Openssl 기반 인증서 정리

1. 목적

Server와 Client간의 HTTPS(TLS)통신을 위해서는 인증서가 필요하다. Client단에서 Server를 인증하기 위해서는 Server단에서 Client단으로 인증서를 내려주고, 그 인증서를 공인 CA 인증서로 확인을 해야 한다. 이 과정에서 공인 CA의 경우에는 비용 지불이 필요하다. 여기서는 비용이 들지 않는 CA를 직접 만들어서 사용하는 것을 정리한다. 이 CA를 Self-Signed CA라고 보통 말한다.

공인 인증서는 각 인증서를 검증하는 단계가 존재하고 이 구조는 보통 Tree 구조로 형성된다. 이 단계에서 최상위 단계를 Root CA라고 한다. 여기서 만드는 Self-Signed CA는 어차피 내가 만들어서 사용함으로 이 인증서 자체가 최상위 단계에 있는 것과 동일함으로 최종적으로 Self-Signed Root CA가 되는 것이다.

2. 인증서 발행 절차

인증서 발행 절차를 단계별로 정리한다.

2.1. 개인키 생성

Server와 Client는 이 단계를 동일하게 수행한다.

[ RSA기반 개인키 생성 ]

> openssl genrsa -out private.pem

[ RSA기반 개인키 생성 (nodejs) ]

spawn = require('child_process').spawn let keyArgs = ['genrsa', '-out', 'private.pem', '2048']; spawn('openssl', keyArgs, {stdio: 'pipe'}).on('exit', (code) =>; { if (code !== 0) { process.umask(oldmask); return reject(new Error("error generating key: return code " + code)); } });

상세 옵션은 링크 참조 : https://www.openssl.org/docs/man1.0.2/apps/genrsa.html

2.2. CSR 생성

인증기관으로부터 공식적인 인증서를 받기 위한 신청서를 생성하는 단계로 신청서 양식이 CSR(Certificate Signing Request)라고 이해하기로 함. 신청자를 구분하고자 몇가지 정보를 입력해야 함.

[ CSR 생성 (command line 명령어) ]

> openssl req -config ./openssl.cnf -subj '/C=KR/ST=Seoul/O=My Home/OU=My Home/CN=My Home/' -key private.pem -new -sha256 -out certificate.csr

• -config 옵션을 주지 않으면 default configuration file을 사용한다.
• -subj 옵션을 주지 않으면 CSR 생성시 필요한 각 항목에 대해서 사용자 입력을 요구한다.
• -key 옵션은 여기서는 2.1.절에서 생성한 개인키를 입력한다.

[ local openssl.cnf ]

[ req ] # Options for the `req` tool (`man req`). default_bits = 2048 distinguished_name = req_distinguished_name string_mask = utf8only # SHA-1 is deprecated, so use SHA-2 instead. default_md = sha256 # Extension to add when the -x509 option is used. x509_extensions = v3_ca [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name localityName = Locality Name 0.organizationName = Organization Name organizationalUnitName = Organizational Unit Name commonName = Common Name emailAddress = Email Address

openssl req 단계에서는 openssl.cnf 파일에서 [req] section을 참조한다.

[ CSR 생성 (nodejs 코드) ]

let csrArgs = ['req', '-config', './openssl.cnf', '-subj', '/C=KR/ST=Seoul/O=My Home/OU=My Home/CN=My Home/' , '-key', './private.pem', '-new', '-sha256', '-out', 'certificate.csr']; spawn('openssl', csrArgs, {stdio: 'pipe'}).on('exit', (code) => { if (code !== 0) { return reject(new Error("error generating csr: return code " + code)); } });

상세 옵션은 링크 참조 : https://www.openssl.org/docs/man1.0.2/apps/req.html

2.3. CA(Certification Authority) 통하지 않고 인증서 만들기

일반적인 인증서 발급 절차는 2.2.까지 CSR를  생성하고 CA에 CSR를 보내서 CA가 인증한 인증서를 취득한다.

위는 우리가 개발자라서 관심이 있지만 일반인은 그냥 인증서 발급 기관에서 간단한 개인정보만 입력하고 발급 받는 것이 일반적이지 않을까 생각이 든다.

아래에서 설명할 내용은 이미 네 서버에 CA가 존재하고 이 CA로 내 인증서를 Signing하는 방법에 대해서 알아본다. 왜 이런 것이 필요할까? 공식 인증기관은 돈이 들고, 또 이런 것까지 필요없는 단순 TLS(SSL) 구현부에서

자체 Client/Server 통신을 위해서 필요하다해서 관심을 갖는다.

