1. SETREG 1 True 실행
C:\InetSDK\Bin\SETREG 1 True
작업결과.
Updated Software Publishing State Key Values (0x23ca0):
1) Trust the Test Root........................... TRUE
2) Use expiration date on certificates........... TRUE
3) Check the revocation list..................... TRUE
4) Offline revocation server OK (Individual)..... TRUE
5) Offline revocation server OK (Commercial)..... TRUE
6) Java offline revocation server OK (Individual) TRUE
7) Java offline revocation server OK (Commercial) TRUE
8) Invalidate version 1 signed objects........... FALSE
9) Check the revocation list on Time Stamp Signer FALSE
10) Only trust items found in the Trust DB........ FALSE
2. *.pvk, *.cer 키 생성 (개인키 생성하기)
C:\InetSDK\Bin\MAKECERT -n "CN=www.userspace.net" -sv UserSpace.Pvk UserSpace.Cer
다음과 같은 창이 뜨면 암호를 입력 하고 OK를 누르면 됩니다.
이때 암호는 차후에 또 쓰이며 나중에 인증서로 ActiveX를 인증할때도 쓰이니 꼭 기억해 놓으세요.
위의 암호가 정확하다면 다음과 같은 창이 뜹니다. 그러면 위에서 입력한 암호를 입력하세요.
정상적으로 작업이 진행 되었다면 Bin 폴더에 UserSpace.Pvk 파일과 UserSpace.Cer 파일이 생성 되었을겁니다.
2. *.spc 생성 (공용키 생성하기)
C:\InetSDK\Bin\CERT2SPC UserSpace.Cer UserSpace.spc
위와 같은 메세지가 떨어졌다면 Bin폴더 안에 UserSpace.spc 파일이 생성 되었을겁니다.
그럼 인증키는 모두 생성 하였습니다.
ActiveX (ocx) 나 dll, cab 파일을 인증 할때는 다음과 같이 입력합니다.
\InetSDK\Bin\SIGNCODE -spc UserSpace.spc -v UserSpace.Pvk -n "Test" Test.OCX
그럼 암호창이 나오는데 위에서 입력한 암호를 입력하면 codesign이 된 파일이 생성됩니다.
(Tip : 파일 사이즈가 약간 변하는데 이것으로 인증을 한것이지 안한것인지 판단합니다.)
codesign 방법은 위와 같이 하는 방법이 있고 같은 이름의 파일이지만 UI가 내장되어 있는
디지털 서명 마법사라는 것이 있습니다. 이건 다음에 설명 드리겠습니다.
이것은 브라우져에서 뜨는 인증창이 약간 다릅니다. 또한 verisign 간은 인증기관에서 받은
인증키로 인증할때도 사용합니다.
중요한 것은 위에서 생성한 인증키는 계속 쓰이므로 지우지 말고 잘 보관하세요. (암호도...)
스스로 루트 인증기관(CA)이 되기
새로운 인증기관 관련 파일을 모두 /etc/ssl/newCA 라는 이름으로 만들기로 했다고 가정
% cd /etc/ssl
% mkdir /etc/ssl/newCA
% mkdir /etc/ssl/newCA/certs
% mkdir /etc/ssl/newCA/private
% chmod 700 /etc/ssl/newCA/private
% echo ‘01′ > /etc/ssl/newCA/serial
% touch /etc/ssl/newCA/index.txt
% cd /etc/ssl/newCA
% openssl req -x509 -newkey rsa -out cacert.pem -outform PEM -days 1825
=> cacert.pem 과 privkey.pem 이 생성된다.
% mv privkey.pem private/cakey.pem ( openssl.cnf 에 있는 이름으로 )
이 렇게 만든 루트 인증기관의 인증서를 client PC들에서 무리없이 사용하기 위해서는 이를 루트 인증기관으로 인정해주는 절차가 필요하다. 이것을 위해 위에서 만든 cacert.pem 을 웹에 올리고 IE나 firefox에서 이를 신뢰하는 인증기관(trusted CA) 인증서로 설치하는 과정이 필요하다. (우리의 경우에는 여기를 방문하면 된다)
서버 인증서 만들기
우리 서버가 자체 CA가 되었으므로 인증서를 만들고 사인하여 서버 인증서를 만들 수 있게 되었다.
새로운 인증서를 위한 인증요구서를 만듦.
% openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM
% openssl rsa < tempkey.pem > whatever_key.pem
% chmod 400 whatever_key.pem
CA key로 방금 만든 인증요구서를 사인하여 서버 인증서를 만듦.
% openssl ca -in tempreq.pem -out whatever_crt.pem
% rm tempkey.pem tempreq.pem
Entry Filed under: Server admin
C:\InetSDK\Bin\SETREG 1 True
작업결과.
