3.5. 개인 CA를 사용하여 OpenSSL과 함께 CSR의 인증서 발행
시스템이 TLS 암호화 통신 채널을 설정할 수 있도록 하려면 CA(인증 기관)에서 유효한 인증서를 제공해야 합니다. 개인 CA가 있는 경우 시스템에서 인증서 서명 요청(CSR)에 서명하여 요청된 인증서를 생성할 수 있습니다.
사전 요구 사항
- 이미 개인 CA가 구성되어 있습니다. 자세한 내용은 3.2절. “OpenSSL을 사용하여 개인 CA 생성”를 참조하십시오.
- CSR이 포함된 파일이 있습니다. 3.3절. “OpenSSL을 사용하여 TLS 서버 인증서의 개인 키와 CSR 생성” 에서 CSR 생성의 예를 확인할 수 있습니다.
절차
선택 사항: 선택한 텍스트 편집기를 사용하여 인증서에 확장을 추가하기 위해 OpenSSL 구성 파일을 준비합니다. 예를 들면 다음과 같습니다.
$ vim <openssl.cnf> [server-cert] extendedKeyUsage = serverAuth [client-cert] extendedKeyUsage = clientAuthx509유틸리티를 사용하여 CSR을 기반으로 인증서를 생성합니다. 예를 들면 다음과 같습니다.$ openssl x509 -req -in <server-cert.csr> -CA <ca.crt> -CAkey <ca.key> -days 365 -extfile <openssl.cnf> -extensions <server-cert> -out <server-cert.crt> Signature ok subject=C = US, O = Example Organization, CN = server.example.com Getting CA Private Key
추가 리소스
-
OpenSSL(1),ca(1)및x509(1)매뉴얼 페이지
