Article Number: 000158453
단일 서명 인증서에서 서버, 중간 및 루트 인증서를 수동으로 분리 하는 방법
Summary: 이 문서에서는 Windows 또는 Linux에서 서명 된 단일 인증서 로부터 서버, 중간 및 루트 인증서를 수동으로 분리 하는 방법에 대해 설명 합니다.
Article Content
Instructions
서명 된 인증서를 임시 키 저장소 가져올 때 전체 인증서 체인을 가져오는 것이 중요 합니다. 웹 사이트가 안전 하 고 신뢰할 수 있는 인증 기관에서 인증서를 서명 했는지 확인 하기 위해 브라우저에서 인증서 체인에 액세스할 수 있어야 합니다. "신뢰 체인"에서 서명 된 인증서의 전체 경로를 루트 인증서에 제공 하 여 브라우저가 신뢰할 수 있는 연결을 설정할 수 있습니다. 와 사이에 하나 이상의 중간 인증서가 있을 수 있습니다.
서명 된 서버 인증서를 루트 인증서에 연결 하는 모든 인증서는 인증서 체인을 설정 합니다. 체인은 신뢰할 수 있는 인증 기관에서 발급 된 웹 페이지에 따라 보안 연결 (https)을 검증 하는 데 사용 됩니다. 전체 인증서 체인을 사용 하지 않으면 브라우저에서 보안 연결을 검증할 수 없습니다.
일부 인증서 파일 형식에는 서명 된 서버 인증서, 중간 인증서 및 루트 인증서가 한 파일에 포함 됩니다. 이러한 경우에는 한 번에 전체 체인을 가져올 수 있습니다.
일반적으로 이러한 파일은 PKCS # 12 (.pfx 또는. p12) 이며, 암호 보호를 사용 하는 단일 .pfx 파일에 서버 인증서, 중간 인증서 및 개인 키를 저장할 수 있습니다.
또한 PKCS # 7 형식 (. p7b 또는 p7c)을 사용할 수 있으며,이는 개인 키가 아니라 체인의 인증서만 포함 합니다.
PEM 형식의 인증서 (PEM, .crt, .cer 또는. 키)-서버 인증서, 중간 인증서 및 개인 키를 단일 파일에 포함할 수 있습니다 . 서버 인증서와 중간 인증서는 별도의 .crt 또는 .cer 파일에 있을 수 있으며, 개인 키는. key 파일
에 있을 수 있습니다. 텍스트 편집기에서 전체 인증서 체인이 열린 파일에 있는지 여부를 확인할 수 있습니다. 각 인증서는----BEGIN CERTIFICATE----와----END CERTIFICATE----명세서 사이에 포함 됩니다. 개인 키는----BEGIN RSA 개인 키-----와-----END RSA PRIVATE KEY-----문을 포함 합니다.
----BEGIN CERTIFICATE----및----END CERTIFICATE----문에 포함 된 인증서 수가 체인 (서버 및 중간)의 인증서 수와 일치 하는지 확인 합니다. 파일에 개인 키가 포함 되어 있는 경우----BEGIN RSA 개인 키-----와-----END RSA 개인 키를 사용 하 여 종료 한다는 의미입니다. 키 저장소로 직접 가져올 수도 있습니다. DPA(Data Protection Advisor): 신뢰 및 개인 키의 전체 체인을 포함 하는 서명 된 인증서를 dpa Windows 또는
(Windows) 또는 전체 체인 체인을 dpa-Linux 포함하는 서명 된 인증서를 가져오는 방법 (
파일에 전체 인증서 체인이 포함 되어 있지 않은 경우) 인증서의 각 부분을 수동으로 루트 인증서에서 서버 인증서로 가져와야 할 수 있습니다. 경우에 따라 고객은 CA에서 별도의 파일에 각 중간 인증서와 루트 인증서를 가져올 수 있습니다. 일부 CAs는 서버 인증서에 대 한 체인을 별도의 파일로 제공 합니다. 이러한 경우 아래 명령을 사용 하 여 각 파일을 임시 키 저장소 (즉, 중간이 아닌 루트, 서버 인증서)로 가져온 후 각각에 대해 다른 별칭을 입력 합니다.
