[인증서] openssl 인증서

개인키 소유자에 공개키를 인증기관 개인키로 전자 서명한 데이터

SSC (Self Signed Certificate) : root CA 만들어 인증

CSR (Certificate Signing Request) : 인증기관에 인증서 발급 요청하는 형식에 파일 (pkcs#10) => .csr 파일

1. root ca 생성 (pass phrase 사용, 분실하면 사용불가)

openssl genrsa -aes256 -out /etc/pki/tls/private/rootca.key 2048

- 개인키 권한 설정 :  600

onecluster : openssl genrsa 1024 > host.key

- public 키 생성

openssl req \

      -key rootca.key \

      -new -x509 -days 7300 -sha256 \

      -out root.cert.pem

2. csr 생성을 root_openssl.conf 설정

- 설정 파일

openssl req -new -key /etc/pki/tls/private/rootca.key -out /etc/pki/tls/certs/lesstif-rootca.csr -config rootca_openssl.conf

or

openssl req -sha256 -new -key /etc/pki/tls/private/rootca.key -out /opt/cloudera/security/pki/rootca.csr -subj '/CN=localhost'

- 직접 등록

openssl req -sha256 -new -key /etc/pki/tls/private/rootca.key -out /etc/pki/tls/certs/lesstif-rootca.csr -subj '/CN=localhost'

3. 10년짜리 ssc 인증서 생성

openssl x509 -req -days 3650  -set_serial 1 -in /etc/pki/tls/certs/lesstif-rootca.csr \

-signkey /etc/pki/tls/private/rootca.key -out /etc/pki/tls/certs/lesstif-rootca.crt 

4. 생성된 인증서 확인

인증서 보기

openssl x509 -text -in /etc/pki/tls/certs/lesstif-rootca.crt

비밀키 보기

openssl rsa -noout -text -in /etc/pki/tls/certs/lesstif-rootca.key

해당 ssl 사이트 접속해서 인증서 보기

openssl s_client -connect test:443 -showcerts

5. 기타

java jdk에서 지원해 주는 keytool를 사용하여 인증서 생성 가능

keytool -genkeypair to generate a public/private key pair and create the keystore.

keytool -certreq to create the CSR.

keytool -importcert to import the signed certificate into the keystore.