ¼ö ¾ø´Ù; »ó¿ë ¸ñÀû¿¡ ´ëÇÑ °ÍÀº ´õ´õ¿í ÇÒ ¼ö ¾ø´Ù.

°£´ÜÈ÷ ¸»Çؼ­, ¸¸¾à ¿©·¯ºÐÀÌ ÀÌ ¹®¼­¸¦ ÂüÁ¶ÇÏ´Ù »ó¿ë ÇÁ·Î±×·¥ÀÌ ¸Á°¡Áö¸é ¿©·¯ºÐÀÌ Ã¥ÀÓÀ» Á®¾ß ÇÑ´Ù. ÇÊÀÚ´Â ÀÌ¿¡ ´ëÇÑ ¾î¶°ÇÑ Ã¥ÀÓµµ ¾ø´Ù.

Copyright (c) 2001 by Franck Martin and others from the openssl-users mailing list under GFDL (the GNU Free Documentation License).

Please freely copy and distribute (sell or give away) this document in any format. It's requested that corrections and/or comments be forwarded to the document maintainer. You may create a derivative work and distribute it provided that you:

  1. Send your derivative work (in the most suitable format such as sgml) to the LDP (Linux Documentation Project) or the like for posting on the Internet. If not the LDP, then let the LDP know where it is available.

  2. License the derivative work with this same license or use GPL. Include a copyright notice and at least a pointer to the license used.

  3. ÀÌ ¹®¼­¿¡ ´ëÇÑ ±Ç¸®´Â ÇöÀç ÇÊÀÚ »Ó¸¸ ¾Æ´Ï¶ó, ÀÌÀü ÇÊÀÚ¿Í Å« °øÇåÀ» ÇÑ »ç¶÷µéÀÌ °°ÀÌ °¡Áö°í ÀÖ´Ù. ¸¸¾à ¹ø¿ª ¿ÜÀÇ ¹®¼­ ³»¿ë¸é¿¡¼­ °øÇåÇÒ °ÍÀÌ ÀÖ´Ù¸é ÇöÀç ÇÊÀÚ¿¡°Ô ¿¬¶ôÇØ Áֱ⠹ٶõ´Ù.

¸¸¾à ÀÌ HOWTO¸¦ Á¦º»ÇÒ °èȹÀÌ ÀÖ´Ù¸é ÇÊÀÚ¿¡°Ô ¸®ºä ¸ñÀûÀ¸·Î »ùÇà ÇѺθ¦ º¸³»ÁÖ¸é °¨»çÇÏ°Ú´Ù. :-) ±âŸ ¾î¶°ÇÑ Á¶¾ð µîµµ °¨»çÈ÷ ¹Þ°Ú´Ù. ;-)


1.1.2. ±âº» Áö½Ä

¼­·Ð¿¡¼­ ¼Ò°³Çß´Ù½ÃÇÇ, ÀÌ ¹®¼­´Â OpenSSL ¸Þ´º¾óÀ» Àо »ç¶÷µé ±âÁØÀ¸·Î ¸¸µé¾îÁ³´Ù. ¸¸¾à ¿©·¯ºÐÀÌ OpenSSL ³»ÀÇ ¸Þ´º¾óÀ» º¸Áö ¾Ê¾Ò´Ù¸é ±×°ÍºÎÅÍ º¸±æ ±ÇÇÑ´Ù. Ȥ¿© º¸¾È¿¡ ´ëÇÑ ±âÃÊÁö½ÄÀ» ¸ð¸¥´Ù¸é, º¸¾È °ü·Ã Ã¥ÀÚ¸¦ ÇÑ±Ç »çº¸±æ ±ÇÇÑ´Ù. ÀÎÁõ¼­¸¦ Á¦´ë·Î È°¿ëÇϱâ À§Çؼ­´Â ÀÌ·¯ÇÑ Áö½ÄÀÌ ¹ÙÅÁÀÌ µÇ¾î¾ß ÇÑ´Ù. º¸¾ÈÀ» °­È­Çϱâ À§ÇØ ¾î¶² Á¶Ä¡¸¦ ÇؾßÇÏ´ÂÁö, OpenSSLÀÌ ¾î¶² ±â´ÉÀ» Á¦°øÇÒ ¼ö ÀÖ°í ±×·¸Áö ¸øÇÑÁö¸¦ ¸ð¸¥´Ù¸é ÀÌ ¹®¼­¸¸ °¡Áö°í´Â ¾Æ¹« °Íµµ ÇÒ ¼ö ¾øÀ» °ÍÀÌ´Ù.


1.2. SSLÀº ¹¹°í, ÀÎÁõ¼­´Â ¹º°¡?

Secure Socket Layer(SSL) ÇÁ·ÎÅäÄÝÀº ³Ý½ºÄÉÀÌÇÁ»ç¿¡¼­ À¥¼­¹ö¿Í ºê¶ó¿ìÀú °£ÀÇ º¸¾È Åë½ÅÀ» À§ÇØ ¸¸µé¾îÁ³´Ù. SSLÀº Åë½ÅÇÒ ¶§ ÀÎÁõ±â°ü(Certificate Authority, CA)¶ó´Â °ÍÀ» ÀÌ¿ëÇؼ­ ¼­·Î ÀνÄÇÏ°Ô²û µÇ¾î ÀÖ´Ù. ÀÌ °úÁ¤À» °£´ÜÇÏ°Ô ¼³¸íÇÏ¸é ´ÙÀ½°ú °°´Ù.

  1. [À¥ºê¶ó¿ìÀú] º¸¾È ÆäÀÌÁö¸¦ ¿äûÇÑ´Ù. (ÀϹÝÀûÀ¸·Î ÁÖ¼Ò¿¡ https:// ¶ó°í ºÙ´Â´Ù).

  2. [À¥¼­¹ö] ÀÚ½ÅÀÇ °ø°³Å°¸¦ ÀÎÁõ¼­¿Í ÇÔ²² À¥ºê¶ó¿ìÀú·Î º¸³½´Ù.

  3. [À¥ºê¶ó¿ìÀú] À¥¼­¹öÀÇ ÀÎÁõ¼­°¡ ½Å·ÚÇÒ ¼ö ÀÖ´Â Á¦3ÀÚ(½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ±â°ü,Trusted root CA)¿¡°Ô ¼­¸íµÇ¾ú´ÂÁö È®ÀÎÇÑ´Ù. ±×¸®°í ÀÎÁõ¼­°¡ ¾ÆÁ÷ À¯È¿ÇÑÁö, ±×¸®°í Á¢¼ÓÇÏ·Á´Â »çÀÌÆ®¿Í ¿¬°üµÇ¾î ÀÖ´ÂÁö ÃÖÁ¾ È®ÀÎÇÑ´Ù.

  4. [À¥ºê¶ó¿ìÀú] ÃÖÁ¾ È®ÀÎÀÌ µÇ¾úÀ¸¸é À¥ºê¶ó¿ìÀú´Â ´ëĪ ¾ÏȣȭŰ(´ëĪŰ)¸¦ »ý¼ºÇؼ­ À¥¼­¹öÀÇ °ø°³Å°·Î ¾ÏȣȭÇÑ ÈÄ ¼Û½ÅÇÑ´Ù. URLÀ̳ª ±âŸ HTTP µ¥ÀÌÅÍ´Â ¹æ±Ý »ý¼ºÇÑ ´ëĪ۸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭÇÑ ÈÄ À¥¼­¹ö·Î Àü¼ÛÇÑ´Ù.

  5. [À¥¼­¹ö] ÀÚ½ÅÀÇ °³ÀÎÅ°¸¦ ÀÌ¿ëÇؼ­ ¼ö½ÅÇÑ ´ëĪŰÀÇ ¾ÏÈ£¸¦ Ç®°í, ÀÌ°ÍÀ» ÀÌ¿ëÇؼ­ ³ª¸ÓÁö URLÀ̳ª ±âŸ HTTP µ¥ÀÌÅÍÀÇ ¾ÏÈ£¸¦ Ǭ´Ù.

  6. [À¥¼­¹ö] ó¸® °á°ú(HTML¹®¼­+HTTPµ¥ÀÌÅÍ)¸¦ ´ëĪ۸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭÇÑ ÈÄ À¥ºê¶ó¿ìÀú·Î Àü¼ÛÇÑ´Ù.

  7. [À¥ºê¶ó¿ìÀú] ´ëĪ۸¦ ÀÌ¿ëÇؼ­ HTTPµ¥ÀÌÅÍ¿Í HTML¹®¼­ÀÇ ¾ÏÈ£¸¦ Ç®°í È­¸é¿¡ Ãâ·ÂÇÑ´Ù.

À§ °³³äÀº SSLÀÇ ±âº» µ¿ÀÛ ¿ø¸®À̹ǷΠ¹Ýµå½Ã ÀÌÇØÇÏ°í ³Ñ¾î°¡¾ß ÇÑ´Ù. ´ÙÀ½ Àå¿¡¼­ °¢ ¿ë¾î¿¡ ´ëÇØ ÀÚ¼¼È÷ ¼³¸íÇÒ °ÍÀÌ´Ù.


1.2.1. Private Key/Public Key:°³ÀÎÅ°/°ø°³Å°

°³ÀÎÅ°/°ø°³Å° ¾ÏÈ£ÀÇ °¡Àå Å« Ư¡Àº ÇϳªÀÇ Å°·Î ¾Ïȣȭ¸¦ Çϸé, ÇØ´çµÇ´Â ½ÖÀÇ ´Ù¸¥ Å°·Î¸¸ Ç® ¼ö ÀÖ´Â Á¡ÀÌ´Ù. ¿¹¸¦ µé¾î AÅ°¿Í BÅ°°¡ ÇϳªÀÇ ½ÖÀ̶ó¸é, AÅ°·Î ¾Ïȣȭ¸¦ Çϸé BÅ°·Î¸¸ Ç® ¼ö ÀÖÀ¸¸ç, BÅ°·Î ¾Ïȣȭ¸¦ Çϸé AÅ°·Î¸¸ Ç® ¼ö ÀÖ´Ù. ÀÌ Æ¯Â¡ÀÌ ÀÌÇØÇϱ⠾î·Á¿ï ¼öµµ ÀÖÁö¸¸, ÀÏ´Ü ±×·¸´Ù°í ¾Ï±âÇÏ´Â °ÍÀÌ ÁÁ´Ù. ÀÌ·¯ÇÑ Å°´Â ¼Ò¼ö(Prime numbers)¸¦ ±â¹ÝÀ¸·Î »ý¼ºµÇ¸ç, ±× ±æÀÌ(bit´ÜÀ§)°¡ ±æ¼ö·Ï ¾ÏȣȭÀÇ °­µµ°¡ ½êÁø´Ù. °³ÀÎÅ°/°ø°³Å°´Â ÀÌ·¯ÇÑ ÀÌ·ÐÀ» ¹ÙÅÁÀ¸·Î ¾à°£ ÀÀ¿ëÇÑ ±â¹ýÀÌ´Ù. ÇϳªÀÇ Å°´Â ºñ¹Ð·Î °£Á÷ÇÏ°í, ´Ù¸¥ Å°´Â ¸ðµÎ¿¡°Ô °ø°³ÇÑ´Ù. ±×·¸°ÔÇÏ¸é ´Ù¸¥ »ç¶÷µéÀÌ ¿©·¯ºÐ¿¡°Ô ¸Þ½ÃÁö¸¦ º¸³¾ ¶§ °ø°³Å°¸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭµÈ ¸Þ½ÃÁö¸¦ º¸³¾ ¼ö ÀÖ´Ù. ÀÌ ¸Þ½ÃÁö´Â ºñ¹ÐÅ°¸¦ °¡Áö°í ÀÖ´Â, ¿©·¯ºÐ È¥ÀÚ¸¸ÀÌ Ç® ¼ö ÀÖ´Ù. ±×·¸´Ù¸é ¹Ý´ëÀÇ °æ¿ì¿£ ¾î¶»°Ô µÉ±î? ¸Þ½ÃÁö¸¦ °³ÀÎÅ°·Î ¾ÏȣȭÇؼ­ º¸³½´Ù¸é ¾î¶»°Ô µÉ±î? ÀÌ °æ¿ì¿¡´Â ¸ðµç »ç¶÷ÀÌ ¸Þ½ÃÁö¸¦ ¿­¾îº¼ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÇÏÁö¸¸ ƯÁ¤ °³ÀÎÅ°¸¦ °¡Áö°í ¾ÏȣȭÇß´Ù´Â °ÍÀÌ Áõ¸íµÇ±â ¶§¹®¿¡, ƯÁ¤ÀÎÀÌ º¸³½ ¸Þ½ÃÁö¶ó´Â °ÍÀ» Áõ¸íÇÒ ¼ö ÀÖ´Ù. ÁÖÀÇÇؾßÇÒ Á¡Àº ¸Þ½ÃÁö¸¦ º¸³½ »ç¶÷ÀÌ ´©±¸¶ó´Â °ÍÀ» Áõ¸íÇÒ »ÓÀÌÁö, ¸Þ½ÃÁö ÀÚü´Â ¸ðµç »ç¶÷ÀÌ ¿­¾îº¼ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù!

ÀÌÁ¦ ¼­·Î °£¿¡ °ø°³Å°¸¦ ÁÖ°í¹Þ±â¸¸ ÇÏ¸é µÈ´Ù. ±×³É »ó´ë¹æ¿¡°Ô °ø°³Å°¸¦ º¸³»´Þ¶ó°í¸¸ ÇÏÀÚ. ¾îÂ¥ÇÇ °ø°³µÇ¾îµµ ¹«¹æÇÑ Å°À̱⠶§¹®¿¡ º°´Ù¸¥ º¸¾ÈÀåÄ¡ ÇÊ¿ä¾øÀÌ ÀÎÁõ¼­¿Í ÇÔ²² Àü¼ÛÇÏ¸é µÈ´Ù.

Æò¹®-->[°ø°³Å°]-->¾ÏȣȭµÈ ¸Þ½ÃÁö-->[°³ÀÎÅ°]-->Æò¹®

1.2.2. ÀÎÁõ¼­

ÀÚ. ¾Õ¿¡¼­ °³ÀÎÅ°/°ø°³Å° ±â¹ýÀ» ÀÍÇûÀ¸´Ï ±×°ÍÀ» Àû¿ëÇϱ⸸ ÇÏ¸é µÈ´Ù. ÇÏÁö¸¸ Àß »ý°¢Çغ¸¸é ¹º°¡ ¹®Á¦°¡ ÀÖ´Ù´Â °ÍÀ» ±ú´ÞÀ» ¼ö ÀÖÀ» °ÍÀÌ´Ù. ³»°¡ ¹ÞÀº °ø°³Å°°¡ ±× »ç¶÷(¶Ç´Â À¥»çÀÌÆ®)ÀÇ °ÍÀ̶ó´Â °ÍÀ» ¾î¶»°Ô ¾Ë ¼ö ÀÖÀ»±î? Ȥ½Ã Á¦3ÀÚ°¡ »ó´ë¹æÀ» °¡ÀåÇؼ­ º¸³½ °ÍÀÌ ¾Æ´Ò±î? À̸¦ È®ÀÎÇϱâ À§ÇØ ÀÏÀÏÈ÷ Á÷Á¢ »ó´ë¹æÀ» ã¾Æ°¡ º¼ ¼öµµ ¾ø´Â ³ë¸©ÀÌ´Ù. À̸¦ ÇØ°áÇϱâ À§Çؼ­ ¸ðµç »ç¶÷ÀÌ ¹ÏÀ» ¼ö ÀÖ´Â Á¦ 3ÀÚ°¡ ³ª¼­°Ô µÈ´Ù. ±× »ç¶÷ÀÇ ÀÎÁõ¼­´Â ³Ê¹«³ªµµ À¯¸íÇؼ­ ±âº»ÀûÀ¸·Î ¸ðµç »ç¶÷ÀÌ ¾Ë°í ÀÖ´Ù°í Çغ¸ÀÚ. ±× »ç¶÷Àº ƯÁ¤ Å°°¡ ±× »ç¶÷ÀÇ °ÍÀ̶ó´Â ¼­¸íÇÑ ÀÎÁõ¼­¸¦ ¹ß±ÞÇÑ´Ù. ¿©±â¿¡´Â E-mail ÁÖ¼Ò, ¼ÒÀ¯ÀÚÀÇ À̸§, ÀÎÁõ¼­ »ç¿ë ¿ëµµ, À¯È¿±â°£, À§Ä¡, Common Name(CN, À¥»çÀÌÆ® ÁÖ¼Ò³ª E-mail ÁÖ¼Ò), ÀÎÁõ¼­ID µîµîÀÇ Á¤º¸°¡ ÀúÀåµÇ¾î ÀÖ´Ù. ±×¸®°í ¸¶Áö¸·À¸·Î ÀÌ Á¤º¸¸¦ °ø°³Å°¿Í °ø°³Å°ÀÇ Çؽ¬°ª°ú °°ÀÌ ÀúÀåÇؼ­ ÀÎÁõ¼­¸¦ ¸¸µç´Ù. ÀÌ·¯ÇÑ °³³äÀº ½Å·ÚÇÏ°í ÀÖ´Â »ç¶÷ÀÌ ¼­¸íÇÑ ÀÎÁõ¼­ ¿ª½Ã ½Å·ÚÇÒ ¼ö ÀÖ´Ù´Â »ý°¢À» ÀüÁ¦·Î ÇÑ °ÍÀÌ´Ù. ÀÌ·± ½Å·Ú °ü°è°¡ Æ®¸® ÇüÅ·ΠÇü¼ºµÇ¾î Á¡Á¡ ºÒ¾î³­´Ù. À¥ºê¶ó¿ìÀúÀÇ °æ¿ì¸¦ »ìÆ캸ÀÚ. ½Å·ÚÇÒ ¼ö ÀÖ´Â Á¦ 3ÀÚÀÇ ÀÎÁõ¼­´Â ÀÎÁõ±â°ü(Certification Authorities, CA), ¶Ç´Â ·çÆ® ÀÎÁõ±â°ü(Root CA)À̶ó°í ºÒ¸®¸ç, ºê¶ó¿ìÀú¼Ó¿¡ ±âº»ÀûÀ¸·Î ³»ÀåµÇ¾î ÀÖ´Ù. ÀÌ·¯ÇÑ CA´Â ÀÎÁõ¼­³ª ÀÎÁõ öȸµÈ ÀÎÁõ¼­ ¸ñ·ÏÀ» Àü¹®ÀûÀ¸·Î °ü¸®ÇÏ´Â ±â°üÀÌ´Ù. CA°¡ ¼­¸íÇÑ ÀÎÁõ¼­´Â Á¶±ÝÀÌ¶óµµ º¯°æµÇ¸é ¼­¸íÀÌ ±úÁö±â ¶§¹®¿¡ ¾ÈÀüÇÏ´Ù. ÀÎÁõ¼­¸¦ ¼­¸íÇÒ ¶§ ÀÚ½ÅÀÇ °³ÀÎÅ°·Î ¼­¸íÇÒ ¼öµµ ÀÖ´Ù. ÀÌ·¯ÇÑ ÀÎÁõ¼­´Â ÀÚü ¼­¸í ÀÎÁõ¼­(Self signed certificate)¶ó°í ºÒ¸°´Ù. ¸ðµç ·çÆ® ÀÎÁõ±â°üÀÇ ÀÎÁõ¼­´Â ÀÚü ¼­¸íµÇ¾î ÀÖ´Ù.