keytool-import-trustcacerts-alias aliasname -키 저장소 temp. 키 저장소 - file
참고: Csr을 생성할 때 사용 되는 별칭 및 파일 이름에 따라 별칭 및 파일 이름을 변경 합니다. 루트 CA 인증서를 가져올 때 항상 별칭 루트를 사용 하 고, 서버 인증서를 가져올 때 항상 csr 파일을 생성 하는 데 사용 되는 별칭을 사용 합니다. 중간 인증서에 대 한 별칭은 식별자로 사용 되지만, 고유 하 게 지정할 수 있습니다.
CA에서 이러한 파일을 각각 제공 하지 않는 경우이를 루트로 수동으로 분리 해야 하는 경우 중간 및 서버 인증서는 다음 두 가지 방법 중 하나로 수행할 수 있습니다.
Windows:
서명 된 인증서 파일을 수신 하는 경우 루트 인증서에 대 한 경로를 확인 하려면 루트 인증서와
중간 Windows 인증서에 대해 각각 하나씩 강조 표시 하 고 인증서 보기를 클릭 합니다
. 이 창에서 View Details > Copy to File > Base-64 인코드된 X x.509 (.cer) 형식을 사용 하 여 각각을 저장 합니다.
이를 순서 대로 가져올 수 있도록 레이블을 지정 해야 합니다 (예: root. .cer, intermediate01, emcdpa. .cer). 루트 인증서는 자체적으로 자체적으로 발급 됩니다. 예를 들면 다음과 같습니다
.
각 항목을 저장 한 후에는 애플리케이션 서버에서이를 dpa\ci _jre \bin로 이동 합니다.
다음 명령을 사용 하 여 dpa\services\ \ _jre \bin에서 루트 인증서, 모든 중간 인증서 및 최종 인증서 파일을 가져옵니다.
참고: 이는 마지막 단계에서 생성 한 파일이 며, 필요한 경우 파일 이름과 파일 경로를 변경 하 고,이 환경에서 사용 되는 키 저장소 암호와 일치 해야 합니다.
keytool-trustcacerts-alias root-키 저장소 new. 키 저장소-file root. cer
*이는 신뢰할 수 있는 루트 인증서 인지 여부를 확인 하 고 (예 (y) enter 키를 누른 다음 암호
keytool-import-trustcacerts 별칭 intermediate01-키 저장소 new를 입력 합니다. 키 저장소-file intermediate01. .cer
keytool-import-trustcacerts-alias emcdpa-키 저장소 new. 키 저장소-file emcdpa. v 3
그런 다음, keytool-list-v-키 저장소 new를 사용 하 여 인증서를 올바르게 가져왔는지 확인 합니다.
키 저장소-storepass keystorepw
이 올바르게 가져오면 전체 인증서 체인이 여기에 표시 됩니다.
Linux:
텍스트 편집기에서 csr 파일을 엽니다. ----BEGIN certificate----와----END certificate----문을 통해 각 인증서를 식별 합니다.
각 항목을 자체 파일로 구분 하려면----BEGIN certificate----를 포함 한 각 내용을 복사 하 고 양쪽 끝에----end certificate----문을 합니다. 각 컨텐츠를 별도의 텍스트 파일에 붙여 넣고 원래 서명 된 인증서 파일에 배치 된 순서에 따라 레이블을 지정 합니다. 첫 번째는 서버에 서명 된 인증서가 되며, 마지막에는 루트 인증서가 되며, 그 중 하나는 중간 인증서입니다.
아래 예에서는 암호화 된 컨텐츠를 교체 하 여 체인의 각 인증서를 파일에 표시 되는 순서에 따라 설명 합니다.