Updated Software Publishing State Key Values (0x23ca0):
1) Trust the Test Root........................... TRUE
2) Use expiration date on certificates........... TRUE
3) Check the revocation list..................... TRUE
4) Offline revocation server OK (Individual)..... TRUE
5) Offline revocation server OK (Commercial)..... TRUE
6) Java offline revocation server OK (Individual) TRUE
7) Java offline revocation server OK (Commercial) TRUE
8) Invalidate version 1 signed objects........... FALSE
9) Check the revocation list on Time Stamp Signer FALSE
10) Only trust items found in the Trust DB........ FALSE
2. *.pvk, *.cer 키 생성 (개인키 생성하기)
C:\InetSDK\Bin\MAKECERT -n "CN=www.userspace.net" -sv UserSpace.Pvk UserSpace.Cer
다음과 같은 창이 뜨면 암호를 입력 하고 OK를 누르면 됩니다.
이때 암호는 차후에 또 쓰이며 나중에 인증서로 ActiveX를 인증할때도 쓰이니 꼭 기억해 놓으세요.
위의 암호가 정확하다면 다음과 같은 창이 뜹니다. 그러면 위에서 입력한 암호를 입력하세요.
정상적으로 작업이 진행 되었다면 Bin 폴더에 UserSpace.Pvk 파일과 UserSpace.Cer 파일이 생성 되었을겁니다.
2. *.spc 생성 (공용키 생성하기)
C:\InetSDK\Bin\CERT2SPC UserSpace.Cer UserSpace.spc
위와 같은 메세지가 떨어졌다면 Bin폴더 안에 UserSpace.spc 파일이 생성 되었을겁니다.
그럼 인증키는 모두 생성 하였습니다.
ActiveX (ocx) 나 dll, cab 파일을 인증 할때는 다음과 같이 입력합니다.
\InetSDK\Bin\SIGNCODE -spc UserSpace.spc -v UserSpace.Pvk -n "Test" Test.OCX
그럼 암호창이 나오는데 위에서 입력한 암호를 입력하면 codesign이 된 파일이 생성됩니다.
(Tip : 파일 사이즈가 약간 변하는데 이것으로 인증을 한것이지 안한것인지 판단합니다.)
codesign 방법은 위와 같이 하는 방법이 있고 같은 이름의 파일이지만 UI가 내장되어 있는
디지털 서명 마법사라는 것이 있습니다. 이건 다음에 설명 드리겠습니다.
이것은 브라우져에서 뜨는 인증창이 약간 다릅니다. 또한 verisign 간은 인증기관에서 받은
인증키로 인증할때도 사용합니다.
중요한 것은 위에서 생성한 인증키는 계속 쓰이므로 지우지 말고 잘 보관하세요. (암호도...)
스스로 루트 인증기관(CA)이 되기
새로운 인증기관 관련 파일을 모두 /etc/ssl/newCA 라는 이름으로 만들기로 했다고 가정
% cd /etc/ssl
% mkdir /etc/ssl/newCA
% mkdir /etc/ssl/newCA/certs
% mkdir /etc/ssl/newCA/private
% chmod 700 /etc/ssl/newCA/private
% echo ‘01′ > /etc/ssl/newCA/serial
% touch /etc/ssl/newCA/index.txt
% cd /etc/ssl/newCA
% openssl req -x509 -newkey rsa -out cacert.pem -outform PEM -days 1825
=> cacert.pem 과 privkey.pem 이 생성된다.
% mv privkey.pem private/cakey.pem ( openssl.cnf 에 있는 이름으로 )
이 렇게 만든 루트 인증기관의 인증서를 client PC들에서 무리없이 사용하기 위해서는 이를 루트 인증기관으로 인정해주는 절차가 필요하다. 이것을 위해 위에서 만든 cacert.pem 을 웹에 올리고 IE나 firefox에서 이를 신뢰하는 인증기관(trusted CA) 인증서로 설치하는 과정이 필요하다. (우리의 경우에는 여기를 방문하면 된다)
서버 인증서 만들기
우리 서버가 자체 CA가 되었으므로 인증서를 만들고 사인하여 서버 인증서를 만들 수 있게 되었다.
새로운 인증서를 위한 인증요구서를 만듦.
% openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM
% openssl rsa < tempkey.pem > whatever_key.pem
% chmod 400 whatever_key.pem
CA key로 방금 만든 인증요구서를 사인하여 서버 인증서를 만듦.
% openssl ca -in tempreq.pem -out whatever_crt.pem
% rm tempkey.pem tempreq.pem
Entry Filed under: Server admin