Certificate: 
    Data: 
        Version: 3 (0x2) 
        Serial Number: 1 (0x1) 
        Signature Algorithm: md5WithRSAEncryption 
        Issuer: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root CA/Email=administrator@sopac.org 
        Validity 
            Not Before: Nov 20 05:47:44 2001 GMT 
            Not After : Nov 20 05:47:44 2002 GMT 
        Subject: C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=www.sopac.org/Email=administrator@sopac.org 
        Subject Public Key Info: 
            Public Key Algorithm: rsaEncryption  
            RSA Public Key: (1024 bit) 
                Modulus (1024 bit): 
                    00:ba:54:2c:ab:88:74:aa:6b:35:a5:a9:c1:d0:5a: 
                    9b:fb:6b:b5:71:bc:ef:d3:ab:15:cc:5b:75:73:36: 
                    b8:01:d1:59:3f:c1:88:c0:33:91:04:f1:bf:1a:b4: 
                    7a:c8:39:c2:89:1f:87:0f:91:19:81:09:46:0c:86: 
                    08:d8:75:c4:6f:5a:98:4a:f9:f8:f7:38:24:fc:bd: 
                    94:24:37:ab:f1:1c:d8:91:ee:fb:1b:9f:88:ba:25: 
                    da:f6:21:7f:04:32:35:17:3d:36:1c:fb:b7:32:9e: 
                    42:af:77:b6:25:1c:59:69:af:be:00:a1:f8:b0:1a: 
                    6c:14:e2:ae:62:e7:6b:30:e9 
                Exponent: 65537 (0x10001) 
         X509v3 extensions: 
             X509v3 Basic Constraints: 
                 CA:FALSE 
             Netscape Comment: 
                 OpenSSL Generated Certificate
             X509v3 Subject Key Identifier:
                 FE:04:46:ED:A0:15:BE:C1:4B:59:03:F8:2D:0D:ED:2A:E0:ED:F9:2F 
             X509v3 Authority Key Identifier:
                 keyid:E6:12:7C:3D:A1:02:E5:BA:1F:DA:9E:37:BE:E3:45:3E:9B:AE:E5:A6 
                 DirName:/C=FJ/ST=Fiji/L=Suva/O=SOPAC/OU=ICT/CN=SOPAC Root CA/Email=administrator@sopac.org 
                 serial:00
    Signature Algorithm: md5WithRSAEncryption
        34:8d:fb:65:0b:85:5b:e2:44:09:f0:55:31:3b:29:2b:f4:fd: 
        aa:5f:db:b8:11:1a:c6:ab:33:67:59:c1:04:de:34:df:08:57: 
        2e:c6:60:dc:f7:d4:e2:f1:73:97:57:23:50:02:63:fc:78:96: 
        34:b3:ca:c4:1b:c5:4c:c8:16:69:bb:9c:4a:7e:00:19:48:62: 
        e2:51:ab:3a:fa:fd:88:cd:e0:9d:ef:67:50:da:fe:4b:13:c5: 
        0c:8c:fc:ad:6e:b5:ee:40:e3:fd:34:10:9f:ad:34:bd:db:06: 
        ed:09:3d:f2:a6:81:22:63:16:dc:ae:33:0c:70:fd:0a:6c:af:
        bc:5a 
-----BEGIN CERTIFICATE----- 
MIIDoTCCAwqgAwIBAgIBATANBgkqhkiG9w0BAQQFADCBiTELMAkGA1UEBhMCRkox 
DTALBgNVBAgTBEZpamkxDTALBgNVBAcTBFN1dmExDjAMBgNVBAoTBVNPUEFDMQww 
CgYDVQQLEwNJQ1QxFjAUBgNVBAMTDVNPUEFDIFJvb3QgQ0ExJjAkBgkqhkiG9w0B 
CQEWF2FkbWluaXN0cmF0b3JAc29wYWMub3JnMB4XDTAxMTEyMDA1NDc0NFoXDTAy 
MTEyMDA1NDc0NFowgYkxCzAJBgNVBAYTAkZKMQ0wCwYDVQQIEwRGaWppMQ0wCwYD 
VQQHEwRTdXZhMQ4wDAYDVQQKEwVTT1BBQzEMMAoGA1UECxMDSUNUMRYwFAYDVQQD 
Ew13d3cuc29wYWMub3JnMSYwJAYJKoZIhvcNAQkBFhdhZG1pbmlzdHJhdG9yQHNv 
cGFjLm9yZzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAulQsq4h0qms1panB 
0Fqb+2u1cbzv06sVzFt1cza4AdFZP8GIwDORBPG/GrR6yDnCiR+HD5EZgQlGDIYI 
2HXEb1qYSvn49zgk/L2UJDer8RzYke77G5+IuiXa9iF/BDI1Fz02HPu3Mp5Cr3e2 
JRxZaa++AKH4sBpsFOKuYudrMOkCAwEAAaOCARUwggERMAkGA1UdEwQCMAAwLAYJ 
YIZIAYb4QgENBB8WHU9wZW5TU0wgR2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1Ud
DgQWBBT+BEbtoBW+wUtZA/gtDe0q4O35LzCBtgYDVR0jBIGuMIGrgBTmEnw9oQLl 
uh/anje+40U+m67lpqGBj6SBjDCBiTELMAkGA1UEBhMCRkoxDTALBgNVBAgTBEZp 
amkxDTALBgNVBAcTBFN1dmExDjAMBgNVBAoTBVNPUEFDMQwwCgYDVQQLEwNJQ1Qx 
FjAUBgNVBAMTDVNPUEFDIFJvb3QgQ0ExJjAkBgkqhkiG9w0BCQEWF2FkbWluaXN0 
cmF0b3JAc29wYWMub3JnggEAMA0GCSqGSIb3DQEBBAUAA4GBADSN+2ULhVviRAnw 
VTE7KSv0/apf27gRGsarM2dZwQTeNN8IVy7GYNz31OLxc5dXI1ACY/x4ljSzysQb 
xUzIFmm7nEp+ABlIYuJRqzr6/YjN4J3vZ1Da/ksTxQyM/K1ute5A4/00EJ+tNL3b 
Bu0JPfKmgSJjFtyuMwxw/Qpsr7xa
-----END CERTIFICATE-----

À§ ³»¿ëÀº ÀÎÁõ¼­ »ùÇÃÀÌ´Ù. À§¿¡¼­ º¼ ¼ö ÀÖ´Ù½ÃÇÇ ÀÎÁõ¼­´Â ¼­¸íÀÚÀÇ Á¤º¸, ÀÎÁõ¼­ ÁÖÀÎÀÇ °ø°³Å°, ÀÎÁõ¼­ À¯È¿±â°£, ÀÎÁõ¼­ ¼­¸í°ª µîÀ¸·Î ÀÌ·ç¾îÁ® ÀÖ´Ù. ºñ¹ÐÅ°´Â ÀÎÁõ¼­¿¡ µé¾î°¡ ÀÖÁö ¾ÊÀ¸¸ç, Àý´ë·Î µé¾î°¡¼­µµ ¾ÈµÇ°í ³ëÃâµÇ¾î¼­µµ ¾ÈµÈ´Ù. ÀÌ ÀÎÁõ¼­¸¦ °¡Áö°í ÀÎÁõ¼­ ÁÖÀο¡°Ô ¾ÏȣȭµÈ ¸Þ½ÃÁö¸¦ º¸³¾ ¼ö ÀÖÀ¸¸ç, ÀÎÁõ¼­ ÁÖÀÎÀÌ º¸³½ ¸Þ½ÃÁö°¡ ÁøÂ¥¶ó´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.


1.2.3. ´ëĪŰ

°ø°³Å° ±â¹Ý ¾Ïȣȭ ¾Ë°í¸®ÁòÀº Á¤¸» °­·ÂÇÑ ¾Ë°í¸®ÁòÀÌ´Ù. ÇÏÁö¸¸ ½ÇÀü¿¡¼­ ½á¸ÔÀ»·Á°í Çϸé Á» »ý°¢ÇغÁ¾ß ÇÑ´Ù. °ø°³Å° ±â¹Ý ¾Ïȣȭ ¾Ë°í¸®ÁòÀº ºñ´ëĪ ÇüÅÂÀ̱⠶§¹®¿¡ º¹È£È­¸¦ Çϱâ À§Çؼ­´Â ´Ù¸¥ Å°°¡ ¹Ýµå½Ã ÇÊ¿äÇÏ´Ù. ¾ÏȣȭÇÑ Å°·Î´Â ¾Ïȣȭ¸¸ °¡´ÉÇÒ »Ó, Ç® ¼ö°¡ ¾ø´Ù. ¹Ý¸é¿¡ ´ëĪŰ ±â¹Ý ¾Ë°í¸®ÁòÀº ÇϳªÀÇ Å°·Î ¾ÏȣȭÇÏ°í Çص¶ÇÑ´Ù. º¸¾È Ãø¸é¿¡¼­´Â Å°°¡ ³ëÃâµÉ °¡´É¼ºÀÌ ÀûÀº °ø°³Å° ±â¹Ý ¾Ïȣȭ ¾Ë°í¸®ÁòÀÌ ¾ÈÀüÇÏ´Ù. ÇÏÁö¸¸ °ø°³Å° ±â¹Ý ¾Ë°í¸®ÁòÀÇ ¹®Á¦Á¡Àº ³Ê¹« ´À¸®´Ù´Â °ÍÀÌ´Ù. ±×·¸´Ù¸é ¾ÈÀüÇÏ°í ¼Óµµµµ ºü¸¥ ¹æ¹ýÀº ¾øÀ»±î?

ÇØ°áÃ¥Àº ´ëĪ۸¦ °ø°³Å°·Î ¾ÏȣȭÇؼ­ Àü¼ÛÇÏ¸é µÈ´Ù. ¹°·Ð °³ÀÎÅ°´Â Àü¼ÛÇÒ ÇÊ¿äµµ ¾ø°í, Çؼ­µµ ¾ÈµÈ´Ù. ÀÌ·¸°Ô ÇÏ¸é ´ëĪŰ´Â ¼Û,¼ö½ÅÀÚ¸¸ ¾Ë¾Æº¼ ¼ö ÀÖ´Ù. ¿©±â¿¡´Ù ´ëĪ۸¦ ·£´ýÀ¸·Î »ý¼ºÇÏ´Â ±â´É±îÁö ³ÖÀ¸¸é Ȥ½Ã Çѹø ´©ÃâµÇ´õ¶óµµ ´ÙÀ½ Åë½ÅÇÒ ¶§´Â ´Ù¸¥ Å°¸¦ »ç¿ëÇϱ⠶§¹®¿¡ ¾ÈÀüÇÏ´Ù. ÀÌ·¸°Ô ´ëĪ۸¦ ¼Û½ÅÇÑ ÈÄ¿¡´Â ´ëĪ۸¦ °¡Áö°í ¾ÏȣȭÇؼ­ Åë½ÅÇÏ¸é µÈ´Ù.

´ëĪŰ-->[°ø°³Å°]-->¾ÏȣȭµÈ ´ëĪŰ-->[°³ÀÎÅ°]-->´ëĪŰ

1.2.4. ¾Ïȣȭ ¾Ë°í¸®Áò

¾Ïȣȭ ¾Ë°í¸®ÁòÀÇ Á¾·ù¿¡´Â ¿©·¯°¡Áö°¡ ÀÖ´Ù. Å©°Ô ´ëĪŰ/ºñ´ëĪŰ·Î ³ª´©±âµµ Çϸç, Å°ÀÇ ±æÀ̵µ ´Ù¾çÇÏ´Ù. ÀϹÝÀûÀ¸·Î ¾Ïȣȭ ¾Ë°í¸®ÁòÀº ƯÇã·Î µî·ÏÇÒ ¼ö ¾ø´Ù. ¿¹¿ÜÀûÀ¸·Î ¹Ì±¹¿¡¼­´Â ƯÇã µî·ÏÀÌ °¡´ÉÇϸç, ¹ýÀ¸·Î º¸È£¹ÞÀ» ¼ö ÀÖ´Ù. OpenSSLÀº ¾Ïȣȭ ¾Ë°í¸®ÁòÀÌ ±º¹ýÀ̳ª º¸¾È¹ý µî¿¡ À§¹èµÇÁö ¾Ê´Â ±¹°¡¿¡¼­ °³¹ßµÈ ÇÁ·Î±×·¥ÀÌ´Ù. ÀÌ·¸µí ¾Ë°í¸®ÁòÀÇ Á¾·ùµµ ¸¹°í, °¢ ±¹°¡¸¶´Ùµµ »ç¿ëÇÒ ¼ö ÀÖ´Â ¾Ë°í¸®ÁòÀÌ ´Ù¸£±â ¶§¹®¿¡ º»°ÝÀûÀÎ Åë½Å¿¡ ¾Õ¼­ ¾î¶² ¾Ë°í¸®ÁòÀ» ½á¼­ Åë½ÅÇؾßÇÒÁö °áÁ¤ÇØ¾ß ÇÑ´Ù. ÃʱâÈ­ °úÁ¤(Negotiation)¿¡¼­ À¥ºê¶ó¿ìÀú¿Í À¥¼­¹ö´Â ¼­·Î ¼±È£ÇÏ´Â ¾Ë°í¸®ÁòÀ» ÁÖ°í¹Þ´Â´Ù. ±×¸®°í »óÈ£°£¿¡ ÀÏÄ¡ÇÏ´Â ¾Ë°í¸®Áò Áß °¡Àå ¼±È£µµ°¡ ³ôÀº ¾Ë°í¸®ÁòÀ» ¼±ÅÃÇؼ­ Åë½ÅÇÑ´Ù. OpenSSLÀº ÄÄÆÄÀÏ ½Ã¿¡ ´Ù¾çÇÑ ¾Ë°í¸®ÁòÀ» ¼±ÅÃÇؼ­ ÄÄÆÄÀÏÇÒ ¼ö ÀÖÀ¸¹Ç·Î, °¢ ±¹°¡º°·Î ÀûÀýÇÑ ¿É¼ÇÀ» ¼±ÅÃÇؼ­ »ç¿ëÇÏ¸é µÈ´Ù.


1.2.5. Çؽ¬

Çؽ¬´Â Çؽ¬ ÇÔ¼ö¿¡ ÀÇÇؼ­ ¿¬»êµÈ °á°ú(¼ýÀÚ°ª)´Ù. ´Ü¹æÇâ ÇÔ¼ö¶ó°í ºÒ¸®±âµµ Çϴµ¥, ÀÌ´Â ÀÏ´Ü Çؽ¬°ªÀ» °¡Áö°í´Â ¿øº»À» º¹±¸ÇϱⰡ ºÒ°¡´ÉÇÏ°Ô ¸¸µé¾îÁ³±â ¶§¹®ÀÌ´Ù. Çؽ¬°ªÀº ¿øº»¿¡ Á¶±×¸¶ÇÑ º¯È­¸¸ »ý°Üµµ ¾öû³ª°Ô ¹Ù²î°í, ¿øº»À» Á¶ÀÛÇؼ­ ¿øº» Çؽ¬°ª°ú ¶È°°Àº °ªÀ» ¾ò±â°¡ °ÅÀÇ ºÒ°¡´ÉÇϵµ·Ï µÇ¾î ÀÖ´Ù. Çؽ¬´Â Message digest¶ó°í ºÒ¸®±âµµ ÇÑ´Ù. Çؽ¬´Â ÁÖ·Î Æнº¿öµå ¸ÞÄ¿´ÏÁò°ú ¿øº» ¸Þ½ÃÁö/ÆÄÀÏÀÇ ¼Õ»ó/Á¶ÀÛ À¯¹«¸¦ ÆľÇÇϴµ¥ À¯¿ëÇÏ°Ô ¾²ÀδÙ. Internet Enginering Task Force (IETF)¶ó´Â ´Üü¿¡¼­´Â ¿©·¯°¡Áö ±â¼úÀûÀÎ ÀÌÀ¯·Î SHA1À̳ª MD5 µîÀÇ Çؽ¬ ¾Ë°í¸®ÁòÀ» »ç¿ëÇÏ±æ ±ÇÀåÇÑ´Ù. (Âü°í : RFC2459 7.1.2 ¿Í 7.1.3)


1.2.6. ¼­¸í

¼­¸íÀº ¼­¸íÀÚ°¡ ƯÁ¤ ¸Þ½ÃÁöÀÇ ³»¿ëÀÌ º¯Á¶µÇÁö ¾Ê¾Ò´Ù´Â °ÍÀ» º¸ÁõÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù. (ÀϹÝÀûÀ¸·Î ¿©·¯ºÐÀÌ Æ¯Á¤ ¸Þ½ÃÁö¸¦ ÀÛ¼ºÇß´Ù´Â °ÍÀ» Áõ¸íÇϴµ¥ ¸¹ÀÌ ¾²ÀδÙ) ´Ü¼øÇÑ ÅؽºÆ® ¸Þ½ÃÁö¿¡ ¼­¸íÇÒ ¼öµµ ÀÖ°í, ÀÎÁõ¼­¿¡µµ ¼­¸íÇÒ ¼ö ÀÖ´Ù. ¼­¸íÇϱâ À§Çؼ­´Â ¿ì¼± ´ë»ó ¸Þ½ÃÁöÀÇ Çؽ¬°ªÀ» °è»êÇØ¾ß ÇÑ´Ù. ´ÙÀ½¿¡ ¿©·¯ºÐÀÇ °³ÀÎÅ°·Î Çؽ¬°ªÀ» ¾ÏȣȭÇÏ°í, ÀÌ Çؽ¬°ª°ú ¼­¸íµÈ ÀÎÁõ¼­, ¸Þ½ÃÁö¸¦ ÇÔ²² Àü¼ÛÇÏ¸é µÈ´Ù. ¼ö½ÅÃø¿¡¼­´Â °ø°³Å°¸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭµÈ Çؽ¬°ªÀ» Ǭ´Ù. ±×¸®°í ÀÚüÀûÀ¸·Î ¿øº» ¸Þ½ÃÁöÀÇ Çؽ¬°ªÀ» ´Ù½Ã »ý¼ºÇؼ­ ¼ö½ÅÇÑ Çؽ¬°ª°ú ºñ±³ÇÑ´Ù. ¸¸¾à ÀÏÄ¡ÇÏ¸é ¼­¸íÇÑ ³»¿ëÀÌ º¯Á¶µÇÁö ¾Ê¾Ò´Ù´Â °ÍÀ» ¶æÇϸç, ÀÏÄ¡ÇÏÁö ¾ÊÀ¸¸é ¼­¸í ÀÌÈÄ Àü´Þ °úÁ¤ Áß º¯Á¶µÈ °ÍÀÌ´Ù.

ÀÌ °úÁ¤¿¡¼­ ÀÎÁõ¼­µµ °°ÀÌ Àü´ÞµÇ±â ¶§¹®¿¡, ¼­¸íÀº ¿©·¯ºÐÀÇ °ø°³Å°¿Í ÀÎÁõ¼­¸¦ ÀüÆÄÇϴµ¥µµ È°¿ëÇÒ ¼ö ÀÖ´Ù.

¼­¸íÇÏ´Â ¹æ¹ýÀº Å©°Ô 2°¡Áö°¡ ÀÖ´Ù. ¸Þ½ÃÁö¸¦ Åë°·Î ÀÎÄÚµùÇؼ­ ¼­¸íÇÏ´Â ¹æ¹ýÀÌ ÀÖÀ¸¸ç, ¼­¸í°ú º°µµ·Î ¿øº» ¸Þ½ÃÁö¸¦ ÷ºÎÇÏ´Â ¹æ¹ýµµ ÀÖ´Ù. (ÀϹÝÀûÀ¸·Î ±¸ºÐ ±âÈ£¸¦ ÀÌ¿ëÇؼ­ ÷ºÎÇÑ´Ù) ù¹ø° ¹æ¹ýÀº ±âº»ÀûÀÎ ¾Ïȣȭ ¹æ¹ýÀ» ±×´ë·Î »ç¿ëÇÑ ÇüÅ´Ù. °ø°³Å°¸¦ ÀÌ¿ëÇؼ­ ¸Þ½ÃÁö¸¦ º¹È£È­ÇÏ¸é µÈ´Ù. ÀÌ ¹æ¹ýÀº ¹Ýµå½Ã º¹È£È­¸¦ ÇؾßÁö¸¸ ¸Þ½ÃÁö¸¦ ¿­¾îº¼ ¼ö ÀÖ´Ù. ¹Ý¸é¿¡ µÎ¹ø° ¹æ¹ýÀº º¹È£È­¸¦ ÇÏÁö ¾Ê¾Æµµ ¹Ù·Î ¸Þ½ÃÁö¸¦ Àо ¼ö ÀÖ´Ù. ¼ö½ÅÀÚµé Áß¿¡ ¾ÏÈ£¸¦ Ç® ¼ö ÀÖ´Â »ç¶÷ÀÌ Àû´Ù¸é µÎ¹ø° ¹æ¹ýÀ» »ç¿ëÇÏ´Â °ÍÀÌ ÁÁ´Ù.


1.2.7. ¾ÏÈ£¹®

“¾ÏÈ£¹®(Passphrase)Àº Æнº¿öµå(Password)ÀÇ È®ÀåÆÇÀÌ´Ù.”. ¿À·¡Àü¿¡ À¯´Ð½º ½Ã½ºÅÛ¿¡¼­ÀÇ Æнº¿öµå´Â ÃÖ´ë 8ÀÚ¸®·Î Á¦ÇѵǾî ÀÖ¾ú´Ù. ¾ÏÈ£¹®Àº ÀÌ·¯ÇÑ Á¦ÇÑÀÌ ¾ø´Ù. ¾ÏÈ£´Â ±æ¸é ±æ¼ö·Ï ±ú±â ¾î·Æ´Ù. Âü°í·Î ÃÖ±Ù À¯´Ð½º ½Ã½ºÅÛ¿¡¼­´Â MD5 Çؽ¬¸¦ »ç¿ëÇϱ⠶§¹®¿¡ Æнº¿öµåÀÇ Á¦ÇÑÀÌ ¾ø¾îÁ³´Ù.


