한빛출판네트워크

저자: 『Linux Server Hacks』의 저자 롭 플리켄저 / 김대영, 김태경 역

새 CA 인증서를 설치하는 방법에 대해서 알아보자

클라이언트 브라우저가 여러분이 새로 생성한 CA를 신뢰할 수 있도록 하기 위해서는, CA 공개키를 받아들이도록 설정되어야 한다(이전기사 참고). 브라우저가 새 인증서 발행 기관의 인증서를 받아들일 수 있는 포맷은 pem과 der, 이렇게 2가지가 있다. 그리고 OpenSSL 명령행 하나로 pem 포맷을 der 포맷으로 바꿀 수도 있다.

openssl x509 -in demoCA/cacert.pem -outform DER -out cacert.der

또한 conf/mime.types 파일에 다음을 추가한다.

application/x-x509-ca-cert      der pem crt

그리고 나서 변경한 것을 적용하기 위해 아파치를 재시작한다. 이제 cacert.der와 demoCA/cacert.pem 파일은 웹 서버의 어디든지 올 수 있고, 클라이언트는 어느 쪽 링크에서라도 클릭해서 새 증서를 설치할 수 있다.

---

참고 도서 리눅스 서버 관리 Hacks 100 롭 플리켄저(Rob Flickenger) 상세설명보기 목차보기 샘플챕터보기

---

참고기사

---

자신만의 CA(Certificate Authorities) 생성하기
이제막 병아리 티를 벗어난 시스템 관리자라면...
리눅스 전문가로부터 듣는 최고의 팁 !

---

넷스케이프 초기 버전은 pem 포맷만 지원했었으나 근래에 들어서는 2가지를 모두 지원한다. 이와 반대로 MS 인터넷 익스플로러 초기 버전은 der 포맷만 지원했지만 최신 버전은 둘 모두를 지원한다. 요즘에는 그 외 브라우저도 대개 2가지 포맷을 모두 지원한다.

이제, 브라우저에서 새 인증서 승인을 허용할지 묻는 대화 상자가 뜰 것이다. 여기서 인증서를 승인한다. 이게 전부다. 이제부터는 사용자에게 경고 메시지를 띄우지 않고 여러분의 CA가 서명한 SSL 인증서가 받아들여 질 것이다.

인증서 발행 기관을 가볍게 생각해서는 안된다. 브라우저에서 새 CA를 승인하고 나면, 이제 그 사이트에서 행하는 일을 완전히 신뢰하는 셈이다. 악의로 누군가가 신뢰해서는 안 되는 모든 종류의 인증서를 승인해놓는 경우도 있을 수 있다. 하지만 브라우저는 이를 알려주지 않으므로 주의해야 한다(처음 CA를 승인할 때만 대화 상자를 띄워서 묻는다). SSL이 사용 할 수 있는 브라우저에서는 다른 사람이 인증서 승인을 하지는 않았는지 확인해봐야 한다. 자신의 브라우저가 기본값으로 신뢰하게 되어 있는 곳을 확실히 알기 위해서는 CA 캐시를 살펴볼 필요도 있다.

예를 들어 AOL/타임 워너사가 CA를 갖고 있다는 것을 알고 있는가? GTE는 어떤가? VISA는? 넷스케이프 7.0 리눅스 버전에는 이런 회사(그 외에도 많다)에 대한 CA 인증서가 내장되어 있다. 그리고 이런 기관은 웹사이트, 이메일, 애플리케이션 애드온(add-on)에 대해 기본적으로 신뢰하게끔 설정되어 있다. SSL을 사용하는 사이트에 접속할 때는 다음을 명심하도록 한다. 브라우저는 이미 한 번 인증한 기관을 앞으로는 사용자에게 알리지 않고 완전히 신뢰한다.

브라우저 더 나아가서 클라이언트 시스템의 보안을 중요하게 생각한다면, 신뢰하는 CA를 주기적으로 살펴보도록 한다.

참고 자료

OpenSSL, CA 생성, 리눅스 Hack에 관한 필자의 저서에 대해 더 자세히 알고 싶다면 아래의 내용을 참고하도록 한다.

• OpenSSL FAQ
• 자신만의 CA(Certificate Authorities) 생성하기
• 리눅스 서버 관리 Hacks 100