----BEGIN certificate----
발급 대상: webserver01.emc.com;
발급자: Intermediateca.crt-1
----END certificate----
----BEGIN certificate----
발급 대상: Intermediateca.crt-1;
발급자: Intermediateca.crt-2
----END certificate----
----BEGIN certificate----
발급 대상: Intermediateca.crt-2;
발급자: Root-CA
----END certificate----
----BEGIN certificate----
발급 대상: 루트-CA;
발급자: Root-CA
----END CERTIFICATE----
각각을 저장 하려면 시작/종료 문을 포함 한 암호화 된 전체 컨텐츠를 별도의 텍스트 파일로 복사 하 고이를 저장
합니다. 여기에 는 다음과 같은 기능이 포함됩니다.
----BEGIN CERTIFICATE----
발급 대상: 루트-CA;
발급자: Root-CA
----END certificate----
Intermediate02에 다음을 포함 합니다.
----BEGIN certificate----
발급 된 대상: Intermediateca.crt-2;
발급자: Root-CA
----END certificate----
Intermediate01에 다음을 포함 합니다.
----BEGIN certificate----
발급 된 대상: Intermediateca.crt-1;
발급자: Intermediateca.crt-2
----END certificate----서명 된 웹
항목인증서에 다음
을 포함 합니다.----BEGIN certificate----
발급: webserver01.emc.com
. 발급자: Intermediateca.crt-1
----END CERTIFICATE----
그런 다음 다음 명령을 사용 하 여이를 임시 키 저장소 가져옵니다.
./keytool-import-trustcacerts-alias root-키 저장소 new. 키 저장소-file root. cer
*이는 신뢰할 수 있는 루트 인증서 인지 여부를 확인 하 고 (예 (y) enter 키를 누른 다음 키 저장소 암호를 입력 합니다
./keytool-import-trustcacerts-alias intermediate02-키 저장소 new. 키 저장소-file intermediate02.
keytool-import-trustcacerts-alias intermediate01-키 저장소 new. 키 저장소-file intermediate01.
/keytool-import-trustcacerts-alias emcdpa-키 저장소 new. 키 저장소-file emcdpa.
v 3 그런 다음에는 다음을 사용 하 여 인증서를 올바르게 가져왔는지 확인 합니다.
./keytool-list-v-키 저장소 new. 키 저장소-storepass keystorepw
이 올바르게 가져오면 전체 인증서 체인이 여기에 표시 됩니다.
서명 된 서버 인증서를 루트 인증서에 연결 하는 모든 인증서는 인증서 체인을 설정 합니다. 체인은 신뢰할 수 있는 인증 기관에서 발급 된 웹 페이지에 따라 보안 연결 (https)을 검증 하는 데 사용 됩니다. 전체 인증서 체인을 사용 하지 않으면 브라우저에서 보안 연결을 검증할 수 없습니다.
일부 인증서 파일 형식에는 서명 된 서버 인증서, 중간 인증서 및 루트 인증서가 한 파일에 포함 됩니다. 이러한 경우에는 한 번에 전체 체인을 가져올 수 있습니다.
일반적으로 이러한 파일은 PKCS # 12 (.pfx 또는. p12) 이며, 암호 보호를 사용 하는 단일 .pfx 파일에 서버 인증서, 중간 인증서 및 개인 키를 저장할 수 있습니다.
또한 PKCS # 7 형식 (. p7b 또는 p7c)을 사용할 수 있으며,이는 개인 키가 아니라 체인의 인증서만 포함 합니다.
PEM 형식의 인증서 (PEM, .crt, .cer 또는. 키)-서버 인증서, 중간 인증서 및 개인 키를 단일 파일에 포함할 수 있습니다 . 서버 인증서와 중간 인증서는 별도의 .crt 또는 .cer 파일에 있을 수 있으며, 개인 키는. key 파일
에 있을 수 있습니다. 텍스트 편집기에서 전체 인증서 체인이 열린 파일에 있는지 여부를 확인할 수 있습니다. 각 인증서는----BEGIN CERTIFICATE----와----END CERTIFICATE----명세서 사이에 포함 됩니다. 개인 키는----BEGIN RSA 개인 키-----와-----END RSA PRIVATE KEY-----문을 포함 합니다.