1.2.8. Public Key Infrastructure

Public Key Infrastructure(PKI)´Â °ø°³Å° ±â¹Ý ¾Ë°í¸®ÁòÀ» ÀÌ¿ëÇÑ ÅëÇÕ º¸¾È ½Ã½ºÅÛÀÌ´Ù. PKI´Â ÀÎÁõ¼­¸¦ ¼­¸í/öȸÇÏ°í, öȸÀÎÁõ¼­ ¸®½ºÆ®¸¦ °ü¸®ÇÏ°í, °ø°³Å°¸¦ ¹èÆ÷ÇÏ´Â µî º¸¾È¿¡ ÇÊ¿äÇÑ ½Ã½ºÅÛ°ú µ¥ÀÌÅͺ£À̽º¸¦ °ü¸®ÇÏ´Â ¼ÒÇÁÆ®¿þ¾î¸¦ ¸»ÇÑ´Ù. ÀϹÝÀûÀ¸·Î °ø°³Å°¸¦ ¹èÆ÷ÇÒ ¶§´Â À¥»çÀÌÆ®³ª LDAP¼­¹ö¸¦ ÀÌ¿ëÇؼ­ ¹èÆ÷ÇÑ´Ù. ÀÌ·¯ÇÑ PKI´Â ´©±¸µçÁö ¸¸µé¾î¼­ °ü¸®ÇÒ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ¸î¸î ½Å¿ëÀÖ´Â ¾÷ü¿¡¼­ »ó¿ë PKI¸¦ ¸¸µé¾î¼­ ¿î¿µÇÏ°í ÀÖ´Ù. ÀÌ ¾÷üÀÇ PKI ÀÎÁõ¼­´Â ±âº»ÀûÀ¸·Î À¥ºê¶ó¿ìÀú³ª ÀÀ¿ë ÇÁ·Î±×·¥¿¡ ³»ÀåµÇ¾î ÀÖ´Ù. ±¸Ã¼ÀûÀ¸·Î E-mail º¸¾ÈÀ» À§Çؼ± ¾î¶»°Ô ÇؾßÇÏ´ÂÁö »ìÆ캸ÀÚ. »ó¿ë PKI¸¦ ÀÌ¿ëÇؼ­ E-mailµî¿¡ ¾²±â À§ÇÑ ¹ü¿ë ÀÎÁõ¼­¸¦ ¹ß±Þ¹Þ±â À§Çؼ­´Â ¹Ì±¹ µ·À¸·Î ¸ÞÀÏ ÁÖ¼Ò´ç ¿¬°£ ¾à $100¸¦ ÁöºÒÇØ¾ß ÇÑ´Ù. ÀÌ·¯ÇÑ ¾÷ü¿¡¼­´Â °ø°³Å°¸¦ ¹èÆ÷ÇÏÁö ¾Ê±â ¶§¹®¿¡, ¿©·¯ºÐÀÌ ¾î¶² »ç¶÷ÀÇ °ø°³Å°¸¦ ¾Ë°í ½Í´Ù¸é ±× »ç¶÷À¸·ÎºÎÅÍ ÀÎÁõ¼­(°ø°³Å°)¸¦ ¸ÞÀÏ µîÀ» ÅëÇØ ¹Þ´Â ¹æ¹ý ¹Û¿¡ ¾ø´Ù.


1.3. S/MimeÀº ¹«¾ùÀ» ÀǹÌÇÏ´ÂÁö? ±×¸®°í ´Ù¸¥ ÇÁ·ÎÅäÄݵéÀº?

SSLÀº ¿ø·¡ À¥¼­¹ö¿¡¼­ »ç¿ëÇϱâ À§ÇØ °³¹ßµÈ ÇÁ·ÎÅäÄÝÀÌ´Ù. SSLÀº ³×Æ®¿öÅ© °èÃþ ±¸Á¶·Î ¼³°èµÇ¾î Àֱ⠶§¹®¿¡ »óÀ§ °èÃþ¿¡ ¾î¶² ÇÁ·ÎÅäÄÝÀÌ ¿À´õ¶óµµ Àß ÀÛµ¿µÇµµ·Ï ¼³°èµÇ¾î ÀÖ´Ù. µû¶ó¼­ Á¶±Ý¸¸ ÀÀ¿ëÇÏ¸é ¿©·¯ ÇÁ·ÎÅäÄÝ¿¡µµ »ç¿ëÇÒ ¼ö ÀÖ´Ù. IMAP¿¡ SSLÀ» Àû¿ëÇؼ­ IMAPS°¡ µÇ¸ç, POP´Â POPS, SMTP´Â SMTPS µîÀ¸·Î ÀÀ¿ëÇؼ­ ¾µ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ º¸¾È ÇÁ·ÎÅäÄݵéÀº ±âÁ¸ÀÇ ÇÁ·ÎÅäÄÝ°ú È¥¶õÀ» ÇÇÇϱâ À§ÇØ ´Ù¸¥ Æ÷Æ®¸¦ »ç¿ëÇÑ´Ù. Æ®·£Àè¼Ç °°Àº ºÎºÐ¿¡µµ SSLÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù. SSLÀÌ ½Ç½Ã°£ Åë½Å¿¡¼­ »ç¿ëÇϱâ À§ÇÑ ÇÁ·ÎÅäÄÝÀ̶ó¸é, S/MimeÀº E-mail°ú °°Àº ºñ½Ç½Ã°£ ³×Æ®¿öÅ©¿¡¼­ º¸¾È Åë½ÅÀ» Çϱâ À§ÇÑ ÇÁ·ÎÅäÄÝÀÌ´Ù. ¼ö½ÅÀÚÀÇ °ø°³Å°¸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭÇϱ⠶§¹®¿¡ ¼ö½ÅÀÚ¸¸ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. À̶§ ¼ö½ÅÀÚÀÇ °ø°³Å°´Â ¿©·¯ºÐÀÌ ¾Ë¾Æ¼­ ±¸ÇØ¾ß ÇÑ´Ù. ¿©·¯ºÐ°ú ¼ö½ÅÀÚ´Â Ç×»ó ¿Â¶óÀÎ »óÅ°¡ ¾Æ´Ï±â ¶§¹®¿¡, °ø°³Å°¸¦ À¥»çÀÌÆ®³ª ÀúÀå¼Ò, ¶Ç´Â E-mail µîÀ» ÅëÇØ ¿äûÇؼ­ ¾ò¾î¿Í¾ß ÇÑ´Ù. (ÀϹÝÀûÀ¸·Î °ø°³Å° »Ó¸¸ ¾Æ´Ï¶ó ÀÎÁõ¼­±îÁö ¹Þ¾Æ¿Í¼­ ¼ö½ÅÀÚÀÇ ½Å¿øÀ» È®ÀÎÇÑ´Ù.)

¹Ý´ë·Î Ŭ¶óÀ̾ðÆ®¿¡¼­ ÀÎÁõ¼­¸¦ ¼Û½ÅÇÒ ¼öµµ ÀÖ´Ù. À¥ºê¶ó¿ìÀú°¡ À¥¼­¹ö¿¡°Ô ÀÎÁõÀ» ¹Þ±â À§ÇØ ÀÚ½ÅÀÇ ÀÎÁõ¼­¸¦ º¸³»°Ô µÈ´Ù. ÀÌ·¯ÇÑ À¥ºê¶ó¿ìÀú¿ë ÀÎÁõ¼­´Â CA À¥»çÀÌÆ®¿¡¼­ ¹ÞÀ» ¼ö ÀÖ´Ù. ÀÌ ÀÎÁõ¼­´Â CAÀÇ °³ÀÎÅ°·Î ¼­¸íµÇ¾îÀֱ⠶§¹®¿¡ º¯Á¶ÀÇ À§ÇèÀº °ÆÁ¤ÇÏÁö ¾Ê¾Æµµ µÈ´Ù.


2Chapter. ÀÎÁõ¼­ °ü¸®

2.1. ¼³Ä¡

ÃÖ±Ù¿¡´Â ¹èÆ÷º»ÀÇ ¹ß´Þ·Î OpenSSLÀ» ¸Å¿ì ½±°Ô ¼³Ä¡ÇÒ ¼ö ÀÖ´Ù: ´ëºÎºÐÀÇ ¹èÆ÷º»Àº ÆÐÅ°Áö °ü¸® ½Ã½ºÅÛÀ» °®Ãß°í ÀÖÀ¸¸ç, À̸¦ ÀÌ¿ëÇÏ¸é °£´ÜÇÏ°Ô ¼³Ä¡ÇÒ ¼ö ÀÖ´Ù. ÀÚ¼¼ÇÑ °ÍÀº ¹èÆ÷º»¿¡ µþ·ÁÀÖ´Â ¹®¼­³ª, OpenSSL Ÿºí(tarball) ÆÄÀÏÀÇ README, INSTALL ÆÄÀÏÀ» Àо±æ ±ÇÇÑ´Ù. ÀÌ HOWTO´Â ÀÎÁõ¼­¸¦ »ç¿ëÇÏ´Â ¹æ¹ý¿¡ °ü·ÃµÈ ³»¿ëÀ̱⠶§¹®¿¡, ¼³Ä¡¿Í °ü·ÃµÈ ³»¿ëÀº ¾ð±ÞÇÏÁö ¾Ê°Ú´Ù.

´ÙÀ½Àº ÇÊÀÚ°¡ ¼³Ä¡ÇÑ OpenSSL ¿É¼ÇµéÀÌ´Ù. ¿©·¯ºÐÀÇ ¼³Ä¡ ¹æ¹ýÀ̳ª ¹èÆ÷º»¿¡ µû¶ó ´Ù¼Ò Â÷ÀÌ°¡ ÀÖÀ» ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÀÌ HOWTO¿¡¼­´Â ÇÊÀÚÀÇ ¼³Á¤À» ±âÁØÀ¸·Î ¼³¸íÇÏ°Ú´Ù.

ÇÊÀÚÀÇ OpenSSL µð·ºÅ丮´Â /var/ssl/ ÀÌ´Ù. ÀÌÈÄ¿¡ ¼³¸íÇÒ OpenSSLÀÇ ¸ðµç ¸í·ÉÀº Àú °æ·Î¿¡ ±â¹ÝÇÑ´Ù. ¿©·¯ºÐÀº ±»ÀÌ Àú °æ·Î·Î ¼³Á¤ÇÏÁö ¾Ê¾Æµµ µÈ´Ù. ´ÜÁö ÇÊÀÚÀÇ ¼³Á¤ÀÌ ÀÌ·¸´Ù¶ó´Â °ÍÀ» ¾Ë°í ÀÖÀ¸¸é ¿¹Á¦¸¦ ÀÌÇØÇϴµ¥ µµ¿òÀÌ µÉ °ÍÀÌ´Ù.

OpenSSLÀº ±âº»ÀûÀ¸·Î /usr/lib/ssl/openssl.cnf ÆÄÀÏÀ» ¼³Á¤ÆÄÀÏ·Î »ç¿ëÇÑ´Ù. ¸¸¾à /etc/openssl.cnf¸¦ ¼³Á¤ÆÄÀÏ·Î ¾²°í ½Í´Ù¸é openssl ca ¸í·ÉÀ̳ª openssl req ¸í·É¿¡ -config /etc/openssl.cnf ¿É¼ÇÀ» Àû¾îÁà¾ß ÇÑ´Ù. ÇÊÀÚ´Â /etc/openssl.cnf ÆÄÀÏÀ» ºñ·ÔÇÑ ¸ðµç ¼³Á¤ÆÄÀÏÀ» /etc °æ·Î·Î »ç¿ëÇÑ´Ù.

´Ù¸¥ À¯Æ¿¸®Æ¼¶óµçÁö ¶óÀ̺귯¸®´Â /usr/lib/ssl ¿¡ ¼³Ä¡µÇ¾î ÀÖ´Ù.


2.1.1. CA.pl À¯Æ¿¸®Æ¼

ÀÏ´Ü CA.pl À¯Æ¿¸®Æ¼°¡ /usr/sbin °ú °°Àº ½ÇÇà°æ·Î¿¡ ÀÖ´ÂÁö È®ÀÎÇغÁ¾ß ÇÑ´Ù. ¿øº» ÆÄÀÏÀº /usr/lib/ssl µð·ºÅ丮¿¡¼­ ãÀ» ¼ö ÀÖ´Ù. CA.pl À¯Æ¿¸®Æ¼´Â opensslÀÇ º¹ÀâÇÑ ¸í·ÉÀ» ÁÙ¿©ÁÖ´Â À¯Æ¿¸®Æ¼´Ù. ÀÌ ¹®¼­¿¡¼­´Â CA.pl À¯Æ¿¸®Æ¼¸¦ »ç¿ëÇÏ´Â ¿¹Á¦¿¡´Â ¹Ýµå½Ã °°Àº ¿ªÇÒÀ» ÇÏ´Â openssl ¸í·ÉÀ» °°ÀÌ ¸í½ÃÇÒ °ÍÀÌ´Ù.

½ÇÇà°æ·Î¿¡ ÀÖ´Â °ÍÀ» È®ÀÎÇßÀ¸¸é /usr/sbin/CA.pl ÆÄÀÏÀ» ÆíÁýÇؼ­ ca¿Í req ¸í·É¿¡¼­ -config /etc/openssl.cnf ¿É¼ÇÀ» Æ÷ÇÔÇϵµ·Ï ¼öÁ¤ÇØ¾ß ÇÑ´Ù.

#$SSLEAY_CONFIG=$ENV{"SSLEAY_CONFIG"}; 
$SSLEAY_CONFIG="-config /etc/openssl.cnf"; 
#$CATOP="./demoCA"; 
$CATOP="/var/ssl";

2.1.2. openssl.cnf ÆÄÀÏ

/etc/openssl.cnf ÆÄÀÏ¿¡´Â OpenSSLÀÇ ±âº» ¼³Á¤ÀÌ µé¾îÀÖ´Ù. ±ÍÂúÀº ¿É¼ÇµéÀ» ÀÔ·ÂÇϱ⠽ȴٸé ÀÌ ÆÄÀÏÀ» ÆíÁýÇؼ­ ¿É¼ÇÀ» ÁÙÀÏ ¼ö ÀÖ´Ù.

#---½ÃÀÛ---
# 
# OpenSSL ¿¹Á¦ ¼³Á¤ ÆÄÀÏ
# ÀÎÁõ¿äû¼­(Certificate requests) »ý¼º Àü¿¡ ÀÌ ÆÄÀÏÀ» ¹Ýµå½Ã ¼öÁ¤ÇϽʽÿÀ.
#
RANDFILE  = $ENV::HOME/.rnd 
oid_file  = $ENV::HOME/.oid 
oid_section  = new_oids
# "openssl x509" À¯Æ¿¸®Æ¼¿¡¼­ "-extfile"¿É¼ÇÀ» »ç¿ëÇϱâ À§Çؼ­´Â
# ¾Æ·¡ ¶óÀÎÀÇ ÁÖ¼®À» Ç®°í ÇØ´ç ³»¿ëÀ» ÀÔ·ÂÇØ ÁֽʽÿÀ:
# extensions  = 
# (¼³Á¤ÆÄÀÏÀÇ ¸ÞÀÎ ¼½¼Ç¿¡ X.509v3 È®Àå¿É¼ÇÀ» ³Ö´Â °Í°ú À¯»çÇÑ ¿ªÇÒÀ» ÇÕ´Ï´Ù.)
[ new_oids ]
# 'ca'¿Í 'req'¸í·É¿¡¼­ ¾²ÀÌ´Â OID¸¦ ¿©±â¼­ Ãß°¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.
# ¾Æ·¡ÀÇ ¶óÀÎÀº °£´ÜÇÑ OID ¿¹Á¦ÀÔ´Ï´Ù: 
# testoid1=1.2.3.4 
# ´ÙÀ½Àº ġȯ ¹®¹ýÀ» ÀÌ¿ëÇÑ ¿¹Á¦ÀÔ´Ï´Ù: 
# testoid2=${testoid1}.5.6
#################################################################### 
[ ca ] 
default_ca = CA_default  # ±âº» CA ¼½¼Ç
#################################################################### 
[ CA_default ]
dir             = /var/ssl                # ¸ðµç ÀÚ·á°¡ ÀúÀåµÇ´Â °÷
certs           = $dir/certs              # ¼­¸íµÈ ÀÎÁõ¼­°¡ ÀúÀåµÇ´Â °÷
crl_dir         = $dir/crl                # ¼­¸íµÈ CRLÀÌ ÀúÀåµÇ´Â °÷
database        = $dir/index.txt          # µ¥ÀÌÅͺ£À̽º À妽º ÆÄÀÏ
new_certs_dir   = $dir/newcerts           # »õ ÀÎÁõ¼­°¡ ±âº»ÀûÀ¸·Î ÀúÀåµÇ´Â °ø°£
certificate     = $dir/cacert.pem         # CA ÀÎÁõ¼­ À§Ä¡
serial          = $dir/serial             # ÇöÀç ½Ã¸®¾ó³Ñ¹ö
crl             = $dir/crl.pem            # ÇöÀç CRL
private_key     = $dir/private/cakey.pem  # °³ÀÎÅ° À§Ä¡
RANDFILE        = $dir/private/.rand      # ³­¼ö »ý¼º¿¡ »ç¿ëµÇ´Â ÆÄÀÏ
x509_extensions = usr_cert                # ÀÎÁõ¼­¿¡ Ãß°¡µÉ È®Àå Çʵå
# CRL¿¡ ºÙ´Â È®Àå¿É¼ÇÀ» ¼³Á¤ÇÕ´Ï´Ù.
# ÁÖÀÇ: ³Ý½ºÄÉÀÌÇÁ Ä¿¹Â´ÏÄÉÀÌÅÍ´Â V2 CRL¿¡ ´ëÇØ ¿¡·¯°¡ ¹ß»ýÇÒ ¼ö ÀÖ½À´Ï´Ù.
# ¶§¹®¿¡ V1 CRLÀ» »ý¼ºÇϱâ À§ÇØ ÀÌ ¿É¼ÇÀº ±âº»ÀûÀ¸·Î ÁÖ¼®Ã³¸®µÇ¾î ÀÖ½À´Ï´Ù.
# crl_extensions = crl_ext
default_days    = 365                     # ÀÎÁõ¼­ À¯È¿±â°£
default_crl_days= 7                       # CRL À¯È¿±â°£
default_md      = sha1                    # »ç¿ëÇÒ Çؽ¬(md) ¾Ë°í¸®Áò
preserve        = no                      # keep passed DN ordering
# CAÀÇ ¿É¼Ç°ú ÀÎÁõ¿äû¼­ÀÇ ¿É¼Ç °£¿¡ Â÷ÀÌ°¡ ÀÖÀ¸¸é Á¦ÇÑÀ» °Ì´Ï´Ù.
# match¶ó°í ¼³Á¤µÈ °ÍÀº ¹Ýµå½Ã ÀÏÄ¡ÇؾßÇϸç, optional°ú supplied·Î ¼³Á¤Çϸé
# ÀÎÁõ¿äû¼­ÀÇ °ªÀÌ CA¿Í ´Þ¶óµµ Çã¿ëÇÕ´Ï´Ù. :-)
policy  = policy_match
# CA Á¤Ã¥À» À§ÇÑ ºÎºÐ
[ policy_match ] 
countryName            = match 
stateOrProvinceName    = optional 
localityName           = match 
organizationName       = match 
organizationalUnitName = optional 
commonName             = supplied 
emailAddress           = optional
# 'anything' Á¤Ã¥À» À§ÇÑ ºÎºÐ
# ÇÑ°³ÀÇ ¿É¼Çµµ ´©¶ô½ÃÅ°Áö ¸¶½Ê½Ã¿À.
[ policy_anything ] 
countryName            = optional 
stateOrProvinceName    = optional 
localityName           = optional 
organizationName       = optional 
organizationalUnitName = optional 
commonName             = supplied 
emailAddress           = optional
#################################################################### 
[ req ] 
default_bits       = 1024 
default_keyfile    = privkey.pem 
distinguished_name = req_distinguished_name 
attributes         = req_attributes 
default_md         = sha1
x509_extensions    = v3_ca # ÀÚü ¼­¸í ÀÎÁõ¼­¿¡ Ãß°¡µÉ È®Àå Çʵå
# °³ÀÎÅ° »ý¼º ½Ã Æнº¿öµå¸¦ ÀÔ·ÂÇÒ ¶§ È­¸é¿¡ Ãâ·ÂµÇÁö ¾Êµµ·Ï ¼³Á¤ÇÏ´Â ºÎºÐÀÔ´Ï´Ù.
# input_password = secret 
# output_password = secret
# ¾Æ·¡ÀÇ ¿É¼ÇÀ¸·Î ÀÔ·Â ¹®ÀÚ¸¦ Á¦¾îÇÒ ¼ö ÀÖ½À´Ï´Ù.
# ´ÙÀ½°ú °°Àº ¿É¼ÇÀ» »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
# default : PrintableString, T61String, BMPString. 
# pkix : PrintableString, BMPString. 
# utf8only : UTF8Strings Àü¿ë. 
# nombstr : PrintableString, T61String (BMPStrings, UTF8Strings ´Â ºÒ°¡). 
# MASK:XXXX a literal mask value. 
# °æ°í : ÇöÀç ¹öÀüÀÇ Netscape´Â BMPStrings À̳ª UTF8Strings ·Î ¼³Á¤µÇ¾î ÀÖÀ¸¸é
#        ¿¡·¯°¡ ¹ß»ýÇÕ´Ï´Ù. ÁÖÀÇÇؼ­ ¼³Á¤ÇØ ÁֽʽÿÀ.
string_mask = nombstr
# req_extensions = v3_req # ÀÎÁõ¿äû¼­¿¡ Ãß°¡µÉ È®Àå Çʵå
[ req_distinguished_name ] 
countryName         = Country Name (2 letter code) 
countryName_default = FJ 
countryName_min     = 2 
countryName_max     = 2
 
