sechkey 유틸리티 - X.509 인증서 구성
sechkey 유틸리티는 CA ControlMinder가 구성 요소 사이의 통신을 인증하기 위해 사용하는 루트 및 서버 인증서를 구성합니다.
cminder12901kr
sechkey 유틸리티는 CA ControlMinder가 구성 요소 사이의 통신을 인증하기 위해 사용하는 루트 및 서버 인증서를 구성합니다.
sechkey 유틸리티를 사용하여 다음 작업을 수행할 수 있습니다.
- OU 암호로 보호되는 인증서를 포함하여 타사 루트 및 서버 인증서를 사용하도록 CA ControlMinder를 구성합니다.
- 타사 루트 인증서에서 서버 인증서를 만듭니다.
- 컴퓨터에 암호로 보호되는 인증서의 암호를 저장합니다.
sechkey를 사용하여 X.509 인증서를 구성하기 전에 반드시 CA ControlMinder를 중지해야 합니다. sechkey를 사용하려면 ADMIN 특성이 있어야 합니다.
참고:
CA ControlMinder가 FIPS 전용 모드에서 동작 중인 경우 암호로 보호된 인증서를 사용할 수 없습니다. crypto 섹션의 fips_only 구성 토큰 값이 1인 경우 CA ControlMinder는 FIPS 전용 모드로 동작합니다. 이 제한으로 인해 FIPS와 호환되지 않는 방법으로 인증서 내의 암호를 암호화할 수 없습니다.이 명령은 다음 형식을 사용하여 X.509 루트 또는 서버 인증서를 만듭니다.
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
이 명령은 다음 형식으로 OU 암호로 보호된 서버 인증서를 사용합니다.
sechkey -g {-subpwd password | -verify}
- -casechkey가 CA (루트) 인증서로 사용되는 자체 서명된 인증서를 만들도록 지정합니다.sechkey는 crypto 섹션의 ca_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.
- -capwdpassword서버 (주체) 인증서를 만들기 위해 sechkey가 사용하는 루트 인증서의 개인 키에 대한 암호를 지정합니다.
- -esechkey가 X.509 인증서를 만들도록 지정합니다.
- -gCA ControlMinder가 타사 서버 인증서를 사용하도록 지정합니다. crypto 섹션의 subject_certificate 구성 설정에 지정된 위치에 타사 서버 인증서를 저장하거나 crypto 섹션의 subject_certificate 구성 설정의 값을 편집하여 타사 서버 인증서의 전체 경로를 지정합니다.참고:새 디렉터리에 서버 인증서를 설치하는 경우 새 디렉터리를 보호하기 위해 CA ControlMinder FILE 규칙을 작성하십시오.
- -ininfilepath인증서 정보를 포함하는 입력 파일을 지정합니다. -in을 지정하지 않으면, sechkey는 표준 입력에서 정보를 읽습니다.인증서를 작성하려면 sechkey에 다음 정보가 필요합니다.
- 일련 번호
- 제목
- 첫 번째 날(인증서의 첫 번째 유효한 날)
- 마지막 날(인증서의 마지막 유효한 날)
- 전자 메일
- URI(종종 URL이라고 함)
- DNS 이름
- IP 주소
- -outoutfilepath인증서 정보를 저장할 출력 파일을 지정합니다. 출력 파일은 입력 정보의 사본입니다. -out을 지정하지 않으면, sechkey는 입력 정보를 복제하지 않습니다.
- -privprivfilepath인증서와 관련된 개인 키를 포함하는 파일을 지정합니다. 이 옵션은 -sub 옵션과 함께 사용할 경우에만 유효합니다.
- -subsechkey가 서버 (주체) 인증서를 만들도록 지정합니다.sechkey는 crypto 섹션의 subject_certificate 구성 설정에서 정의된 PEM 파일에 인증서 및 개인 키를 저장합니다.-priv가 지정되지 않으면 crypto 섹션의 private_key 구성 설정은 인증서와 연결된 개인 키를 보유하는 파일을 정의합니다.암호로 보호된 서버 인증서를 만드는 경우 sechkey는 인증서를 암호화하지 않습니다. 암호로 보호되지 않는 서버 인증서를 만드는 경우 sechkey는 AES256 및 CA ControlMinder 암호화 키를 사용하여 인증서를 암호화합니다.
- -subpwdpassword서버 (주체) 인증서의 개인 키에 대한 암호를 지정합니다. sechkey는ACInstallDir/Data/crypto 디렉터리에 있는 crypto.dat 파일에 암호를 저장합니다. 여기서ACInstallDir는 CA ControlMinder를 설치한 디렉터리입니다. crypto.dat 파일은 읽기 전용의 암호화된 숨김 파일로, CA ControlMinder에 의해 보호됩니다. CA ControlMinder가 중지되면 슈퍼 사용자만 이 암호에 액세스할 수 있습니다.
- -verifyCA ControlMinder가 저장된 암호를 사용하여 암호로 보호된 서버 키를 열 수 있는지 확인합니다.
예: OU 암호로 보호된 타사 루트 인증서에서 서버 인증서 만들기
다음 명령은 OU 암호로 보호된 타사 루트 인증서에서 다음 값을 사용하여 서버 인증서를 만듭니다.
- 인증서 정보를 수록하는 입력 파일의 경로는 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info입니다.
- 루트 인증서에 대한 개인 키의 경로는 C:\Program Files\CA\AccessControl\data\crypto\ca.key입니다.
- 루트 인증서에 대한 개인 키의 암호는 P@ssw0rd입니다.
sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
예: 입력 파일
다음은 인증서 정보를 수록하는 입력 파일의 예입니다.
SERIAL: 00-15-58-C3-5E-4B SUBJECT: CN=192.168.0.1 NOTBEFORE: "12/31/08" NOTAFTER: "12/31/09" E-MAIL: [email protected] URI: http://www.example.com DNS: 168.192.0.100 IP: 168.192.0.1