[ CA로 Signing 된 인증서 생성 (command line 명령어) ]

> openssl ca -config ./openssl.cnf -extensions v3_ca -days 7300 -notext -md sha256 -in certificate.csr -out certification.pem -batch

[ CA로 Signing 된 인증서  생성 (nodejs 코드) ]

let certArgs = ['ca', '-config', ./openssl.cnf '-extensions', 'v3_ca', '-days', '7300', '-notext', '-md', 'sha256', '-in', CSR_PATH, '-out', certification.pem, '-batch']; spawn('openssl', certArgs, {stdio: 'pipe'}).on('exit', (code) => { if (code !== 0) { return reject(new Error("error generating cert: return code " + code)); } })

[ local openssl.cnf ]

[ CA_default ] # Directory and file locations. dir = /home/hskim/project/nodejs/ certs = $dir/certs crl_dir = $dir/crl new_certs_dir = $dir/newcerts database = $dir/index.txt serial = $dir/serial RANDFILE = $dir/.rand # The root key and root certificate. private_key = $dir/rootCA/rootca.key.pem certificate = $dir/rootCA/rootca.cert.pem # For certificate revocation lists. crlnumber = $dir/crlnumber crl = $dir/crl.pem crl_extensions = crl_ext default_crl_days = 30 # SHA-1 is deprecated, so use SHA-2 instead. default_md = sha256 name_opt = ca_default cert_opt = ca_default default_days = 375 preserve = no policy = policy_strict

openssl ca 단계에서는 openssl.cnf 파일에서 [ca] section을 참조한다.

네가 가지고 있는 CA로 Signing한 인증서를 만드는 가장 핵심은 openssl.cnf를 들어다봐야 이해할 수 있다.

현재까지 생성한 개인키와 CSR를 어디선가 받거나 자체 생성한 CA로 Signging하도록 지시하는 부분은 openssl.cnf 파일에 설정되어 있다. 

내 인증서를 CA로 인증할 Root CA의 private_key, certificate의 위치를 openssl.cnf에 기술되어 있다.

이를 기반으로 CA를 적용하여 내 인증서를 Signing한다.

만약 configuration 파일에 해당 항목이 지정되어 있지 않다면 아래 항목에 기술한다.

• -cert : CA certification 위치 지정
• -keyfile : CA private key 위치 지정

사실 위 옵션은 command line에서 해 보지는 않았지만 맞을 것이다.

상세 옵션은 링크 참조 : https://www.openssl.org/docs/man1.0.2/apps/ca.html

3. Self Signed Certification Authority (SSCA)

2.단계에서 CA 인증서를 사용하여 내 인증서를 Signing했다. 그렇다면 자체 CA는 어떻게 만들 것인가?

외부에서 받을 수도 있지만 여기서는 공식 인증기관이 아닌 자체적으로 Root CA를 만드는 과정에 대해서 설명한다.

그 절차는 2.단계에서 보았던 것과 동일하다. 일단 개인키를 만들고, 그 다음 CSR까지 동일하게 만든다.

마지막 CA 단계에서 x509 옵션을 사용한다.

[ SSCA 인증서 만들기 ]

> openssl req -new -x509 -days 7300 -key private.pem -out ssca.crt or > openssl x509 -req -in certificate.csr -extfile openssl.cnf -extensions v3_ca -signkey private.pem -out cacert.pem

[ -extensions v3_ca openssl.cnf ]

[ v3_ca ] # Extensions for a typical CA (`man x509v3_config`). subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, digitalSignature, cRLSign, keyCertSign

위의 command line 명령어에서 -extensions v3_ca 추가 시에 openssl.cnf에 위의 section이 존재하지 않으면 실패한다.

x509 version 3 이상을 지원하기 위함

상세 옵션은 링크 참조 : https://www.openssl.org/docs/man1.0.2/apps/x509.html

4. 인증서 확인 방법

인증서는 기본적으로 base64 encoding 되어 있어서 내용을 확인하기 위해서는 openssl x509 명령어를 사용한다.

[ x509 명령어 ]

openssl x509 -in cert.pem -noout -text // subject 출력 openssl x509 -in cert.pem -noout -subject

openssl x509 명령어를 통해서 인증서 내용확인, 변환, Self Signed CA 생성등의 일을 할 수 있다.