stateOrProvinceName         = State or Province Name (full name) 
stateOrProvinceName_default = Fiji
localityName          = Locality Name (eg, city) 
localityName_default  = Suva
0.organizationName         = Organization Name (eg, company) 
0.organizationName_default = SOPAC
# °æ¿ì¿¡ µû¶ó¼­ ¾Æ·¡¿Í °°ÀÌ ¼³Á¤ÇÒ ¼ö ÀÖ½À´Ï´Ù.
#1.organizationName         = Second Organization Name (eg, company) 
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName         = Organizational Unit Name (eg, section) 
organizationalUnitName_default = ITU
commonName       = Common Name (eg, YOUR name) 
commonName_max   = 64
emailAddress     = Email Address 
emailAddress_max = 40
# SET-ex3   = SET extension number 3
[ req_attributes ] 
challengePassword     = A challenge password 
challengePassword_min = 4 
challengePassword_max = 20
unstructuredName      = An optional company name
[ usr_cert ]
# 'ca'¸í·ÉÀ¸·Î ÀÎÁõ¼­¸¦ ¼­¸íÇÒ ¶§ Ãß°¡µÇ´Â È®Àå ÇʵåÀÔ´Ï´Ù.
# PKIX ±Ç°í»çÇ׿¡´Â À§¹èµÇÁö¸¸, ¸î¸î CA´Â ÀÌ ºÎºÐÀ» »ç¿ëÇÏ°í ÀÖÀ¸¸ç,
# ¸î¸î ¼ÒÇÁÆ®¿þ¾î¿¡¼­ ÀÌ ºÎºÐÀ» ÀÌ¿ëÇؼ­ CAÀÇ ÀÎÁõ¼­¿Í ÃÖÁ¾»ç¿ëÀÚÀÇ ÀÎÁõ¼­¸¦
# ±¸ºÐÇÏ°í ÀÖ½À´Ï´Ù.
basicConstraints=CA:FALSE
# ´ÙÀ½Àº nsCertType »ç¿ë ¿¹Á¦ÀÔ´Ï´Ù. ¾î¶°ÇÑ °Íµµ ¸í½ÃÇÏÁö ¾ÊÀ¸¸é
# ÄÚµå ¼­¸íÀ» Á¦¿ÜÇÑ ¸ðµç ¿ëµµ·Î »ç¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù.
# SSL ¼­¹ö¿ë ¼³Á¤
# nsCertType   = server
# ÄÚµå ¼­¸í¿ë ¼³Á¤
# nsCertType = objsign
# Ŭ¶óÀ̾ðÆ®¿ë ¼³Á¤
# nsCertType = client, email
# ¸ðµç ¿ëµµ·Î ¼³Á¤
# nsCertType = client, email, objsign
# ´ÙÀ½Àº Ŭ¶óÀ̾ðÆ® ÀÎÁõ¼­¿¡ ¾²ÀÌ´Â keyUsage »ç¿ë ¿¹Á¦ÀÔ´Ï´Ù.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# ´ÙÀ½Àº ³Ý½ºÄÉÀÌÇÁÀÇ ÁÖ¼® ºÎºÐ¿¡ Ç¥½ÃµÉ ³»¿ëÀÔ´Ï´Ù.
nsComment  = "Certificate issued by https://www.sopac.org/ssl/"
# PKIX ¿¡¼­´Â ¸ðµç ÀÎÁõ¼­¿¡ ¾Æ·¡ÀÇ ³»¿ëÀ» ³Ö±â¸¦ ±Ç°íÇÕ´Ï´Ù.
subjectKeyIdentifier=hash 
authorityKeyIdentifier=keyid,issuer:always
# subjectAltName °ú issuerAltname¸¦ À§ÇÑ ºÎºÐÀÔ´Ï´Ù.
# ´ÙÀ½°ú °°ÀÌ ¼³Á¤Çϸé E-mail ÁÖ¼Ò·Î ¼³Á¤µË´Ï´Ù.
# subjectAltName=email:copy
# subject ¼¼ºÎÁ¤º¸¸¦ º¹»çÇÕ´Ï´Ù.
# issuerAltName=issuer:copy
# ±âº» URL ÁÖ¼ÒÀÔ´Ï´Ù.
nsBaseUrl  = https://www.sopac.org/ssl/
# ÃֽŠÀÎÁõöȸ¸®½ºÆ®(Certificate Revocation List, CRL)¸¦ ¹ÞÀ» ¼ö ÀÖ´Â
# ¸µÅ©ÀÔ´Ï´Ù.
nsCaRevocationUrl = https://www.sopac.org/ssl/sopac-ca.crl
# ÀÎÁõ öȸ¸¦ ¿äûÇÒ ¼ö ÀÖ´Â ÁÖ¼ÒÀÔ´Ï´Ù.
nsRevocationUrl  = https://www.sopac.org/ssl/revocation.html? 
# ÀÎÁõ¼­¸¦ °»½ÅÇÒ ¼ö ÀÖ´Â ÁÖ¼ÒÀÔ´Ï´Ù.
nsRenewalUrl  = https://www.sopac.org/ssl/renewal.html? 
# CA Á¤Ã¥À» º¼ ¼ö ÀÖ´Â ÁÖ¼ÒÀÔ´Ï´Ù.
nsCaPolicyUrl  = https://www.sopac.org/ssl/policy.html 
# ¼­¸íÀÚÀÇ ÀÎÁõ¼­¸¦ ¹ÞÀ» ¼ö ÀÖ´Â ÁÖ¼ÒÀÔ´Ï´Ù.
issuerAltName = URI:https://www.sopac.org/ssl/sopac.crt
# ÃֽŠÀÎÁõöȸ¸®½ºÆ®(CRL)À» ¹ÞÀ» ¼ö ÀÖ´Â ÁÖ¼ÒÀÔ´Ï´Ù.
crlDistributionPoints = URI:https://www.sopac.org/ssl/sopac-ca.crl
[ v3_ca ]
# ÀϹÝÀûÀ¸·Î CA¿¡¼­ ¸¹ÀÌ ¾²ÀÌ´Â È®Àå ÇʵåÀÔ´Ï´Ù.
# PKIX ±Ç°í»çÇ×.
 
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
# ´ÙÀ½Àº PKIX ±Ç°í»çÇ×ÀÔ´Ï´Ù. ÇÏÁö¸¸ ¸î¸î À߸øµÈ ¼ÒÇÁÆ®¿þ¾î¿¡¼­´Â
# critical È®ÀåÇÊµå ¼³Á¤À¸·Î ÀÎÇØ ÇÁ·Î±×·¥ÀÌ ¿ÀÀÛµ¿ÇÒ ¼ö ÀÖ½À´Ï´Ù.
# basicConstraints = critical,CA:true 
# µû¶ó¼­ ´ÙÀ½°ú °°ÀÌ ¼³Á¤ÇÏ±æ ±ÇÇÕ´Ï´Ù.
basicConstraints = CA:true
# Å° »ç¿ë¿ëµµ: ÀÌ ºÎºÐÀº ÀϹÝÀûÀ¸·Î CA ÀÎÁõ¼­¿¡¼­ ¾²ÀÌ´Â ºÎºÐÀÔ´Ï´Ù.
# ÇÏÁö¸¸ Å×½ºÆ® ¸ñÀûÀ¸·Î ÀÚü ¼­¸í ÀÎÁõ¼­¸¦ »ý¼º ½Ã¿¡´Â ÀÌ ºÎºÐÀ¸·Î ÀÎÇØ
# ¹®Á¦°¡ ¹ß»ýÇϱ⠶§¹®¿¡ ±âº»°ªÀ¸·Î µÎ±æ ±ÇÇÕ´Ï´Ù.
# keyUsage = cRLSign, keyCertSign
# ¾Æ·¡¿Í °°Àº ¿É¼ÇÀ» Ãß°¡ÇÒ ¼ö ÀÖ½À´Ï´Ù.
# nsCertType = sslCA, emailCA
# subject alt name¿¡ E-mail ÁÖ¼Ò¸¦ Æ÷ÇÔÇϵµ·Ï ÇÕ´Ï´Ù: PKIX ±Ç°í»çÇ×ÀÔ´Ï´Ù.
# subjectAltName=email:copy 
# ¼­¸íÀÚ¿¡ ´ëÇÑ ¼¼ºÎ»çÇ×À» º¹»çÇÕ´Ï´Ù.
# issuerAltName=issuer:copy
# È®ÀåÇʵ忡 Á÷Á¢ 16Áø¼ö DER°ªÀ» ÀÔ·ÂÇÒ ¼öµµ ÀÖ½À´Ï´Ù: Àü¹®°¡¸¸ ¾²½Ê½Ã¿À!
# 1.2.3.5=RAW:02:03 
# ±âŸ Áö¿øÇÏ´Â È®ÀåÇʵ嵵 °°ÀÌ ¾µ ¼ö ÀÖ½À´Ï´Ù.
# basicConstraints= critical, RAW:30:03:01:01:FF
# ´ÙÀ½Àº ³Ý½ºÄÉÀÌÇÁÀÇ ÁÖ¼® ºÎºÐ¿¡ Ç¥½ÃµÉ ³»¿ëÀÔ´Ï´Ù.
nsComment  = "Certificate issued by https://www.sopac.org/ssl/"
# ¾Æ·¡ÀÇ ³»¿ëÀº ±âº» URLÀÔ´Ï´Ù.
# if not supplied
nsBaseUrl  = https://www.sopac.org/ssl/
# ´ÙÀ½Àº ÃֽŠÀÎÁõöȸ¸®½ºÆ®(Certificate Revocation List, CRL)À» ¹ÞÀ» ¼ö ÀÖ´Â
# ¸µÅ©ÀÔ´Ï´Ù.
nsCaRevocationUrl = https://www.sopac.org/ssl/sopac-ca.crl
# ´ÙÀ½Àº ÀÎÁõ¼­ öȸ ½Ã¿¡ ÇÊ¿äÇÑ ¸µÅ©ÀÔ´Ï´Ù.
nsRevocationUrl  = https://www.sopac.org/ssl/revocation.html? 
# ´ÙÀ½Àº ÀÎÁõ¼­ °»½Å ½Ã¿¡ ÇÊ¿äÇÑ ¸µÅ©ÀÔ´Ï´Ù.
nsRenewalUrl  = https://www.sopac.org/ssl/renewal.html? 
# ´ÙÀ½Àº CAÁ¤Ã¥¿¡ ´ëÇØ ³ª¿ÍÀÖ´Â ¸µÅ©ÀÔ´Ï´Ù.
nsCaPolicyUrl  = https://www.sopac.org/ssl/policy.html 
# ´ÙÀ½Àº ¼­¸íÀÚÀÇ ÀÎÁõ¼­¸¦ ¹ÞÀ» ¼ö ÀÖ´Â ¸µÅ©ÀÔ´Ï´Ù.
issuerAltName = URI:https://www.sopac.org/ssl/sopac.crt
# ´ÙÀ½Àº ÃֽŠÀÎÁõöȸ¸®½ºÆ®(CRL)¸¦ ¹ÞÀ» ¼ö ÀÖ´Â ¸µÅ©ÀÔ´Ï´Ù.
crlDistributionPoints = URI:https://www.sopac.org/ssl/sopac-ca.crl
[ crl_ext ]
# CRL È®Àå ÇʵåÀÔ´Ï´Ù.
# CRL¿¡¼­´Â issuerAltName °ú authorityKeyIdentifier ºÎºÐ¸¸ ¾²ÀÔ´Ï´Ù.
# issuerAltName=issuer:copy 
authorityKeyIdentifier=keyid:always,issuer:always
#----³¡----

openssl.cnfÆÄÀÏ¿¡ ´ëÇØ ¾à°£ÀÇ ºÎ¿¬¼³¸íÀ» ÇÏ°Ú´Ù.

  • º¯¼öÀ̸§ÀÇ Á¢¹Ì»ç¿¡ _default°¡ ºÙÀº °ÍµéÀº ±âº»°ªÀ» ¶æÇÑ´Ù. _minÀº ÇÊ¿äÇÑ ÃÖ¼Ò ¹®ÀÚ¿­ ±æÀ̸¦ ÀǹÌÇϸç, _max´Â ÃÖ´ë ¹®ÀÚ¿­ ±æÀ̸¦ ÀǹÌÇÑ´Ù.

  • ÀüüÀûÀ¸·Î ¼³Á¤ ÆÄÀÏÀÇ ±¸Á¶´Â º¯¼öµéÀÇ ¹­À½ÀÎ [¼½¼Ç] ´ÜÀ§·Î ÀÌ·ç¾îÁ® ÀÖ´Ù.

dir:

±âº» µð·ºÅ丮¸¦ ¼³Á¤ÇÏ´Â ºÎºÐÀÌ´Ù.

default_ca:

ÀÎÁõ¼­¿¡ ±âº»À¸·Î Æ÷Ç﵃ º¯¼öµéÀÇ ¼½¼ÇÀ» ¼³Á¤ÇÏ´Â ºÎºÐÀÌ´Ù.

basicConstraints:

ÀÎÁõ¼­ »ç¿ë ¿ëµµ µîÀ» ¼³Á¤ÇÏ´Â ºÎºÐÀÌ´Ù. ¿¹¸¦ µé¾î CA:TRUE ¶ó°í ¼³Á¤Çϸé ÀÌ ÀÎÁõ¼­´Â ·çÆ® CA ÀÎÁõ¼­·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù´Â ¶æÀÌ´Ù.


2.1.3. ÀÎÁõ±â°ü »ý¼ºÇϱâ

ÀÎÁõ±â°ü(Certification Authority, CA)À» »ý¼ºÇϱâ À§Çؼ­´Â openssl.cnfÆÄÀÏÀ» ¼öÁ¤ÇÑ ÈÄ ´ÙÀ½°ú °°Àº ¸í·ÉÀ» ÀÔ·ÂÇØ¾ß ÇÑ´Ù:

CA.pl -newca
 

À§¿Í °°ÀÌ ½ÇÇàÇϸé CA·Î »ç¿ëÇÒ ÀÎÁõ¼­¸¦ ¼±ÅÃÇ϶ó°í ¶á´Ù. ±×³É ¿£Å͸¦ Ä¡¸é »õ·Î¿î ÀÎÁõ¼­¸¦ »ý¼ºÇÑ´Ù. ÀÌ·¸°Ô »ý¼ºµÈ ÀÎÁõ¼­´Â ±âº»ÀûÀ¸·Î 365ÀÏ°£ À¯È¿ÇÏ´Ù. ´ÙÀ½ Àå¿¡¼­ À¯È¿±â°£ÀÌ Á»´õ ±ä CA¸¦ »ý¼ºÇØ º¼ °ÍÀÌ´Ù.


2.2. ·çÆ® ÀÎÁõ±â°ü(Root CA) ÀÎÁõ¼­ »ý¼ºÇϱâ

CA.pl -newcert 
(openssl req -config /etc/openssl.cnf -new -x509 -keyout newreq.pem \
-out newreq.pem -days 365) 

À§ ¸í·ÉÀ» ½ÇÇàÇϸé ÀÚü ¼­¸í ÀÎÁõ¼­(Self signed certificate)°¡ ¸¸µé¾îÁø´Ù. ÀÎÁõ¼­´Â newreq.pem·Î ÀúÀåµÈ´Ù. Common Name(CN) ºÎºÐÀº “ACME root Certificate”¿Í °°ÀÌ ¼³Á¤ÇÏ¸é ¹«¹æÇÏ´Ù. ÀÌ·¸°Ô »ý¼ºµÈ newreq.pem ÆÄÀÏÀº °³ÀÎÅ°¿Í °ø°³Å°°¡ ÇÔ²² µé¾îÀÖÀ¸¹Ç·Î ºÐ¸®ÇØ¾ß ÇÑ´Ù. -RSA PRIVATE KEY-ºÎºÐÀº °³ÀÎÅ° ºÎºÐÀ̹ǷΠprivate/cakey.pem ÆÄÀÏ·Î ºÐ¸®ÇÏ°í, -CERTIFICATE- ºÎºÐÀº °ø°³Å° ºÎºÐÀ̹ǷΠcacert.pem ÆÄÀÏ·Î ºÐ¸®ÇÏÀÚ. ÀÌ ÀÛ¾÷ÀÌ ³¡³ª¸é newreq.pem ÆÄÀÏÀ» »èÁ¦ÇÏÀÚ.

ÀÌÁ¦ index.txtÆÄÀÏÀÌ ºñ¾îÀÖ´Â °ÍÀ» È®ÀÎÇغ¸ÀÚ. serialÆÄÀÏ¿¡´Â 01À̶õ ¼ýÀÚ°¡ µé¾î°¡ ÀÖÀ» °ÍÀÌ´Ù. ÀÌ ÆÄÀÏÀº ÀÎÁõ±â°üÀÇ ÀÌ·ÂÀ» °ü¸®ÇÏ´Â ¿ªÇÒÀ» Çϸç, ÇÏÀ§ ÀÎÁõ¼­¸¦ »ý¼ºÇÒ ¶§¸¶´Ù index.txt¿¡ ³»¿ëÀÌ Ãß°¡µÇ¸ç ÀϷùøÈ£(serial)°¡ Áõ°¡ÇÑ´Ù.

À§ ¸í·ÉÀ¸·Î »ý¼ºÇÑ ·çÆ® ÀÎÁõ¼­´Â 365ÀÏ°£ À¯È¿ÇÏ´Ù. À¯È¿±â°£ÀÌ Áö³ª¸é ·çÆ® ÀÎÁõ¼­ »Ó¸¸ ¾Æ´Ï¶ó ±× ÀÎÁõ¼­·Î ¼­¸íÇÑ ÇÏÀ§ ÀÎÁõ¼­±îÁö ¸ðµÎ ¸¸·áµÇ°í, »õ·Î¿î ÀÎÁõ¼­·Î °¥¾ÆÄ¡¿ö¾ß ÇÒ °ÍÀÌ´Ù. ¾Æ¸¶ ´ëºÎºÐÀÇ È¸»çµéÀº ÀÌ·± ¹ø°Å·Î¿òÀ» ÇÇÇϱâ À§ÇØ ·çÆ® ÀÎÁõ¼­ÀÇ À¯È¿±â°£À» 5³â¿¡¼­ 10³â Á¤µµ·Î ¼³Á¤ÇÑ´Ù.

openssl req -config /etc/openssl.cnf -new -x509 -keyout private/cakey.pem \
-out cacert.pem -days 3650

À§ ¿¹Á¦´Â “CA.pl -newcert” ¸í·É°ú ºñ½ÁÇÏÁö¸¸, ÀÎÁõ¼­ÀÇ À¯È¿±â°£À» 10³âÀ¸·Î ´ÃÀÎ ¸í·ÉÀÌ´Ù.

·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­´Â SSL¿¡¼­ ¸Å¿ì Áß¿äÇÑ ¿ªÇÒÀ» ÇÑ´Ù. ÀÌ ÀÎÁõ¼­°¡ ¶Õ¸®¸é, ÇÏÀ§ ÀÎÁõ¼­ ¸ðµÎ°¡ º¯Á¶µÉ ¼ö ÀÖ´Ù. µû¶ó¼­ ÀÎÁõ¼­°¡ ¼Õ»óµÇÁö ¾Ê°í, °³ÀÎÅ°°¡ ³ëÃâµÇÁö ¾Êµµ·Ï °¢º°È÷ ÁÖÀÇÇØ¾ß ÇÑ´Ù. ¹°·Ð ¾ÏÈ£¹®(Passphrase)µµ ¾ø¾Ö¸é À§ÇèÇÏ´Ù. ¸î¸î »ç¶÷µéÀº ÀÌ·± À§ÇèÀ» ÇÇÇϱâ À§ÇØ ¾Æ¿¹ °³ÀÎÅ° ÆÄÀÏÀ» Ç÷ÎÇÇ µð½ºÅ©³ª À̵¿½Ä µð½ºÅ© µî¿¡ º¸°üÇϱ⵵ ÇÑ´Ù. ±×·¸°Ô ÇÑ´Ù¸é ÄÄÇ»ÅÍ ÀÚü°¡ ÇØÅ·´çÇصµ ¾ÈÀüÇÒ °ÍÀÌ´Ù.

Áö±Ý±îÁö ·çÆ® ÀÎÁõ±â°üÀÇ ÀÎÁõ¼­¸¦ »ý¼ºÇÏ´Â ¹ý¿¡ ´ëÇؼ­ ¾Ë¾Æº¸¾Ò´Ù. ÀÌÁ¦ »ý¼ºÇÑ ·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ¹èÆ÷ÇÏ´Â Àϸ¸ ³²¾Ò´Ù. ´Ù¸¥ »ç¶÷µéÀÌ ÀÎÁõ¼­¸¦ ¹Þ¾Æ¼­ À¥ºê¶ó¿ìÀú¿¡ µî·ÏÇÏ¸é ³¡ÀÌ´Ù.

¾ÏÈ£¹®(Passphrase)Àº ÇÏÀ§ ÀÎÁõ¼­¸¦ ¼­¸íÇÒ ¶§¸¶´Ù ÀÔ·ÂÇØ¾ß ÇϹǷΠ±î¸ÔÁö ¸»ÀÚ.


2.3. ÇÏÀ§ ÀÎÁõ±â°ü ÀÎÁõ¼­(Non root Certification Authority Certificate) »ý¼ºÇϱâ

FIXME because I'm not sure about the procedure.

¼­¸íµÈ ÀÎÁõ¼­·Î ¶Ç´Ù¸¥ ÀÎÁõ¼­¸¦ ¼­¸íÇÏ´Â °Íµµ °¡´ÉÇÏ´Ù. ¼­¸íÀ» ÅëÇØ »óÀ§ ÀÎÁõ±â°üÀÌ ÇÏÀ§ ÀÎÁõ±â°üÀ» ½Å¿ëÇÑ´Ù´Â °ÍÀ» Áõ¸íÇÒ ¼ö ÀÖ´Ù. ÀÌ·¸°Ô »ý¼ºÇÑ ÇÏÀ§ ÀÎÁõ±â°ü ÀÎÁõ¼­·Î ¶Ç´Ù½Ã 1´Ü°è ´õ ÇÏÀ§ ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ¼­¸íÇÏ´Â °Íµµ °¡´ÉÇÏ´Ù. ÀÎÁõ¼­´Â ÀÌ¿Í°°ÀÌ Æ®¸® ÇüÅ·Π±¸¼ºµÈ´Ù.

