0xFF
자체 CA 인증서로 서명한 RSA 키페어 만들기 본문
1. 개인 키페어 생성
1.1 개인키 생성
openssl genrsa -out mypriv.key 키 길이(2048 or 4096)
1.2 공개키 생성
openssl rsa -in priv.key -pubout -out mypub.key
2. 개인 키페어의 인증서 발급 요청
인증서란?
쉽게 말해 개인 키페어 중 공개키의 해시를 CA의 비밀키로 암호화한 값.
권위 있는 인증기관의 공개키는 대부분의 OS에 선탑재되어 출고되므로, 사용자 단말기들은 인증서를 CA의 공개키로 복호화한 값(해시)과 제시받은 공개키를 직접 해시한 값이 서로 일치하는지 판단하여 인증서의 진위를 쉽게 검증할 수 있음.
2.1 개인 키페어에 대한 인증서 요청 파일 생성(Certificate Signing Request)
openssl req -new -key mypriv.key -out my.csr
3. CA 키페어 생성(1.1 및 1.2와 동일)
3.1 CA의 개인키 생성
openssl genrsa -out capriv.key 4096
3.2 CA의 공개키 생성
openssl rsa -in capriv.key -pubout -out capub.key
3.3 CA의 키페어에 대한 인증서 발급 요청
openssl req -new -key capriv.key -out ca.csr
3.4 CA의 인증서 생성(자체 서명)
openssl x509 -in ca.csr -signkey capriv.key -out cacert.pem -days 3650 -extensions v3_ca -extfile /etc/ssl/openssl.cnf
4. CA의 인증서로 개인 키페어의 공개키에 서명하여 인증서 생성하기
openssl x509 -req -in my.csr -CA cacert.pem -CAkey capriv.key -CAcreateserial -days 3650 -out mycert.crt
mycert.crt가 1번 과정에서 생성한 키페어의 인증서가 됩니다.