TLS 인증서 (3) - openssl 을 통해 key, csr, crt 파일 만들기
*명령어는 최하단에 별도로 정리하였습니다.
이번에는 실제 명령어를 사용하여 key, csr, crt 파일을 생성해본다.
1. key 파일 생성
먼저 비대칭 암호화 통신에 사용되는 개인키(비밀키)를 생성한다.
# 개인키 만들기
명령어 : openssl genrsa [-out filename] [numbits]
- numbits 의 경우 개인키의 사이즈이며 반드시 명령어 마지막에 위치 (디폴트 값은 512)
openssl genrsa -out test.key 2048
생성된 개인키의 키 값과 파일 내용을 각각 확인한다.
# 완성된 개인키의 파일 내용 확인
cat ./test.key
# 완성된 개인키의 정보를 확인
openssl rsa -in test.key -text
Private-Key: (2048 bit)
writing RSA key
key 파일을 생성할 때, 보안성을 높이기 위하여 암호화 알고리즘을 적용할 수 있다. aes128, aes192, aes256 등의 암호화 알고리즘을 선택 가능하며, 1-1) 이미 패스워드 없이 만들어진 key 에 암호를 추가 하거나, 1-2) 처음부터 패스워드를 포함하여 key를 만들수 있으며 추가로 1-3) key에서 패스워드를 제거할 수도 있다.
1-1. 패스워드 없이 생성한 key 에 패스워드 추가
하단 예시에서는 aes256 알고리즘을 사용하며 그 외의 알고리즘은 man 명령어 (```man genrsa```) 를 참고한다.
명령어 : openssl rsa -in 키파일 -out 키파일 [암호화 알고리즘]
openssl rsa -in test.key -out test.key -aes256
writing RSA key
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
1-2. 패스워드 를 부여하여 key 파일 생성
처음에 key 파일을 생성할 때부터 암호화 옵션을 추가하여 생성 가능하다.
# 암호를 추가하여 개인키를 생성
openssl genrsa -aes256 -out test.key 2048
Generating RSA private key, 2048 bit long modulus
e is 65537 (0x10001)
Enter pass phrase for test.key: <암호 화면입력>
Verifying - Enter pass phrase for test.key: <암호 화면입력(재확인)
1-3. 패스워드를 부여하여 생성한 key 파일에 패스워드 제거
명령어 : openssl rsa -in 키파일 -out 키파일
openssl rsa -in test.key -out test.key
Enter pass phrase for test.key: <암호 입력>
writing RSA key
이렇게 생성한 개인키 파일로부터 공개키를 추출 가능하다. 인증서 서명과는 별도로, 개인키-공개키 비대칭 키 암호화를 통한 ssh 서버 접속 등에 사용될 수 있다.
1-4. 개인키로부터 공개키 추출
명령어 : openssl rsa -in 개인키 -pubout -out 공개키
openssl rsa -in test.key -pubout -out test_pub.key
2. csr 파일 생성
csr 파일을 생성하기 위하여 개인키가 필요하며, 개인키는 위 1번 과정을 통해 만들 수 있다. 이 과정에서 다음과 같은 값들을 대화형 인터페이스로 입력한다. CN(Common Name) 등의 값을 주의해서 입력하도록 한다.
명령어 : openssl req -new -key <사용할 key 파일명> -out <생성할 csr 파일명>
openssl req -new -key test.key -out test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [XX]:KR
State or Province Name (full name) []:Seoul
Locality Name (eg, city) [Default City]:Gwangjin
Organization Name (eg, company) [Default Company Ltd]
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []
Email Address []
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3. crt 파일 생성
위 csr 을 사용하여 인증서를 만든다. 파라미터로 csr 파일과 key 파일이 필요하며, 인증 유효 기간 등을 설정할 수 있다.
명령어 : openssl x509 -req -days <유효기간> -in <csr파일> -signkey <key파일> -out <crt파일명>
openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt
생성한 인증서의 정보를 다음의 명령어로 확인한다. 위 csr 파일 생성 당시에 설정한 CN 값 등을 확인 가능하다.
명령어 : openssl x509 -in <crt파일명> -noout -text
openssl x509 -in test.crt -noout -text
Not Before: Jun 29 05:23:08 2022 GMT
Not After : Jun 29 05:23:08 2023 GMT
Subject: C=KR, ST=Seoul, L=Gwangjin,,
3.1 key, csr 파일 없이 crt 생성
key 생성, csr 생성과 같은 과정을 거치지 않고 바로 crt 파일을 생성가능하다. 이 경우 중간 과정인 csr 파일은 생성하지 않으며, key 파일과 crt 파일을 생성한다. 명령어는 하단과 같으며, key 파일의 패스워드를 제거하기 위해 '-nodes' 파라미터를 추가한다.
명령어 : openssl req -new -x509 -days <만료유효기간> -nodes -keyout <생성할 key파일> -out <생성할 crt파일>
openssl req -new -x509 -days 365 -nodes -keyout test.key -out test.crt
Generating a 2048 bit RSA private key
writing new private key to 'test.key'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [XX]:KR
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []
Email Address []:
*.명령어 정리
하단 명령어 예제의 key,csr,crt 파일명은 test.key, test.csr, test.crt 를 사용한다.
key 에 암호화 알고리즘을 추가/제거하거나, csr(crt) 파일 생성 시의 대화형 입력에 대한 부분은 상단 내용을 참고한다.
# key 파일 생성
openssl genrsa -out test.key 2048
# csr 파일 생성
openssl req -new -key test.key -out test.csr
# crt 파일 생성
openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt
# csr없이 key,crt 파일 한번에 생성
openssl req -new -x509 -days 365 -nodes -keyout test.key -out test.crt