´Ù¸¥ ÀÎÁõ±â°üÀ¸·ÎºÎÅÍ ¼­¸í¹Þ±â À§Çؼ­´Â °³ÀÎÅ°¿Í ÀÎÁõ¿äû¼­(Certificate Request)¸¦ »ý¼ºÇÑ ÈÄ, ÀÎÁõ¿äû¼­¸¦ »óÀ§ ÀÎÁõ±â°ü¿¡°Ô º¸³»¾ß ÇÑ´Ù. ¼­¸íµÈ ÀÎÁõ¼­¸¦ ¹ÞÀ¸¸é ÀÎÁõ¼­(-CERTIFICATE- ºÎºÐ)Àº cacert.pemÆÄÀÏ·Î ÀúÀåÇÏÀÚ. ÀÎÁõ¿äû¼­ »ý¼º½Ã ¸¸µé¾îÁ³´ø °³ÀÎÅ°(-PRIVATE KEY-ºÎºÐ)´Â private/cakey.pemÆÄÀÏ·Î ÀúÀåÇÏ¸é µÈ´Ù.


2.4. ·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ¼­ ÀúÀå¼Ò¿¡ ¼³Ä¡Çϱâ

¿ì¼± ÀÎÁõ¼­¿¡¼­ -CERTIFICATE- ºÎºÐ¸¸ Àß¶ó³»¾ß ÇÑ´Ù.

openssl x509 -in cacert.pem -out cacert.crt
  

ÀÌ ÆÄÀÏÀ» http://mysite.com/ssl/cacert.crt ¿Í °°ÀÌ À¥»çÀÌÆ®¿¡ ¿Ã·Á³õÀÚ. ´ÙÀ½¿£ À¥¼­¹ö MIME¼³Á¤¿¡¼­ È®ÀåÀÚ°¡ .crtÀÎ ÆÄÀÏ¿¡ ´ëÇؼ­ ÀÎÁõ¼­·Î ÀνÄÇÏ°Ô²û ¼öÁ¤ÇÏÀÚ. ÀÌ¿Í °°Àº ÀÛ¾÷ ÈÄ¿¡ À¥ºê¶ó¿ìÀú¿¡¼­ ÀÎÁõ¼­¸¦ ¹Þ¾Æ¼­ ÀúÀåÇÏ¸é µÈ´Ù.

À¥»çÀÌÆ®¿¡ ÀÎÁõ¼­¸¦ ¿Ã¸®´Â °ÍÀº ¹èÆ÷Çϴµ¥ »ó´çÈ÷ ±¦ÂúÀº ¹æ¹ýÀÌ´Ù. ´ÜÁö ÁÖÀÇÇؾßÇÒ Á¡Àº ´Ù¸¥ »ç¶÷ÀÌ ¿©·¯ºÐÀÇ À¥»çÀÌÆ®¸¦ °¡ÀåÇؼ­ °¡Â¥ ÀÎÁõ¼­¸¦ ¹èÆ÷ÇÒ ¼öµµ ÀÖ´Ù´Â °ÍÀÌ´Ù. ÀÌ·¸°Ô °¡Â¥ ÀÎÁõ¼­°¡ ¹èÆ÷µÇ¸é ÇØÄ¿´Â ¸ðµç °ÍÀ» µÚ¾þ¾î¹ö¸± ¼ö ÀÖ´Ù.

¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»ç´Â À©µµ¿ì ¾÷µ¥ÀÌÆ® ±â´ÉÀ» ÀÌ¿ëÇؼ­ ÀÎÅÍ³Ý ÀͽºÇ÷η¯ÀÇ ·çÆ® ÀÎÁõ¼­¸¦ °Ë»çÇÑ´Ù. ¸¸¾à Â÷ÈÄ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»ç Á¦Ç°¿¡ ¿©·¯ºÐÀÇ ÀÎÁõ¼­°¡ žÀçµÇ±æ ¿øÇÑ´Ù¸é ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»ç¿¡ ¿¬¶ôÀ» Çϱ⠹ٶõ´Ù.


2.4.1. ³Ý½ºÄÉÀÌÇÁ/¸ðÁú¶ó/ÆÄÀ̾îÆø½º

À¥¼­¹ö¿¡ MIME¼³Á¤ÀÌ Á¦´ë·Î µÇ¾î ÀÖ´Ù¸é, ÀÎÁõ¼­¸¦ ¹ÞÀ» ¶§ ÀÚµ¿À¸·Î ·çÆ®ÀÎÁõ¼­ ¼³Ä¡ ¸¶¹ý»ç È­¸éÀÌ ¶á´Ù. ¸¶¹ý»ç¸¦ ÅëÇؼ­ ÀÎÁõ¼­¸¦ ¼³Ä¡ÇÏ¸é µÈ´Ù. ÃÖÁ¾ÀûÀ¸·Î ÀÎÁõ¼­ ¿ëµµ¿¡ ´ëÇؼ­ ¹°¾îº¸´Âµ¥, ÇÊ¿ä¿¡ µû¶ó À¥»çÀÌÆ® º¸¾È(Web site security), E-mail ¼­¸í(E-mail signing), µðÁöÅÐ ÄÚµå ¼­¸í(Code signing)À» ¼±ÅÃÇÏ¸é µÈ´Ù.


2.4.2. °¥·¹¿Â

°¥·¹¿ÂÀº ¸ðÁú¶óÀÇ HTML ·»´õ¸µ ¿£ÁøÀ» »ç¿ëÇϱ⠶§¹®¿¡ ¸ðÁú¶ó¿Í ºñ½ÁÇÏ´Ù. ÇÏÁö¸¸ °¥·¹¿Â¿¡´Â ÀÎÁõ¼­ °ü¸® µµ±¸°¡ µû·Î ¾ø´Ù.


2.4.4. ÀÎÅÍ³Ý ÀͽºÇ÷η¯

ÀÎÁõ¼­ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ ÈÄ¿¡ ¹ÞÀº ÆÄÀÏÀ» ´õºíŬ¸¯ÇÏÀÚ. ±×·¯¸é ÀÎÁõ¼­ ³»¿ëÀÌ ³ª¿À´Âµ¥, ÀÎÁõ¼­ ¼³Ä¡ ¹öÆ°À» ´©¸£¸é ÀÎÁõ¼­ °¡Á®¿À±â ¸¶¹ý»ç°¡ ½ÇÇàµÈ´Ù. ÀÎÁõ¼­°¡ ÀÚü ¼­¸í(Self signed)µÇ¾î Àֱ⠶§¹®¿¡ ÀÎÅÍ³Ý ÀͽºÇ÷η¯´Â ÀÚµ¿ÀûÀ¸·Î ÀÎÁõ¼­¸¦ '½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ±â°ü' ÀúÀå¼Ò¿¡ ¼³Ä¡ÇÒ °ÍÀÌ´Ù. ÀÌ °úÁ¤ÀÌ ³¡³ª¸é ÀÎÅÍ³Ý ÀͽºÇ÷η¯´Â ÇØ´ç ÀÎÁõ¼­¿Í ±× ÇÏÀ§ ÀÎÁõ¼­µé¿¡ ´ëÇؼ­ ´õÀÌ»ó ½Å·ÚÇÒ ¼ö ¾ø´Ù´Â ¿¡·¯¸¦ Ãâ·ÂÇÏÁö ¾ÊÀ» °ÍÀÌ´Ù.

ÀÎÅÍ³Ý ÀͽºÇ÷η¯ÀÇ µµ±¸ -> ÀÎÅÍ³Ý ¿É¼Ç -> ³»¿ë -> ÀÎÁõ¼­ ¸Þ´º¸¦ ÅëÇؼ­µµ ÀÎÁõ¼­ ¼³Ä¡ ¸¶¹ý»ç¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Ù.


2.5. ÀÎÁõ¼­ °ü¸®

2.5.1. ÀÎÁõ¿äû¼­(Certificate Request) »ý¼º/¼­¸í ¹æ¹ý

CA.pl -newreq 
(openssl req -config /etc/openssl.cnf -new -keyout newreq.pem -out newreq.pem \
-days 365) 

À§ ¸í·ÉÀº newreq.pemÀ̶õ À̸§À¸·Î °³ÀÎÅ°¿Í ÀÎÁõ¿äû¼­¸¦ ¸¸µå´Â ¸í·ÉÀÌ´Ù. Common Name (CN) ÀÔ·Â ½Ã¿¡ ÀÎÁõ¼­¸¦ »ç¿ëÇÒ À¥»çÀÌÆ® ¶Ç´Â E-mail ÁÖ¼Ò¸¦ ³ÖÀ¸¸é µÈ´Ù. ¿¹¸¦ µé¾î www.sopec.org¶ó´Â À¥»çÀÌÆ®¿¡¼­ »ç¿ëÇÒ ÀÎÁõ¼­¶ó¸é www.sopec.org¸¦ ÀÔ·ÂÇÏ¸é µÇ°í, franck@sopac.org ¶õ E-mail¿¡¼­ »ç¿ëÇÒ ÀÎÁõ¼­¶ó¸é franck@sopac.org¶ó°í ÀÔ·ÂÇÏ¸é µÈ´Ù.

CA.pl -sign 
(openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem \
-infiles newreq.pem) 

À§ ¸í·ÉÀº ÀÎÁõ±â°üÀ¸·Î ÀÎÁõ¿äû¼­¿¡ ¼­¸íÇÏ´Â ¸í·ÉÀÌ´Ù. ÀÎÁõ±â°üÀÇ ÀÚ¼¼ÇÑ Á¤º¸(°³ÀÎÅ°, °ø°³Å° µîµî)´Â openssl.cnf ÆÄÀÏ¿¡ ´ã°ÜÀÖ´Ù. À§ ¸í·ÉÀ» ÀÔ·ÂÇÏ¸é ¾ÏÈ£¹®(Passphrase)À» ÀÔ·ÂÇ϶ó°í ¶ß´Âµ¥, À̶§ ÀÎÁõ±â°ü »ý¼º ½Ã¿¡ ÀÔ·ÂÇß´ø ¾ÏÈ£¹®À» ÀÔ·ÂÇÏ¸é µÈ´Ù. ±×·¯¸é ÃÖÁ¾ÀûÀ¸·Î newcert.pemÀ̶õ À̸§À¸·Î ¼­¸íµÈ ÀÎÁõ¼­°¡ »ý¼ºµÈ´Ù. Ãß°¡ÀûÀ¸·Î ÀÎÁõ±â°üÀÇ µð·ºÅ丮¿¡ newcerts/xx.pemÆÄÀϵµ »ý¼ºµÇ°í, index.txt¿Í serialµµ ¾÷µ¥ÀÌÆ®µÈ´Ù.

newreq.pemÆÄÀÏÀÇ -PRIVATE KEY- ºÎºÐÀº °³ÀÎÅ° ºÎºÐÀÌ°í, newcert.pemÆÄÀÏÀÇ -CERTIFICATE- ºÎºÐÀº ÀÎÁõ¼­ ºÎºÐÀ̹ǷÎ, ¿ëµµ¿¡ µû¶ó Àß¶ó¼­ »ç¿ëÇÏ¸é µÈ´Ù.

ÀÎÁõ±â°üÀÇ newcerts/ µð·ºÅ丮¿¡ »ý±â´Â ÆÄÀÏÀº newcert.pem ÆÄÀÏÀÇ º¹»çº»ÀÌ´Ù. ÀÎÁõ±â°üÀ¸·Î ¼­¸íÇÒ¶§¸¶´Ù ¿©±â¿¡ º¹»çº»ÀÌ ÀúÀåµÇ¸ç, index.txt¿¡µµ ±× ³»¿ëÀÌ »ðÀԵȴÙ. Ȥ¿© ¹ß±ÞÇÑ(¼­¸íÇÑ) ÀÎÁõ¼­°¡ Àǽɽº·´´Ù¸é ÀÌ Á¤º¸µéÀ» ÀÌ¿ëÇؼ­ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

ÀÌ °úÁ¤ Áß¿¡ Á¤¸» ÁÖÀÇÇؾßÇÒ Á¡ÀÌ ÀÖ´Ù. newreq.pemÆÄÀÏÀ» º¸¸é ÀÎÁõ¿äû¼­ ºÎºÐ(-CERTIFICATE REQUEST-) »Ó¸¸ ¾Æ´Ï¶ó, °³ÀÎÅ°(-PRIVATE KEY-)µµ ÇÔ²² Æ÷ÇԵǾî ÀÖ´Ù. ÀÎÁõ±â°üÀº ¼­¸íÇÒ ¶§ ÀÎÁõ¿äû¼­¸¸ ÇÊ¿äÇÏÁö, °³ÀÎÅ°´Â ÀüÇô ÇÊ¿äÄ¡ ¾Ê´Ù. ´Ù½ÃÇѹø °­Á¶ÇÏÁö¸¸ °³ÀÎÅ°´Â ´©±¸¿¡°Ôµµ °ø°³µÇ¾î¼± ¾ÈµÈ´Ù. ÀÌ´Â ÀÎÁõ±â°üÀ̶ó ÇÒÁö¶óµµ ¸¶Âù°¡ÁöÀÌ´Ù. Ȥ¿© ÀÎÁõ±â°üÀ¸·Î ÀÎÁõ¿äû¼­¸¦ º¸³¾ ¶§´Â ¹Ýµå½Ã °³ÀÎÅ° ºÎºÐÀº À߶󳻼­ µû·Î º¸°üÇÏ°í, ÀÎÁõ¿äû¼­ ºÎºÐ¸¸ º¸³»µµ·Ï ÇÏÀÚ.


2.5.2. ÀÎÁõ¼­ öȸ¹æ¹ý

ÀÎÁõ¼­°¡ µµ³­À̳ª ºÐ½Ç, ±âŸ ÀÌÀ¯·Î ´õÀÌ»ó »ç¿ëÇÒ ¼ö ¾ø´Â »óŶó¸é CA¿¡¼­´Â ÇØ´ç ÀÎÁõ¼­¸¦ öȸÇÒ ¼ö ÀÖ´Ù. ÀÌ¹Ì ¼­¸íÇÑ ÀÎÁõ¼­¸¦ öȸÇÏ·Á¸é ´ÙÀ½ÀÇ ¸í·ÉÀ» ÀÔ·ÂÇÏ¸é µÈ´Ù.

openssl -revoke newcert.pem

±×·¯¸é µ¥ÀÌÅͺ£À̽º¿¡ ÀÎÁõ¼­°¡ öȸµÇ¾ú´Ù°í Ç¥½ÃµÈ´Ù. ´ÙÀ½À¸·Î ÀÎÁõöȸ¸ñ·Ï(Certificate Revoked List, CRL)À» ¾÷µ¥ÀÌÆ®ÇÏÀÚ.

openssl ca -gencrl -config /etc/openssl.cnf -out crl/sopac-ca.crl

ÀÎÁõöȸ¸ñ·ÏÀº À¥»çÀÌÆ® °°Àº °÷¿¡ ¿Ã·Á¼­ °ø°³ÇÏ¸é µÈ´Ù.

crldays³ª crlhours ¿É¼ÇÀ» ÀÌ¿ëÇϸé ÀÎÁõöȸ¸ñ·Ï¿¡ ´ÙÀ½ CRL ¹ßÇàÀÏÀÚ¸¦ Ç¥½ÃÇÒ ¼ö ÀÖ´Ù. crlexts ¿É¼ÇÀ» ÀÌ¿ëÇϸé openssl.cnfÆÄÀÏÀÇ crl_exts ¿µ¿ªÀÌ Æ÷ÇÔµÈ CRL ¹öÀü2°¡ »ý¼ºµÈ´Ù. (±âº»ÀûÀ¸·Î ¹öÀü1ÀÌ »ý¼ºµÈ´Ù)

openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext \
-out crl/sopac-ca.crl

2.5.3. ÀÎÁõ¼­ °»½Å¹æ¹ý

Ŭ¶óÀ̾ðÆ®°¡ ¿©·¯ºÐ¿¡°Ô ±âÁ¸ÀÇ ÀÎÁõ¼­ ´ë½Å¿¡ »õ·Î¿î Å°·Î »õ ÀÎÁõ¼­¸¦ ¸¸µé¾î ´Þ¶ó°í ÇÒ ¼ö ÀÖ´Ù.

ÀÌ °æ¿ì ¿ì¼± ±âÁ¸ÀÇ ÀÎÁõ¼­¸¦ ÆıâÇÏ°í, ÀÌÈÄ¿¡ »õ·Î¿î ÀÎÁõ¿äû¼­¿¡ ¼­¸íÇØ¾ß ÇÑ´Ù.

±âÁ¸ ÀÎÁõ¼­´Â index.txt ÆÄÀÏÀ» ÂüÁ¶ÇÏ¸é ¾Ë ¼ö ÀÖ´Ù. ÀÌ ÆÄÀÏ¿¡¼­ ÇØ´çÇÏ´Â ÀÎÁõ¼­ÀÇ Distinguished Name(DN, ÀϷùøÈ£(serial)¸¦ ãÀº ÈÄ¿¡ cert/ µð·ºÅ丮¸¦ ã¾Æº¸¸é ÇØ´ç ÀÎÁõ¼­°¡ ÀÖ´Ù. ÀÌ°É °¡Áö°í ÀÎÁõ¼­ öȸÀÛ¾÷À» ÇÏ¸é µÈ´Ù.

ÀÎÁõ¼­ À¯È¿±â°£À» Á÷Á¢ ¼³Á¤ÇÏ°í ½Í´Ù¸é ´ÙÀ½°ú °°Àº ¸í·ÉÀ¸·Î ÇÒ ¼ö ÀÖ´Ù.

openssl ca -config /etc/openssl.cnf -policy policy_anything -out newcert.pem \
-infiles newreq.pem -startdate [now] -enddate [previous enddate+365days]

À§¿¡¼­ [now] ºÎºÐ°ú [previous enddate+365days] ºÎºÐÀ» Àû´çÇÑ °ªÀ¸·Î ġȯÇÏ¸é µÈ´Ù.


2.5.4. ÀÎÁõ¼­ È®Àιæ¹ý

ÀÎÁõ¼­´Â ÀÎÄÚµùµÇ¾î Àֱ⠶§¹®¿¡, ´«À¸·Î ¾Ë¾Æº¸±â ¾î·Æ´Ù. ´ÙÀ½ÀÇ ¸í·ÉÀ» ÀÔ·ÂÇϸé ÅؽºÆ®ÇüÅ·Πº¼ ¼ö ÀÖ´Ù:

openssl x509 -in newcert.pem -noout -text
   

2.5.5. index.txt ÆÄÀÏ

index.txt ÆÄÀÏÀ» ¿­¾îº¸¸é OpenSSL¿¡¼­ °ü¸®ÇÏ´Â ÀÎÁõ¼­ÀÇ Á¤º¸¸¦ º¼ ¼ö ÀÖ´Ù. R´Â öȸµÈ ÀÎÁõ¼­, V´Â À¯È¿ÇÑ ÀÎÁõ¼­, E´Â À¯È¿±â°£ÀÌ ¸¸·áµÈ ÀÎÁõ¼­¸¦ ¶æÇÑ´Ù.


2.5.6. À¥±â¹Ý ÀÎÁõ±â°ü °ü¸®

À¥À» ÅëÇؼ­ ÀÎÁõ±â°ü(CA)À» °ü¸®ÇÏ°í ½Í´Ù¸é ¸î°¡Áö Á¶°ÇÀÌ ÇÊ¿äÇÏ´Ù.:

  1. ·çÆ® CA ÀÎÁõ¼­¸¦ °ø°³ÇØ¾ß ÇÑ´Ù. ±×·¡¼­ ÇØ´ç ÀÎÁõ¼­¸¦ SSLÀ» ÀÌ¿ëÇÏ´Â ÀÀ¿ëÇÁ·Î±×·¥¿¡ ¼³Ä¡Çϵµ·Ï À¯µµÇØ¾ß ÇÑ´Ù.

  2. ÀÎÁõöȸ¸®½ºÆ®¸¦ °ø°³ÇØ¾ß ÇÑ´Ù.

  3. ÀÎÁõ¼­ ÀϷùøÈ£(Serial number) µî°ú °°Àº ¼¼ºÎ ³»¿ëÀ» °ø°³ÇØ¾ß ÇÑ´Ù.

  4. »ç¿ëÀÚµéÀÌ ÀÎÁõ¿äûÀ» ÇÒ ¼ö ÀÖ´Â ÆäÀÌÁö¸¦ Á¦°øÇØ¾ß ÇÑ´Ù.

ÀÌ ¸ðµç ÀÛ¾÷µéÀº À¥¼­¹ö¿¡¼­ ½ºÅ©¸³Æ® ÀÛ¾÷À¸·Î ÇÒ ¼ö ÀÖ´Ù.

FIXME: some code here for the web interface...


3Chapter. ÀÀ¿ëÇÁ·Î±×·¥¿¡¼­ ÀÎÁõ¼­ È°¿ëÇϱâ

3.1. ÀÎÅÍ³Ý ÇÁ·ÎÅäÄÝ º¸¾È

3.1.1. Apache¿¡¼­ mod_sslÀ» ÀÌ¿ëÇÏ¿© ÀÎÁõ¼­ »ç¿ëÇϱâ

ÀÀ¿ëÇÁ·Î±×·¥¿¡´Â Àý´ë·Î ÀÚü¼­¸íµÈ ·çÆ® ÀÎÁõ¼­¸¦ »ç¿ëÇؼ± ¾ÈµÈ´Ù. ƯÈ÷ Apache¿Í °°ÀÌ °³ÀÎÅ°¿¡¼­ ºñ¹Ð¹®±¸¸¦ Á¦°ÅÇؾßÇÏ´Â ÇÁ·Î±×·¥ÀÏ °æ¿ì ´õ¿í ±×·¸´Ù.

¿ì¼± Apache¿¡ »ç¿ëÇØ¾ß ÇÒ ÀÎÁõ¼­¸¦ »ý¼ºÇØ¾ß ÇÑ´Ù. À̶§ Common Name (CN)À» ÀÔ·ÂÇÒ ¶§ www.mysite.com°ú °°ÀÌ À¥»çÀÌÆ®ÀÇ À̸§À» ÀÔ·ÂÇØ¾ß ÇÑ´Ù. ´ÙÀ½¿¡ »ý¼ºµÈ ÀÎÁõ¼­¸¦ ÆíÁýÇؼ­ ---CERTIFCATE --- ºÎºÐ¸¸ ³²±â°í Á¦°ÅÇÏÀÚ.

´ÙÀ½¿¡´Â °³ÀÎÅ°ÀÇ ºñ¹Ð¹®±¸¸¦ Á¦°ÅÇØ¾ß ÇÑ´Ù. ±×·¡¾ß ºÎÆýÿ¡ À¥¼­¹ö°¡ Æнº¿öµå ÀԷ¾øÀÌ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÑ´Ù. °³ÀÎÅ°°¡ Æ÷ÇÔµÈ newreq.pemÆÄÀÏÀ» °¡Áö°í ´ÙÀ½ÀÇ ¸í·ÉÀ» ÅëÇØ ºñ¹Ð¹®±¸¸¦ Á¦°ÅÇÒ ¼ö ÀÖ´Ù.

openssl rsa -in newreq.pem -out wwwkeyunsecure.pem

À§ ÀÛ¾÷À» °ÅÄ¡¸é ºñ¹Ð¹®±¸°¡ Á¦°ÅµÈ wwwcakeyunsecure.pem À̸§ÀÇ °³ÀÎÅ° ÆÄÀÏÀÌ »ý±æ °ÍÀÌ´Ù. ÀÌ ÆÄÀÏ¿¡´Â ºñ¹Ð¹®±¸°¡ ºüÁ³±â ¶§¹®¿¡ º¸¾È»ó ´ë´ÜÈ÷ À§ÇèÇÏ´Ù. ¶§¹®¿¡ ÀÌ¿¡ ´ëÇÑ Á¶Ä¡¸¦ ÃëÇØ¾ß ÇÑ´Ù: ¿¹¸¦ µé¾î ÆÄÀÏ ±ÇÇÑÀ» º¯°æÇؼ­ °ü¸®ÀÚ¸¸ º¼ ¼ö ÀÖ°Ô ÇÑ´ÙµçÁö µîÀÇ Á¶Ä¡°¡ ÇÊ¿äÇÏ´Ù. ¸¸¾à ÀÌ ÆÄÀÏÀÌ ´©ÃâµÈ´Ù¸é ¿©·¯ºÐÀÇ »çÀÌÆ®´Â ¸Á°¡Áö°Ô µÉ °ÍÀÌ´Ù.

wwwkeyunsecure.pem ÆÄÀÏÀ» /etc/httpd/conf/ssl/ µð·ºÅ丮¿¡ º¹»çÇÏÀÚ. ±×¸®°í newcert.pem ÆÄÀϵµ °°Àº µð·ºÅ丮¿¡ newcert.crt ¶ó´Â À̸§À¸·Î º¹»çÇÏÀÚ.

/etc/httpd/conf/ssl/ssl.default-vhost.conf ÆÄÀÏÀ» ´ÙÀ½°ú °°ÀÌ ¼öÁ¤ÇÏÀÚ.

---- 
# ¼­¹ö ÀÎÁõ¼­:
# SSLCertificateFile ¿É¼ÇÀº PEM ÀÎÄÚµùµÈ ÀÎÁõ¼­ÀÇ À§Ä¡¸¦ °¡¸®Åµ´Ï´Ù.
# ¸¸¾à ÀÎÁõ¼­°¡ ¾ÏȣȭµÇ¾î ÀÖ´Ù¸é, ¼­¹ö¸¦ ½ÃÀÛÇÒ ¶§ ¾ÏÈ£¹®À» ¹°¾îº¼ °ÍÀÔ´Ï´Ù.
# kill -HUP ¸í·ÉÀ¸·Îµµ ¾ÏÈ£¹®À» ¹¯´Â ÇÁ·ÒÇÁÆ®°¡ ¶ã °ÍÀÔ´Ï´Ù.
# ºôµå ½Ã¿¡ 'make certificate'¸¦ ÀÔ·ÂÇϸé Å×½ºÆ®¿ë ÀÎÁõ¼­°¡ »ý¼ºµË´Ï´Ù.
#SSLCertificateFile conf/ssl/ca.crt 
SSLCertificateFile wwwcert.crt
# ¼­¹ö °³ÀÎÅ°:
# ¸¸¾à °³ÀÎÅ°°¡ ÀÎÁõ¼­¿Í ºÐ¸®µÇ¾îÀÖ´Ù¸é ÀÌ ¿É¼ÇÀ» ÀÌ¿ëÇϽʽÿÀ.
#SSLCertificateKeyFile conf/ssl/ca.key.unsecure 
SSLCertificateKeyFile wwwkeyunsecure.pem 
----

À§ ÀÛ¾÷À» ¸¶Ä¡¸é httpd¸¦ Àç½ÃÀÛÇØ¾ß ÇÑ´Ù. ¿ì¼± httpd¸¦ ¸ØÃß°í(/etc/rc.d/init.d/httpd stop), ¸ðµç httpd ÇÁ·Î¼¼½º°¡ Á×¾ú´ÂÁö È®ÀÎÇÏÀÚ(killall httpd). ±×¸®°í httpd¸¦ ½ÃÀÛÇÏ¸é µÈ´Ù.(/etc/rc.d/init.d/httpd start)


3.1.2. IMAPS¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ

´ÙÀ½ ÀåÀÎ “POPS¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱ┠ºÎºÐÀ» Âü°íÇϱ⠹ٶõ´Ù.


3.1.3. POPS¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ

ipop3sd ¿¡¼­ ÀÎÁõ¼­¸¦ »ç¿ëÇϱâ À§Çؼ­´Â ÀÎÁõ¼­¸¦ »ý¼ºÇÑ ´ÙÀ½, °³ÀÎÅ°¿¡ ºñ¹Ð¹®±¸¸¦ Á¦°ÅÇÏ°í, °ø°³Å°¿Í °³ÀÎÅ°¸¦ ÇÕÃļ­ /etc/ssl/imap/ipop3sd.pem ÆÄÀÏ·Î ÀúÀåÇÏÀÚ. ÀÌ °æ·Î´Â Mandrake 9.0 ¸®´ª½º imap RPM ÆÐÅ°ÁöÀÇ °æ·ÎÀ̹ǷΠ¹èÆ÷º»¸¶´Ù ´Ù¸¦ ¼öµµ ÀÖ´Ù. IMAPS¿¡¼­ ÀÎÁõ¼­¸¦ »ç¿ëÇϱâ À§Çؼ­´Â µ¿ÀÏÇÑ ÆÄÀÏÀ» /etc/ssl/imap/imapsd.pem °æ·Î¿¡ µÎ¸é µÈ´Ù.

CN Çʵå´Â ¹Ýµå½Ã ¸ÞÀÏ Å¬¶óÀ̾ðÆ®°¡ Á¢¼ÓÇÒ »çÀÌÆ®ÀÇ À̸§À» ³Ö¾î¾ß ÇÑ´Ù. (¿¹:mail.xyz.org). Ŭ¶óÀ̾ðÆ®¿¡¼­ MS-OutlookÀ» ÀÌ¿ëÇؼ­ Á¢¼ÓÇÏ·Á¸é ¼³Á¤ ¸Þ´ºÀÇ ¼­¹ö ÅÇ¿¡¼­ ¹Þ´Â ¸ÞÀÏ ¼­¹ö¸¦ mail.xyz.org ·Î ÀÔ·ÂÇÏ°í, ±âŸ ¼³Á¤ÀÇ °í±Þ ÅÇ¿¡ µé¾î°¡¼­ ¾ÏȣȭµÈ ¿¬°á(SSL) ÇÊ¿ä¶ó´Â °÷¿¡ üũÇÏ¸é µÈ´Ù. Æ÷Æ®¹øÈ£´Â ÀÚµ¿À¸·Î 995¹øÀ¸·Î ¹Ù²î°Ô µÉ °ÍÀÌ´Ù. (imaps) ¹Ýµå½Ã MS ÀÎÅÍ³Ý ÀͽºÇ÷η¯¿¡ ÇØ´ç ·çÆ®ÀÎÁõ¼­°¡ ½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ±â°ü ÀúÀå¼Ò¿¡ ¼³Ä¡µÇ¾îÀÖ¾î¾ß Á¢¼ÓÇÒ ¼ö ÀÖ´Ù.


3.1.6. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® Å° °ü¸®ÀÚ(Microsoft Key Manager)·Î Å° »ý¼ºÇÏ°í ¼­¸íÇϱâ

¸¶ÀÌÅ©·Î¼ÒÇÁÆ® Å° °ü¸®ÀÚ¿¡¼­ Å°¸¦ »ý¼ºÇÏ·Á¸é ¿ì¼± ¿ëµµ¸¦ ¼±ÅÃÇØ¾ß ÇÑ´Ù. ¿¹¸¦ µé¾î¼­ IMAPÀ̳ª WWW µîÀ» ¼±ÅÃÇÏ¸é µÈ´Ù. ÀÌÈÄ¿¡ ¸¶¹ý»ç¸¦ ÀÌ¿ëÇؼ­ Å°¸¦ »ý¼ºÇÒ ¼ö ÀÖ´Ù. Distinguished NameÀº ¹Ýµå½Ã ¿¹Àü¿¡ »ý¼ºÇß´ø Å°¿Í ´Ù¸¥ °ªÀ» »ç¿ëÇØ¾ß ÇÑ´Ù. Common Name (CN)Àº ¿¹¸¦ µé¾î imap.mycompany.com °ú °°Àº °ÍÀ» »ç¿ëÇÏ¸é µÈ´Ù. ¸¶¹ý»ç´Â ±× °á°ú¸¦ C:\NewKeyRq.txt ÆÄÀÏ¿¡ ÀúÀåÇÑ´Ù. À̶§ Å° °ü¸®ÀÚ´Â ÇØ´ç Å°°¡ ¼­¸íÀÌ µÇ¾îÀÖÁö ¾Ê´Ù°í ¾Ë·ÁÁØ´Ù.

ÀÌ ÆÄÀÏÀ» OpenSSL OpenSSL /var/ssl µð·ºÅ丮¿¡ º¹»çÇؼ­ newreq.pem ÆÄÀÏ·Î À̸§À» ¹Ù²Û ÈÄ¿¡ ¼­¸íÇÏÀÚ.

CA.pl -sign

newcert.pem ÆÄÀÏÀº Àâ´ÙÇÑ ÅؽºÆ®°¡ µé¾îÀ־ Å° °ü¸®ÀÚ¿ëÀ¸·Î ÀûÇÕÄ¡ ¾Ê´Ù. newcert.pem ÆÄÀÏÀ» ¿­¾î¼­ -CERTIFICATE- ºÎºÐÀ» Á¦¿ÜÇÏ°í´Â »èÁ¦ÇÏÀÚ. ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î °£´ÜÇÏ°Ô ÇØ°áÇÒ ¼ö ÀÖ´Ù:

openssl x509 -in newcert.pem -out newcertx509.pem

±âŸ ´Ù¸¥ ÅؽºÆ® ¿¡µðÅ͸¦ ÀÌ¿ëÇؼ­ -CERTIFICATE- ºÎºÐÀ» Á¦¿ÜÇÑ ³ª¸ÓÁö¸¦ »èÁ¦Çصµ ¹«¹æÇÏ´Ù.

À§ ÀÛ¾÷À» ¸¶Ä¡¸é newcertx509.pem ÆÄÀÏ¿¡´Â -CERTIFICATE- ºÎºÐ¸¸ ³²°Ô µÈ´Ù.

newcertx509.pem ÆÄÀÏÀ» Å° °ü¸®ÀÚ°¡ ½ÇÇàµÇ°í ÀÖ´Â ÄÄÇ»ÅÍ·Î º¹»çÇÏ°í, ÇØ´ç Å° ÆÄÀÏÀÇ ¾ÆÀÌÄÜ¿¡´Ù°¡ ¸¶¿ì½º ¿ìÃø¹öÆ°À» ´©¸£¸é "ÀÎÁõ¼­ ¼³Ä¡"¶ó´Â ¸Þ´º°¡ ¶á´Ù. ÀÌ ¸Þ´º¸¦ ¼±ÅÃÇؼ­ ¼³Ä¡¸¦ ´©¸£°í ºñ¹Ð¹®±¸¸¦ ÀÔ·ÂÇϸé ÇØ´ç Å°¸¦ ¼³Ä¡ÇÒ ¼ö ÀÖ´Ù.


3.2. E-mail º¸¾È

3.2.1. S/MIME ÀÎÁõ¼­ »ý¼º°ú »ç¿ë

¾Õ¿¡¼­ ¹è¿î ¹æ¹ýÀ¸·Î ÀÎÁõ¼­¸¦ »ý¼ºÇÏ°í ¼­¸íÇÏÀÚ. ´Ü, Common Name (CN) Çʵå´Â ¿©·¯ºÐÀÇ E-mail ÁÖ¼Ò¸¦ ÀÔ·ÂÇØ¾ß ÇÑ´Ù.

±×¸®°í ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î ¿øº» ¸Þ½ÃÁö(test.txt)¸¦ ÀÎÁõ¼­(newcert.pem)¿Í Å°ÆÄÀÏ(newreq.pem)·Î ¼­¸íÇؼ­ test.msg¶ó´Â ÆÄÀÏ·Î Ãâ·ÂÇÏÀÚ:

openssl smime -sign -in test.txt -text -out test.msg -signer newcert.pem -inkey newreq.pem

ÀÌÁ¦ ¿©·¯ºÐÀº test.msg ÆÄÀÏÀ» ´Ù¸¥ »ç¶÷¿¡°Ô º¸³»¸é µÈ´Ù. ÀÌ·± ¹æ¹ýÀ» ÀÌ¿ëÇؼ­ °ø½Ä º¸°í¼­³ª ¹®¼­ µî¿¡ ¼­¸íÇÒ ¼ö ÀÖ´Ù.


3.2.2. MS Outlook¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ

MS Outlook¿¡¼­ ÀÎÁõ¼­¸¦ »ç¿ëÇÏ·Á¸é pkcs12 Æ÷¸ËÀÇ ÆÄÀÏÀÌ ÇÊ¿äÇÏ´Ù. ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î newcert.pem ÆÄÀÏ°ú newreq.pem ÆÄÀÏ¿¡¼­ pkcs12 Æ÷¸ËÀÇ ÆÄÀÏÀ» »ý¼ºÇÒ ¼ö ÀÖ´Ù:

CA.pl -pkcs12 "Franck Martin"
(openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out newcert.p12 \
-name "Franck Martin")

¶Ç´Â ´ÙÀ½ÀÇ ¸í·ÉÀ» ÀÌ¿ëÇؼ­ ¼­¸íµÈ ÀÎÁõ¼­¸¦ pkcs12 ÆÄÀÏ¿¡ žÀçÇÒ ¼ö ÀÖ´Ù.

openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -certfile cacert.pem \
-out newcert.p12 -name "Franck Martin"

ÀÌ·¸°Ô »Ì¾Æ³½ ÆÄÀÏÀº °ø°³Å°¿Í °³ÀÎÅ°°¡ °°ÀÌ ¹­¿©ÀÖ°í, °³ÀÎÅ°´Â ºñ¹Ð¹®±¸¿¡ ÀÇÇؼ­¸¸ º¸È£µÇ°í ÀÖ´Ù. µû¶ó¼­ ÀÌ ÆÄÀÏÀÌ Å¸Àο¡°Ô ¾Ë·ÁÁöÁö ¾Êµµ·Ï ÁÖÀÇÇØ¾ß ÇÑ´Ù.

MS Outlook ¿¡¼­ µµ±¸ ¸Þ´º·Î °£ µÚ¿¡ ¿É¼Ç°ú º¸¾ÈÀ» ¼±ÅÃÇÏÀÚ. °¡Á®¿À±â/³»º¸³»±â ¹öÆ°À» ´©¸£°í newcert.p12 ÆÄÀÏÀ» °¡Á®¿À¸é, ³»º¸³¾ ¶§ ÀÔ·ÂÇß´ø ¾ÏÈ£¿Í µðÁöÅÐ ID "Franck Martin"¸¦ ÀÔ·ÂÇ϶ó°í ¶á´Ù. (Franck MartinÀº ÇÊÀÚÀÇ À̸§À̸ç À§ÀÇ ¿¹Á¦¿¡¼­ ÀÔ·ÂÇÑ À̸§À» »ç¿ëÇÏ¸é µÈ´Ù.) ±× ´ÙÀ½¿¡ È®ÀÎ ¹öÆ°À» Ŭ¸¯ÇÏÀÚ.

ÀÌÁ¦ ¼³Á¤ ¹öÆ°À» ´©¸£¸é ±âº» º¸¾È ¼³Á¤À» ÇÒ ¼ö ÀÖ´Ù. »õ·Î ¸¸µé±â¸¦ ÅëÇØ º¸¾È ¼³Á¤À» º¯°æÇÏ°í È®ÀÎ ¹öÆ°À» ´©¸£¸é Àû¿ëµÈ´Ù. ÀÌ ÀÛ¾÷À» ¸¶Ä¡¸é E-nmail¿¡ ¼­¸íÀ» ºÙ¿©¼­ º¸³¾ ¼ö ÀÖ´Ù. ¾ÕÀ¸·Î E-mailÀ» ¼Û½ÅÇÏ¸é º»¹®, °ø°³Å°, ¼­¸íÀÌ ÇÔ²² Àü¼ÛµÈ´Ù. Â÷ÈÄ ¼ö½ÅÀÚ ÂÊ¿¡¼­´Â ÀÌ·¸°Ô ¹ÞÀº °ø°³Å°¸¦ ÀÌ¿ëÇؼ­ ¾ÏȣȭµÈ ¸ÞÀÏÀ» º¸³¾ ¼ö ÀÖ´Ù.

¾Õ¿¡¼­ ÀÎÁõ¼­¸¦ ÀÚü ¼­¸í ÀÎÁõ¼­(·çÆ® CA ÀÎÁõ¼­)·Î ¼­¸íÇ߱⠶§¹®¿¡, ¼ö½ÅÀÚ Ãø¿¡¼­ ½Å·ÚÇÒ ¼ö ÀÖ´Â ÀÎÁõ¼­·Î µî·ÏµÇ¾î ÀÖÁö ¾Ê´Ù¸é °æ°í¸Þ½ÃÁö°¡ ¶ã °ÍÀÌ´Ù. À̶§ ·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ´Ù¿î·Îµå¸¦ Çؼ­ ¼³Ä¡ÇÏ¸é °æ°í¸Þ½ÃÁö°¡ ¾ø¾îÁø´Ù. "ÀÎÅÍ³Ý ÀͽºÇ÷η¯¿¡¼­ ·çÆ® ÀÎÁõ±â°ü ÀÎÁõ¼­¸¦ ½Å·ÚÇÒ ¼ö ÀÖ´Â ·çÆ® ÀÎÁõ¼­ ÀúÀå¼Ò¿¡ ¼³Ä¡Çϱâ"ÀåÀ» Âü°íÇؼ­ ¼³Ä¡ÇÏÀÚ.

¿©·¯ºÐÀÌ ¸ÞÀÏÀ» º¸³¾ ¶§ ¸Þ½ÃÁö Àüü¸¦ ¾ÏȣȭÇÒ °ÍÀÎÁö, ÀÏ¹Ý ÅؽºÆ®·Î º¸³¾ °ÍÀÎÁö ¼±ÅÃÇÒ ¼ö ÀÖ´Ù. »ç½Ç À̶§ÀÇ ¾Ïȣȭ¶õ ÁøÁ¤ÇÑ ÀǹÌÀÇ ¾Ïȣȭ°¡ ¾Æ´Ï´Ù. °ø°³Å°°¡ ÇÔ²² Àü¼ÛµÇ±â ¶§¹®¿¡ ´©±¸³ª ¸Þ½ÃÁö¸¦ º¹È£È­Çؼ­ º¼ ¼ö ÀÖ´Ù. ´ÜÁö S/MIME À» Áö¿øÇÏ´Â ¼ö½ÅÀÚ¸¸ ÀÐÀ» ¼ö ÀÖ°Ô Á¦ÇÑÀ» °É »ÓÀÌ´Ù.

MS-Outlook XP ÀÌÀü ¹öÀü¿¡¼­´Â ÀÎÁõ¼­¸¦ ¼ö½ÅÇϸé ÀÎÅͳݿ¡ °Ë»öÇؼ­ È®ÀÎÇϵµ·Ï µÇ¾î ÀÖ´Ù. ¶§¹®¿¡ E-mailÀÌ È­¸é¿¡ Ç¥½ÃµÇ±â Àü¿¡ ¸îÃÊ°£ ¼Ò¿äµÈ´Ù. ¸¸¾à ÀÎÅÍ³Ý Á¢¼ÓÀÌ ²÷°Ü ÀÖ´Ù¸é ¸ÞÀÏ ³»¿ëÀ» º¼ ¼ö ¾øÀ» °ÍÀÌ´Ù. MS-Outlook XP ÀÌÀü ¹öÀüÀº ÀÌ·¯ÇÑ ¿É¼ÇÀÌ ¼±ÅúҰ¡´ÉÇÑ ¹ö±×°¡ Àֱ⠶§¹®¿¡ ½Ã½ºÅÛÀÌ ¿ÀÀÛµ¿ÇÒ ¼öµµ ÀÖ´Ù.


3.2.5. Evolution¿¡¼­ ÀÎÁõ¼­ »ç¿ëÇϱâ

Evolution 1.0 ¹öÀüÀº S/MIMEÀ» Áö¿øÇÏÁö ¾Ê´Â´Ù. ´Ü, PGP¸¦ Áö¿øÇϱ⠶§¹®¿¡ ±×°ÍÀ» ÀÌ¿ëÇÏ¸é µÈ´Ù. S/MIME ±â´ÉÀº Â÷ÈÄ Áö¿øÇϵµ·Ï ¿¹Á¤µÇ¾î ÀÖ´Ù. (Evolution ¹ö±× µ¥ÀÌÅͺ£À̽º¿¡ µî·ÏµÇ¾î ÀÖ´Ù) ±×·¯³ª Æò¹®À¸·Î ¼­¸íµÇ¾î ÀÖ´Ù¸é, ¼­¸íÀ» È®ÀÎÇÏÁö´Â ¸øÇÏÁö¸¸ ³»¿ëÀº º¼ ¼ö ÀÖ´Ù. (ÀÌÀü ¹öÀüÀÇ EvolutionÀº MS-Outlook¿¡¼­ »ç¿ëÇÏ´Â 3 MIME ¼­¸í Çüŵµ Á¦´ë·Î ÀνÄÇÏÁö ¸øÇÑ´Ù.)


3.3. ÆÄÀÏ º¸¾ÈSecuring Files

3.3.1. WinCrypt

WinCrypt´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¾Ïȣȭ API¸¦ ÀÌ¿ëÇÑ ÆÄÀÏ ¾Ïȣȭ/¼­¸í ÇÁ·Î±×·¥ÀÌ´Ù. ÀÌ ÇÁ·Î±×·¥Àº ºÎ°¡ÀûÀ¸·Î ÆÄÀÏ/Æú´õµéÀ» zipÆÄÀÏ·Î ¾ÐÃàÇؼ­ ¼­¸íÇÏ´Â ±â´Éµµ Á¦°øÇÏ°í ÀÖ´Ù. ¶ÇÇÑ ÀÚüÀûÀ¸·Î ÀÎÁõ¼­ ÀúÀå¼Ò ±â´ÉÀÌ Àֱ⠶§¹®¿¡, »ç¿ëÀÚ°¡ ¿øÇÏ´Â ÀÎÁõ¼­¸¦ ¼³Ä¡Çϰųª »èÁ¦ÇÒ ¼ö ÀÖ´Ù. ¼­¸í ½Ã¿¡´Â ¼³Ä¡µÈ ÀÎÁõ¼­ Áß¿¡¼­ »ç¿ëÇÒ °ÍÀ» ¼±ÅÃÇؼ­ ¼­¸íÇÏ¸é µÈ´Ù.

ÀÎÁõ¼­ »ý¼º ¹æ¹ýÀº MS Outlook°ú µ¿ÀÏÇÏ´Ù. ¶ÇÇÑ °°Àº ÀÎÁõ¼­ ÀúÀå¼Ò¸¦ »ç¿ëÇÏ°í Àֱ⠶§¹®¿¡ WinCrypt´Â MS Outlook°ú ¿Ïº®ÇÏ°Ô È£È¯µÈ´Ù.

WinCrypt·Î ¼­¸íµÈ filename.sgn ÆÄÀÏÀº ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î È®ÀÎÇÒ ¼ö ÀÖ´Ù:

openssl smime -verify -inform der -in filename.sgn -CAfile cacert.crt

OpenSSLÀ» ÀÌ¿ëÇؼ­ ȣȯµÇ´Â Æ÷¸ËÀ¸·Î ¼­¸íÇÏ°í ½Í´Ù¸é ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î ¼­¸íÇÒ ¼ö ÀÖ´Ù:

openssl smime -sign -outform der -nodetach -out filename.sgn \
-signer certificate.pem -in filename.txt

ÀÎÁõ¼­ÀÇ ±¸Á¶³ª ±âŸ Á¤º¸¸¦ º¸±â À§Çؼ­´Â ´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î È®ÀÎÇÒ ¼ö ÀÖ´Ù:

openssl asn1parse -inform der -in filename.sgn

3.4. µðÁöÅÐ ÄÚµå ÀÎÁõ¼­

3.4.1. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÄÚµå

¿©·¯ºÐÀº ¹®¼­ ¿Ü¿¡µµ ¿©·¯ºÐÀÌ °³¹ßÇÑ ÇÁ·Î±×·¥À̳ª ¾ÖÇø´¿¡µµ ¼­¸íÇÒ ¼ö ÀÖ´Ù. ÀÌ·¸°Ô ¼­¸íµÈ ÇÁ·Î±×·¥Àº »ç¿ëÀÚ¿¡°Ô ¹ÙÀÌ·¯½º³ª ¹éµµ¾î·Î °¨¿°µÇÁö ¾Ê¾Ò´Ù´Â °ÍÀ» º¸ÁõÇÒ ¼ö ÀÖ´Ù. ÀÌ·¸°Ô ÇÁ·Î±×·¥¿¡ ¼­¸íÇϱâ À§Çؼ­´Â Microsoft Authenticode SDK°¡ ÇÊ¿äÇÏ´Ù. ÀÌ SDK´Â MSDN¿¡ ³ª¿ÍÀÖ´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À¥»çÀÌÆ®¿¡¼­ ¹ÞÀ» ¼ö ÀÖ´Ù.

¾Õ¿¡¼­ ¹è¿î ¹æ¹ýÀ» ÀÌ¿ëÇؼ­ ÀÎÁõ¼­¸¦ »ý¼ºÇÏÀÚ. ´Ü Common Name (CN)Àº “ACME Software Cert”·Î »ý¼ºÇÏÀÚ. ±× ÈÄ¿¡ ÀÎÁõ¼­¸¦ ¼­¸íÇÏ°í ±× ÆÄÀÏÀ» pkcs12 Æ÷¸ËÀ¸·Î º¯È¯ÇÏÀÚ.

CA.pl -newreq
CA.pl -sign
CA.pl -pkcs12 "ACME Software Cert"

»ý¼ºµÈ newcert.p12 ÆÄÀÏÀ» À©µµ¿ì¿¡¼­ ´õºíŬ¸¯Çϸé ÇØ´ç ÀÎÁõ¼­¸¦ ÀÎÁõ¼­ ÀúÀå¼Ò¿¡ ¼³Ä¡ÇÒ ¼ö ÀÖ´Ù.

ÀÌ ÀÛ¾÷À» ¸¶ÃÆÀ¸¸é ÃÖÁ¾ÀûÀ¸·Î ´ÙÀ½ÀÇ ¸í·ÉÀ» ÀÌ¿ëÇؼ­ ÇÁ·Î±×·¥¿¡ ¼­¸íÇÒ ¼ö ÀÖ´Ù.

signcode -cn "ACME Software cert" -tr 5 -tw 2 -n "My Application" \
-i http://www.acme.com/myapp/ \
-t http://timestamp.verisign.com/scripts/timstamp.dll myapp.exe

ÀÌ·¸°Ô ¼­¸íµÈ ÇÁ·Î±×·¥À» ¼³Ä¡Çϰųª ½ÇÇàÇÏ·Á°í ÇÏ¸é “My Application” À̶õ Á¦¸ñÀÇ Ã¢ÀÌ ¶ã °ÍÀÌ´Ù. Á¦¸ñÀ» Ŭ¸¯Çϸé -i¿É¼Ç¿¡¼­ ÀÔ·ÂÇÑ ¸µÅ©·Î ¿¬°áµÉ °ÍÀÌ´Ù.


3.5. IPSec

IPSecÀº TCP/IP¿¡¼­ IP Layer À§¿¡¼­ µ¿ÀÛÇÏ´Â »õ·Î¿î ÇüÅÂÀÇ ÇÁ·ÎÅäÄÝÀÌ´Ù. ÀÌ ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇϸé ÀÎÅͳÝÀÇ 2°³ÀÇ È£½ºÆ® °£¿¡ ad-hoc ¾Ïȣȭ ¸µÅ©¸¦ ¸¸µé ¼ö ÀÖ´Ù. IPSecÀº IPv6¿¡¼­ ¿Ïº®ÇÏ°Ô Áö¿øµÇÁö¸¸, IPv4¿¡µµ Àû¿ëÇؼ­ »ç¿ëÇÒ ¼ö ÀÖ´Ù. IPSecÀº È£½ºÆ® °£ÀÇ Å° ±³È¯ µîÀÇ ¸ÞÄ¿´ÏÁòÀÌ »ó´çÈ÷ ¾î·Á¿ö¼­ »ó´çÈ÷ ±¸ÇöÇϱ⠾î·Á¿î ÇÁ·ÎÅäÄÝÀÌ´Ù. Å° ±³È¯À» DNS ÇÁ·ÎÅäÄÝ·Î ÇÒ ¼öµµ ÀÖÁö¸¸ °ÅÀÇ ÀÌ·¸°Ô ¾²ÀÌÁö´Â ¾Ê´Â´Ù. ¶ÇÇÑ ¾ÆÁ÷ À¯¸íÇÑ ÀÎÁõ±â°üµéµµ ¿£ÅÍÇÁ¶óÀÌÁî ȯ°æ¿¡ ÇÊ¿äÇÑ ÀÎÁõ ±â´ÉÀ» ´Ù Á¦°øÇÏÁö ¾Ê°í ÀÖ´Ù.


3.5.1. FreeS/WAN

FreeS/WAN ÇÁ·Î±×·¥Àº GNU/Linux¿¡¼­ IPSecÀ» ±¸ÇöÇÑ ´ëÇ¥ÀûÀÎ ÇÁ·Î±×·¥ÀÌ´Ù. ÇöÀç ¹öÀüÀº 1.9.7 Àε¥, ÀÌ ¹öÀüÀº x.509 ¿ÍÀÇ È£È¯¼º ¹®Á¦·Î ÀÎÇؼ­ ÆÐÄ¡°¡ ÇÊ¿äÇÏ´Ù. ÆÐÄ¡´Â http://www.freeswan.ca/ ¿¡¼­ ¹ÞÀ» ¼ö ÀÖ´Ù. ¸î¸î GNU/Linux ¹èÆ÷º»¿¡´Â ÀÌ¹Ì ÆÐÄ¡°¡ Àû¿ëµÈ ÆÐÅ°Áö°¡ ³»ÀåµÇ¾î ÀÖÀ» °ÍÀÌ´Ù. ÀÌ °æ¿ì ³»Àå ÆÐÅ°Áö¸¦ ¼³Ä¡Çصµ ¹«¹æÇÏ´Ù. ÀÌ ¹öÀüÀ» ÀÌ¿ëÇϸé opensslÀ» ÅëÇØ FreeS/WANÀ̳ª DNS CERT records¿¡¼­ ¾µ ¼ö ÀÖ´Â ÀÎÁõ¼­¸¦ »ý¼ºÇÒ ¼ö ÀÖ´Ù. FReeS/WANÀº Microsoft ¿¡¼­ ±¸ÇöÇÑ IPSec°ú ȣȯµÈ´Ù. ´õ ÀÚ¼¼ÇÑ Á¤º¸´Â NateÀÇ ÆäÀÌÁö¸¦ ÂüÁ¶Çϱ⠹ٶõ´Ù.


3.5.1.1. FreeS/WAN °ÔÀÌÆ®¿þÀÌ ¸Ó½Å

IPSec °ÔÀÌÆ®¿þÀÌÀÇ ÀÎÁõ¼­¸¦ »ý¼ºÇÒ ¶§ CN(Common Name)Àº FQDN(Fully Qualified Domain Name)ÀÌ µÇ¾î¾ß ÇÑ´Ù. ¿¹¸¦ µé¾î [host.example.com.]°ú °°ÀÌ ¾²¸é µÈ´Ù. ÀÎÁõ¼­¸¦ »ý¼ºÇÏ°í ³ª¼­ ¼­¸íÇÏ´Â °ÍÀ» ÀØÁö ¸»ÀÚ. ÀÛ¾÷À» ³¡³»¸é newcert.pem ÆÄÀÏ°ú newreq.pem ÆÄÀÏÀÌ »ý±æ °ÍÀÌ´Ù. newreq.pem ÆÄÀÏÀº °³ÀÎÅ°¿Í ±âŸ Á¤º¸µéÀÌ ´ã°ÜÀÖ´Â ÆÄÀÏÀÌ´Ù. ÀÌ ÆÄÀÏÀ» ÆíÁýÇؼ­ --BEGIN RSA PRIVATE KEY-- ¿¡¼­ --END RSA PRIVATE KEY-- »çÀÌÀÇ ³»¿ëÀ» Á¦¿ÜÇÑ ¶óÀÎÀº »èÁ¦ÇÏÀÚ. ±×¸®°í ÆÄÀÏÀ» °ÔÀÌÆ®¿þÀÌ¿¡ ¿Å±â¸é µÈ´Ù. °³ÀÎÅ°°¡ À¯ÃâµÇÁö ¾Êµµ·Ï ÁÖÀÇÇÏÀÚ. ¾Æ·¡ÀÇ ¿¹Á¦´Â FreeS/WAN ¼³Á¤ µð·ºÅ丮°¡ /etc/freeswan À϶§ÀÇ ¿¹Á¦ÀÌ´Ù. ¿©·¯ºÐÀÇ È¯°æ¿¡ ¸Â°Ô ¼öÁ¤Çؼ­ ÀÔ·ÂÇÏ¸é µÈ´Ù.

mv newreq.pem /etc/freeswan/ipsec.d/private/host.example.com.key
mv newcert.pem /etc/freeswan/ipsec.d/host.example.com.pem

·çÆ® ÀÎÁõ¼­µµ FreeS/WAN µð·ºÅ丮¿¡ º¹»çÇÏÀÚ. °³ÀÎÅ°´Â ÇÊ¿ä¾ø°í ÀÎÁõ¼­¸¸ º¹»çÇÏ¸é µÈ´Ù.

mv cacert.pem /etc/freeswan/ipsec.d/cacerts

ÀÎÁõöȸ¸ñ·Ï(CRL)À» »ý¼ºÇؼ­ FreeS/WAN ¼³Á¤ µð·ºÅ丮¿¡ º¹»çÇÏÀÚ. ±âÁ¸¿¡ »ç¿ëÇÏ´ø ÀÎÁõöȸ¸ñ·ÏÀÌ ÀÖ´Ù¸é ±×°ÍÀ» º¹»çÇÏ¸é µÈ´Ù.

openssl ca -genrcl -out /etc/freeswan/ipsec.d/crls/crl.pem

°ÔÀÌÆ®¿þÀÌÀÇ ipsec.secrets ÆÄÀÏÀ» ÆíÁýÇؼ­ ´ÙÀ½ÀÇ ¶óÀÎÀ» Ãß°¡ÇÏÀÚ:

: RSA host.example.com.key “password”

Æнº¿öµå´Â °ø°³Å°/ºñ¹ÐÅ°¸¦ »ý¼ºÇÒ ¶§ ÀÔ·ÂÇß´ø °ÍÀ» ÀûÀ¸¸é µÈ´Ù. ipsec.conf ÆÄÀÏÀº ´ÙÀ½°ú °°ÀÌ ÆíÁýÇÏÀÚ:

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn roadwarrior-net
leftsubnet=<your_subnet>/<your_netmask>
also=roadwarrior
conn roadwarrior
right=%any
left%defaultroute
leftcert=host.example.com.pem
auto=add
pfs=yes

À§ ¼³Á¤ÆÄÀÏ¿¡¼­ º¸´Ù½ÃÇÇ 2°³ÀÇ Á¢¼ÓÀÌ ÀÌ·ç¾îÁø´Ù. Çϳª´Â °ÔÀÌÆ®¿þÀÌ¿ÍÀÇ Á¢¼ÓÀÌ°í, ´Ù¸¥ Çϳª´Â °ÔÀÌÆ®¿þÀÌ µÚÀÇ ³×Æ®¿öÅ© Á¢¼ÓÀÌ´Ù. ÀÌ ¼³Á¤Àº °ÔÀÌÆ®¿þÀÌ¿¡ ¹æÈ­º®À̳ª NAT¸¦ ¿î¿µÇϴ ȯ°æ¿¡ À¯¿ëÇÏ´Ù. À§ ¼³Á¤À» ¸¶Ä¡¸é Á¦´ë·Î µÈ ÀÎÁõ¼­¸¦ °¡Áö°í Àִ Ŭ¶óÀ̾ðÆ®¶ó¸é °ÔÀÌÆ®¿þÀÌ¿¡ Á¢¼ÓÇÒ ¼ö ÀÖ´Ù.


3.5.1.2. FreeS/WAN Ŭ¶óÀ̾ðÆ®

Ŭ¶óÀ̾ðÆ®ÀÇ ÀÛ¾÷µµ ¼­¹öÀÇ ¼³Á¤ ÀÛ¾÷°ú ºñ½ÁÇÏ´Ù. ÀÎÁõ¼­¸¦ »ý¼ºÇϵÇ, CN Çʵå´Â Ŭ¶óÀ̾ðÆ®ÀÇ FQDNÀ¸·Î ÀÔ·ÂÇÏ¸é µÈ´Ù. ¿¹¸¦ µé¾î [clienthost.example.com.]°ú °°ÀÌ ÀÔ·ÂÇÏ¸é µÈ´Ù. ÀÌ·¸°Ô »ý¼ºÇÑ ÀÎÁõ¿äû¼­´Â ¹Ýµå½Ã °ÔÀÌÆ®¿þÀÌ ÀÎÁõ¼­ÀÇ ÀÎÁõ±â°ü¿¡¼­ ¼­¸íÇØ¾ß ÇÑ´Ù. ÀÌ ¹æ¹ýÀ¸·Î ÇØ´ç ¸µÅ©°¡ ÀÎÁõµÇ´Â °ÍÀÌ´Ù.

°ÔÀÌÆ®¿þÀÌ¿¡¼­ ´ÙÀ½ÀÇ ÆÄÀÏÀ» ¼³Á¤ µð·ºÅ丮·Î º¹»çÇÏÀÚ:

mv newreq.pem /etc/freeswan/ipsec.d/private/clienthost.example.com.key
mv newcert.pem /etc/freeswan/ipsec.d/clienthost.example.com.pem

¶ÇÇÑ °³ÀÎÅ°¸¦ Á¦¿ÜÇÑ ·çÆ® ÀÎÁõ¼­µµ FreeS/WAN ¼³Á¤ µð·ºÅ丮¿¡ º¹»çÇÏÀÚ.

mv cacert.pem /etc/freeswan/ipsec.d/cacerts

ÀÎÁõöȸ¸ñ·Ï(CRL)µµ »ý¼ºÇÏÀÚ.

openssl ca -genrcl -out /etc/freeswan/ipsec.d/crls/crl.pem

¸¶Áö¸·À¸·Î ¿©·¯ºÐÀÇ ÀÎÁõ¼­(°³ÀÎÅ°¸»°í)¸¦ °ÔÀÌÆ®¿þÀÌ¿¡ º¹»çÇÏÀÚ.

mv host.example.com.pem /etc/fresswan/ipsec.d/host.example.com.pem

ipsec.secrets ÆÄÀÏÀ» ¼öÁ¤Çؼ­ Ŭ¶óÀ̾ðÆ® °³ÀÎÅ°¸¦ ÀÐÀ» ¼ö ÀÖµµ·Ï ¸¸µéÀÚ.

: RSA clienthost.example.com.key “password”

±×¸®°í ipsec.conf ÆÄÀÏÀ» ´ÙÀ½°ú °°ÀÌ ¼öÁ¤Çؼ­ ÇØ´ç ³×Æ®¿öÅ© ¿¬°áÀ» È°¼ºÈ­ÇÏ¸é µÈ´Ù:

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn roadwarrior-net
left=(ip of host)
leftsubnet=(gateway_host_subnet)/(gateway_host_netmask)
also=roadwarrior
conn roadwarrior
left=(ip of host)
leftcert=host.example.com.pem
right=%defaultroute
rightcert=clienthost.example.com.pem
auto=add
pfs=yes

ÀÌÁ¦ VPN ¸µÅ©¸¦ ¿Ã¸®ÀÚ

ipsec auto --up roadwarrior
ipsec auto --up roadwarrior-net

ÀÚµ¿À¸·Î ¸µÅ©°¡ ¿Ã¶ó°¡µµ·Ï ÇÏ·Á¸é, ¼³Á¤ ÆÄÀÏ¿¡¼­ 'auto=add' ºÎºÐÀ» 'auto=start'·Î ¹Ù²ÙÀÚ.


3.5.1.3. MS À©µµ¿ì 2000/XP Ŭ¶óÀ̾ðÆ® ¸Ó½Å

ÀÌ ÀÛ¾÷Àº FreeS/WAN Ŭ¶óÀ̾ðÆ®¿¡¼­ÀÇ ÀÛ¾÷°ú À¯»çÇÏ´Ù. ÀÎÁõ¼­¸¦ »ý¼ºÇϵÇ, CN Çʵå´Â FQDNÀ¸·Î »ý¼ºÇÏÀÚ. (¿¹:winhost.example.com) ´Ü ÀÌ ÀÎÁõ¼­¸¦ pkcs12 Æ÷¸ËÀÇ ÆÄÀÏ·Î º¯È¯ÇØ¾ß ÇÑ´Ù. “MS-Outlook¿¡¼­ ÀÎÁõ¼­¸¦ »ç¿ëÇϱâ”ÀåÀ» Âü°íÇؼ­ º¯È¯ÇÏÀÚ. pkcs12 Æ÷¸ËÀÇ ÆÄÀÏ¿¡ ·çÆ® ÀÎÁõ¼­°¡ Æ÷ÇԵǾî ÀÖ´ÂÁö È®ÀÎÇÏÀÚ

´ÙÀ½ÀÇ ¸í·ÉÀ¸·Î ¼¼ºÎ»çÇ×À» È®ÀÎÇÒ ¼ö ÀÖ´Ù:

openssl x509 -in cacert.pem -noout -subject

ÀÌ ÆÄÀÏÀ» MS À©µµ¿ì¿¡ º¹»çÇÏÀÚ. º¹»çÇÒ¶§ ¿ÜºÎ¿¡ ´©ÃâµÇÁö ¾Êµµ·Ï ÁÖÀÇÇÏÀÚ.

Marcus MullerÀÇ ipsec.exe ÇÁ·Î±×·¥À» C:\ipsec µð·ºÅ丮¿¡ º¹»çÇÏÀÚ.

¸¶ÀÌÅ©·Î¼ÒÇÁÆ® °ü¸® ÄܼÖ(Microsoft Management Console, MMC)À» ½ÇÇàÇؼ­ '½º³ÀÀÎ Ãß°¡/Á¦°Å' ¸Þ´º¸¦ ¼±ÅÃÇÏÀÚ. 'Ãß°¡' ¹öÆ°À» ´©¸¥ ÈÄ¿¡ 'ÀÎÁõ¼­'¸¦ ¼±ÅÃÇÏ°í 'ÄÄÇ»ÅÍ °èÁ¤'À» ¼±ÅÃÇÏ°í '´ÙÀ½' ¹öÆ°À» ´©¸£ÀÚ. '·ÎÄà ÄÄÇ»ÅÍ'¸¦ ¼±ÅÃÇÏ°í '¸¶Ä§'¹öÆ°À» ´©¸£¸é µÈ´Ù. À̹ø¿¡´Â 'IP º¸¾È Á¤Ã¥ °ü¸®'¸¦ ¼±ÅÃÇÏ°í 'Ãß°¡' ¹öÆ°À» ´©¸£ÀÚ. '·ÎÄà ÄÄÇ»ÅÍ'¸¦ ¼±ÅÃÇÏ°í '¸¶Ä§' ¹öÆ°À» ´©¸£¸é µÈ´Ù.

ÀÌÁ¦ pkcs12 Æ÷¸ËÀÇ ÀÎÁõ¼­¸¦ µî·ÏÇÏÀÚ.

'ÀÎÁõ¼­(·ÎÄà ÄÄÇ»ÅÍ)'¸¦ ¼±Åà ÈÄ¿¡ '°³ÀÎ'À» ¼±ÅÃÇÏÀÚ. µ¿ÀÛ'¸Þ´ºÀÇ '¸ðµç ÀÛ¾÷'À» ´©¸¥ ÈÄ¿¡ '°¡Á®¿À±â'¸¦ ¼±ÅÃÇϸé ÀÎÁõ¼­ °¡Á®¿À±â ¸¶¹ý»ç°¡ ½ÇÇàµÈ´Ù. ´ÙÀ½¿¡ pkcs12 ÆÄÀÏÀ» ¼±ÅÃÇÏ°í '´ÙÀ½'¹öÆ°À» ´©¸£¸é ¾ÏÈ£¸¦ ÀÔ·ÂÇ϶ó´Â ¸Þ½ÃÁö°¡ ¶ß´Âµ¥, ¾ÏÈ£¸¦ ÀÔ·ÂÇÏ°í '´ÙÀ½'¹öÆ°À» ´©¸£¸é µÈ´Ù. ÀÎÁõ¼­ ÀúÀå¼Ò´Â ÀÚµ¿À¸·Î ¼±Åÿ¡ ³õ°í '´ÙÀ½'À» ´©¸¥ ÈÄ¿¡ '¸¶Ä§'À» ´©¸£¸é µÈ´Ù. ÀÌÈÄ Á¤¸» ¼³Ä¡ÇÒ °ÍÀ̳Ĵ Æ˾÷âÀÌ ¶ß¸é ¿¹¸¦ ´©¸£°í MMC¸¦ Á¾·áÇϸé ÀÎÁõ¼­°¡ ÀúÀåµÈ´Ù. Çѹø ÀúÀåÇÑ ÀÎÁõ¼­´Â ´Ù½Ã Ãß°¡ÇÏÁö ¾Ê¾Æµµ µÈ´Ù.

ipsec ÇÁ·Î±×·¥ÀÇ ¹®¼­¿¡ ³ª¿ÍÀÖ´Â ¹æ¹ý´ë·Î ipsecpol.exe(Windows 2000)À̳ª ipseccmd.exe(Windows XP)¸¦ ¼³Ä¡ÇÏÀÚ. À©µµ¿ìÀÇ ipsec.conf ÆÄÀÏÀ» ÆíÁýÇؼ­ "RightCA"ºÎºÐÀ» 'openssl x509 -in cacert.pem -noout -subject' ¸í·ÉÀÇ °á°ú·Î ¹Ù²ÙÀÚ. ´ÙÀ½Àº ±× ¿¹Á¦ÀÌ´Ù. (¸î¸î À̸§ÀÌ ¹Ù²î°í, '/' ¹®ÀÚ°¡ ÄÞ¸¶·Î ¹Ù²ï °Í¿¡ ÁÖÀÇÇÏÀÚ)

conn roadwarrior 
left=%any 
right=(ip_of_remote_system) 
rightca="C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root"
network=auto 
auto=start 
pfs=yes
conn roadwarrior-net 
left=%any 
right=(ip_of_remote_system) 
rightsubnet=(your_subnet)/(your_netmask)
rightca="C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root" 
network=auto 
auto=start 
pfs=yes

´ÙÀ½Àº ¸µÅ©¸¦ È°¼ºÈ­ÇÒ Â÷·Ê´Ù.

'ipsec.exe'¸¦ ½ÇÇàÇÏÀÚ. ´ÙÀ½Ã³·³ Ãâ·ÂµÉ °ÍÀÌ´Ù:

C:\ipsec>ipsec 
IPSec Version 2.1.4 (c) 2001,2002 Marcus Mueller 
Getting running Config ... 
Microsoft's Windows XP identified 
Host name is: (local_hostname) 
No RAS connections found. 
LAN IP address: (local_ip_address) 
Setting up IPSec ...
Deactivating old policy... 
Removing old policy...
Connection roadwarrior: 
MyTunnel : (local_ip_address)
MyNet : (local_ip_address)/255.255.255.255 
PartnerTunnel: (ip_of_remote_system) 
PartnerNet : (ip_of_remote_system)/255.255.255.255 
CA (ID) : C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root... 
PFS : y 
Auto : start 
Auth.Mode : MD5 
Rekeying : 3600S/50000K 
Activating policy...
Connection roadwarrior-net: 
MyTunnel : (local_ip_address) 
MyNet : (local_ip_address)/255.255.255.255 
PartnerTunnel: (ip_of_remote_system) 
PartnerNet : (remote_subnet)/(remote_netmask) 
CA (ID) : C=FJ, ST=Fiji, L=Suva, O=SOPAC, OU=ICT, CN=SOPAC Root... 
PFS : y 
Auto : start 
Auth.Mode : MD5 
Rekeying : 3600S/50000K 
Activating policy...
C:\ipsec>

±×·³ ÀÌÁ¦ °ÔÀÌÆ®¿þÀÌ·Î ÇÎÀ» ³¯·Áº¸ÀÚ. 'Negotiating IP Security'¶ó°í ¸î¹ø ³ª¿Ã °ÍÀÌ´Ù. ÀϹÝÀûÀ¸·Î Çѹø¿¡ µÇÁö ¾Ê°í ¸î¹ø Ãâ·ÂµÇ¹Ç·Î ´çȲÇÏÁö ¸»ÀÚ. T1 ȸ¼±ÀÇ VPN ¼­¹ö¿Í ÄÉÀÌºí ¸ðµ©¿¡¼­ Å×½ºÆ®Çغ» °á°ú ¾à 3-4 ÇÎ Á¤µµ°¡ Ãâ·ÂµÇ¾ú´Ù. ÀÌ¿Í °°ÀÌ ³»ºÎ ³»Æ®¿öÅ©¿¡¼­ ¿ÜºÎ·Î ³ª°¥ ¶§ À§¿Í °°Àº ÀÛ¾÷ÀÌ ÀÌ·ç¾îÁø´Ù.


4Chapter. ±Û·Î¹ú PKI

4.1. ÇöÀç ¿î¿µµÇ°í ÀÖ´Â PKI

ÀÌÁ¦ ¿©·¯ºÐÀº »ó¿ë PKI¸¦ »ç¿ëÇÒ°ÇÁö, °³ÀÎ PKI¸¦ ¸¸µé °ÍÀÎÁö ¼±ÅÃÇؾßÇÑ´Ù. ÀÎÅͳݿ¡¼­ º¸¾È HTTP Åë½ÅÀ» À§ÇØ »ó¿ë PKI·ÎºÎÅÍ ÀÎÁõ¼­¸¦ ¼­¸í¹Þ´Â´Ù°í °¡Á¤Çغ¸ÀÚ. ÀϹÝÀûÀ¸·Î ÀÎÁõ¼­ÀÇ °¡°ÝÀº È£½ºÆ® ¼ýÀÚ¿Í ¿ëµµ¿¡ µû¶ó¼­ ¸Å°ÜÁø´Ù. ÀÌ °¡°ÝÀº ÀϹÝÀûÀ¸·Î È£½ºÆ®ÀÇ ½Å¿øÀ» ºÐ¼®ÇÏ´Â ºñ¿ë°ú »ó¿ë PKI¾÷üÀÇ ÀÌÀ±ÀÌ Æ÷ÇԵDZ⠶§¹®¿¡ µµ¸ÞÀÎ À̸§ ºñ¿ëº¸´Ù ÈξÀ ºñ½Î´Ù. POP³ª IMAP¿¡ Ãß°¡ÀûÀ¸·Î SSLÀ» Àû¿ëÇÏ°í ½ÍÀ»¶§±îÁö´Â ±×·°Àú·° ºñ¿ëÀÌ °¨´çµÉ °ÍÀÌ´Ù. ÇÏÁö¸¸ °¢ »ç¿ëÀÚº°·Î E-mail ÀÎÁõ¼­¸¦ ¹ß±Þ¹Þ´Â´Ù¸é? ÀÎÁõ¼­¿¡ ´ëÇØ ¾öû³­ ºñ¿ëÀ» ÁöÃâÇØ¾ßµÉ °ÍÀ̸ç, ¸Å³â À¯È¿±â°£ÀÌ ¸¸·áµÉ¶§¸¶´Ù °»½ÅÇÏ´Â ±Ý¾×, ³ë·ÂÀÌ ¾öû³ª°Ô µé °ÍÀÌ´Ù. ÀÌ ¿Ü¿¡µµ À§ ¹æ¹ýÀ» ÀÌ¿ëÇÏ¸é ´Ù¸¥ ÀÎÁõ¼­¿¡ ¼­¸íÇÏ´Â ÀÛ¾÷À» ÇÒ ¼ö ¾ø±â ¶§¹®¿¡, Ŭ¶óÀ̾ðÆ®/¼­¹ö ȯ°æ¿¡¼­ ÀÎÁõ¼­·Î Ŭ¶óÀ̾ðÆ®¸¦ ÀÎÁõÇÏ´Â ÀÛ¾÷À» ÇÒ ¼ö ¾ø´Ù.(Web server, IPsec, µîµî..)

´Ù¸¥ ÀÎÁõ¼­¿¡ ¼­¸íÇÒ ¼ö ÀÖ´Â ÀÎÁõ¼­´Â ¸¸µé ¼ö ¾øÀ»±î? ÇöÀç±îÁö ¹è¿î ¹Ù·Î´Â ÀÌ ¹®¼­¿¡ ³ª¿ÍÀÖ´Â ¹æ¹ýÀ» ÀÌ¿ëÇؼ­ ½º½º·Î ÀÎÁõ±â°üÀ» ¸¸µå´Â ¼ö ¹Û¿¡ ¾ø´Ù. ÀÌ ¹æ¹ýÀº ÀÎÁõ¼­¸¦ °ü¸®ÇÏ´Â ÀÔÀå¿¡¼­´Â Æí¸®ÇÏÁö¸¸, ´Ù¸¥»ç¶÷ÀÇ ÀÔÀå¿¡¼­´Â ±× ÀÎÁõ±â°üÀÌ ½Å·ÚÇÒ¸¸ÇÑ ±â°üÀÎÁö ÆľÇÇϱⰡ Èûµé´Ù.

ÇØ°áÃ¥Àº DNS¿Í °°ÀÌ °èÃþÀûÀ¸·Î ÀÎÁõÇÒ ¼ö ÀÖ´Â ½Ã½ºÅÛÀ» ¸¸µå´Â °ÍÀÌ´Ù. ÀÌ ½Ã½ºÅÛÀ» Global PKI¶ó°í ÇÑ´Ù.


4.2. ±Û·Î¹ú PKIÀÇ Çʿ伺

¿À´Ã³¯ PC º¸¾ÈÀÇ Á߿伺Àº °¥¼ö·Ï Ä¿Áö°í ÀÖ´Ù. ºô°ÔÀÌÃ÷(Bill Gates)´Â ¾ÕÀ¸·Î ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®°¡ ±â´É°ú º¸¾È Áß¿¡ ¼±ÅÃÇØ¾ß ÇÑ´Ù¸é º¸¾ÈÀ» ¼±ÅÃÇØ¾ß ÇÑ´Ù°í ¸»ÇÒ ¸¸Å­ ±× Á߿伺ÀÌ Å©´Ù.

ÀÎÅͳݿ¡¼­ ¾ÇÀǸ¦ °¡Áø »ç¶÷µéÀº °è¼Ó Áõ°¡ÇÏ´Â Ãß¼¼´Ù. ´©±¸³ª ¿©·¯ºÐ¿¡°Ô µ¥ÀÌÅ͸¦ º¸³¾ ¼ö ÀÖÀ¸¸ç, PC¿¡ ¾Ç¼º ¼ÒÇÁÆ®¿þ¾î¸¦ ¼³Ä¡Çϵµ·Ï À¯µµÇÒ ¼ö ÀÖ´Ù. ÇØ°áÃ¥Àº Åë½ÅÇϱâ Àü¿¡ »ó´ë¹æÀÌ ´©±¸ÀÎÁö È®ÀÎÇÏ°í Á¢¼ÓÇÏ¸é µÈ´Ù. ¸¸¾à ¾î¶² »ç¶÷°ú Åë½ÅÇÏ´Ù°¡ °ø°ÝÀ» ¹Þ¾Ò´Ù¸é, ¾ÕÀ¸·Î ±× »ç¶÷¿¡ ´ëÇØ Â÷´ÜÇÏ¸é µÉ °ÍÀÌ´Ù. ºÒÇàÈ÷µµ ÀÌ ¹æ¹ýÀº ½ºÆÔ ¸ÞÀÏ¿¡ ´ëÇؼ­´Â Àû¿ëÇϱâ Èûµé´Ù. ½ºÆÔ ¸ÞÀÏÀº ¹ß¼ÛÀÚ¸¦ ÃßÀûÇϱ⠾î·Á¿î °æ¿ì°¡ ¸¹±â ¶§¹®¿¡ ¼ö½ÅÀ» Çϱ⠽Ⱦ ¹ÞÀ» ¼ö ¹Û¿¡ ¾ø´Ù. ¸¸¾à E-mailÀ» ¼ö½ÅÇÒ ¶§ ÀÎÁõ¼­¸¦ ÅëÇØ ½Å¿øÁ¤º¸¸¦ ÇÔ²² ¹Þ´Â´Ù¸é ¾î¶³±î? ¿©·¯ºÐÀº ±× ¸ÞÀÏÀ» ½Å·ÚÇÏ°í ¿­¾îº¼ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÀÌ ¹æ¹ýÀº ÀϹÝÀüÈ­ÀÇ ¼Û½ÅÀÚ ¹øÈ£ ¾Ë¸² ±â´É°ú ºñ½ÁÇÏ´Ù. ÀÌ¿Í °°ÀÌ E-mail(S/MIME)À̳ª ÀÎÅͳݹðÅ·(HTTPS), ¼ÒÇÁÆ®¿þ¾î¼³Ä¡(ÄÚµå ¼­¸í) µî¿¡ ÀÎÁõ¼­¸¦ »ç¿ëÇÏ¸é »ó´ë¹æ¿¡°Ô ÇÑÃþ ´õ ½Å·Ú°¨À» ÁÙ ¼ö ÀÖ´Ù. ¾Æ½¬¿î Á¡Àº ÀÎÁõ¼­´Â ¾ÆÁ÷±îÁö ºñ¿ë ¹®Á¦·Î ÀÎÇØ ³Î¸® ¾²ÀÌ°í ÀÖÁö ¾Ê´Ù´Â Á¡ÀÌ´Ù. ƯÈ÷ Yahoo, Hotmail, CA Online µîÀÇ ´ëÇü ¸ÞÀϾ÷ü¿¡¼­ Áö¿øÇÏ°í ÀÖÁö ¾Ê´Ù´Â Á¡ÀÌ °É¸²µ¹ÀÌ´Ù. ¹°·Ð ÀϺΠ¹«·á·Î E-mail ÀÎÁõ¼­¸¦ ¹ß±ÞÇÏ´Â ±â°üÀÌ ÀÖÁö¸¸ ´ÜÁö E-mail ÁÖ¼Ò°¡ ½ÇÁ¸ÇÑ´Ù´Â °Í¸¸ Áõ¸íÇÒ »Ó, ½ÇÁ¦·Î ±× »ç¶÷ÀÇ ½Å¿øÀ» Áõ¸íÇØÁÖÁö´Â ¸øÇÏ°í ÀÖ´Ù.

±Û·Î¹ú PKI°¡ ÇÊ¿äÇÏ´Ù. ÀÌ¹Ì ÇÁ·ÎÅäÄÝ°ú Ç¥ÁØÀÌ Á¤ÇØÁ® ÀÖÀ¸¸ç, ÀÌ´Â ±âÁ¸ÀÇ °ÍÀ» ¶â¾î°íÄ¡Áö ¾Ê°íµµ Àû¿ëÇÒ ¼ö ÀÖ´Ù. IETF¿¡¼­ ÀÌ¹Ì ¸ðµç ¸ÞÄ¿´ÏÁòÀ» ´Ù ±¸ÇöÇØ ³õ¾Ò´Ù. LDAP¼­¹ö·Î ÀÎÁõ¼­¸¦ ÀúÀåÇÒ ¼ö ÀÖ°í, DNS¼­¹ö·Î ÀúÀå¼Ò¸¦ ãÀ» ¼ö ÀÖ´Ù. HTTP¸¦ »ç¿ëÇؼ­ ´Ù¸¥ ÀÀ¿ë ÇÁ·Î±×·¥¿¡ ÀÎÁõ¼­¸¦ Àü¼ÛÇÒ ¼ö ÀÖ°í, S/MIMEÀ» ÅëÇØ E-mailÀ» º¸È£ÇÒ ¼ö ÀÖ´Ù. ³²Àº°Ç ±â¼úÀûÀÎ ¹®Á¦°¡ ¾Æ´Ï¶ó Á¤Ã¥ÀûÀÎ ¹®Á¦ÀÌ´Ù. ¾î¶² ´Ù¸¥ Ç¥ÁØÀÌ ±Û·Î¹ú PKI¿Í ¿¬µ¿Çؼ­ µ¹¾Æ°¡°Ô µÉ±î? ±×¸®°í ¾î¶² ±â°üÀÌ ÀÌ·± ¼­ºñ½º¸¦ Á¦°øÇØÁÙ±î? Á¦°øµÇ´Â º¸¾È µî±ÞÀº ¾ó¸¶³ª ³ôÀ»±î? ¿©·¯ºÐÀ̳ª ´©±º°¡°¡ ÀÌ·± ¹®Á¦¿¡ ´ëÇÑ ÇØ´äÀ» ¾Ë°í ÀÖ´Ù¸é Àû±ØÀûÀ¸·Î ÃßÁøÇØÁÖ±æ ¹Ù¶õ´Ù.

ÇÊÀÚ´Â ÀÌ ºÎºÐÀ» ÈÄ¿¡ Internet SocietyÀÇ PKI ¿öÅ·±×·ìÀÇ ¿¬±¸³»¿ëÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÒ ¿¹Á¤ÀÌ´Ù. Internet Society´Â .org¿¡ ´ëÇÑ Å¾·¹º§ µµ¸ÞÀÎ À̸§µµ °ü¸®ÇÏ°í ÀÖ´Â ´ÜüÀÌ´Ù. ¿©±â¼­ ½ºÆÔ¸ÞÀÏÂ÷´Ü¿¡ ´ëÇÑ ¸¹Àº ¿¬±¸°¡ ÀÌ·ç¾îÁö°í ÀÖ´Ù.


ID
Password
Join
Lend money to a bad debtor and he will hate you.


sponsored by andamiro
sponsored by cdnetworks
sponsored by HP

Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2006-10-03 11:08:36
Processing time 0.0054 sec