----BEGIN CERTIFICATE----및----END CERTIFICATE----문에 포함 된 인증서 수가 체인 (서버 및 중간)의 인증서 수와 일치 하는지 확인 합니다. 파일에 개인 키가 포함 되어 있는 경우----BEGIN RSA 개인 키-----와-----END RSA 개인 키를 사용 하 여 종료 한다는 의미입니다. 키 저장소로 직접 가져올 수도 있습니다. DPA(Data Protection Advisor): 신뢰 및 개인 키의 전체 체인을 포함 하는 서명 된 인증서를 dpa Windows 또는
(Windows) 또는 전체 체인 체인을 dpa-Linux 포함하는 서명 된 인증서를 가져오는 방법 (
파일에 전체 인증서 체인이 포함 되어 있지 않은 경우) 인증서의 각 부분을 수동으로 루트 인증서에서 서버 인증서로 가져와야 할 수 있습니다. 경우에 따라 고객은 CA에서 별도의 파일에 각 중간 인증서와 루트 인증서를 가져올 수 있습니다. 일부 CAs는 서버 인증서에 대 한 체인을 별도의 파일로 제공 합니다. 이러한 경우 아래 명령을 사용 하 여 각 파일을 임시 키 저장소 (즉, 중간이 아닌 루트, 서버 인증서)로 가져온 후 각각에 대해 다른 별칭을 입력 합니다.
keytool-import-trustcacerts-alias aliasname -키 저장소 temp. 키 저장소 - file
참고: Csr을 생성할 때 사용 되는 별칭 및 파일 이름에 따라 별칭 및 파일 이름을 변경 합니다. 루트 CA 인증서를 가져올 때 항상 별칭 루트를 사용 하 고, 서버 인증서를 가져올 때 항상 csr 파일을 생성 하는 데 사용 되는 별칭을 사용 합니다. 중간 인증서에 대 한 별칭은 식별자로 사용 되지만, 고유 하 게 지정할 수 있습니다.
CA에서 이러한 파일을 각각 제공 하지 않는 경우이를 루트로 수동으로 분리 해야 하는 경우 중간 및 서버 인증서는 다음 두 가지 방법 중 하나로 수행할 수 있습니다.
Windows:
서명 된 인증서 파일을 수신 하는 경우 루트 인증서에 대 한 경로를 확인 하려면 루트 인증서와
중간 Windows 인증서에 대해 각각 하나씩 강조 표시 하 고 인증서 보기를 클릭 합니다
. 이 창에서 View Details > Copy to File > Base-64 인코드된 X x.509 (.cer) 형식을 사용 하 여 각각을 저장 합니다.
이를 순서 대로 가져올 수 있도록 레이블을 지정 해야 합니다 (예: root. .cer, intermediate01, emcdpa. .cer). 루트 인증서는 자체적으로 자체적으로 발급 됩니다. 예를 들면 다음과 같습니다
.
각 항목을 저장 한 후에는 애플리케이션 서버에서이를 dpa\ci _jre \bin로 이동 합니다.
다음 명령을 사용 하 여 dpa\services\ \ _jre \bin에서 루트 인증서, 모든 중간 인증서 및 최종 인증서 파일을 가져옵니다.
참고: 이는 마지막 단계에서 생성 한 파일이 며, 필요한 경우 파일 이름과 파일 경로를 변경 하 고,이 환경에서 사용 되는 키 저장소 암호와 일치 해야 합니다.
keytool-trustcacerts-alias root-키 저장소 new. 키 저장소-file root. cer
*이는 신뢰할 수 있는 루트 인증서 인지 여부를 확인 하 고 (예 (y) enter 키를 누른 다음 암호
keytool-import-trustcacerts 별칭 intermediate01-키 저장소 new를 입력 합니다. 키 저장소-file intermediate01. .cer
keytool-import-trustcacerts-alias emcdpa-키 저장소 new. 키 저장소-file emcdpa. v 3
그런 다음, keytool-list-v-키 저장소 new를 사용 하 여 인증서를 올바르게 가져왔는지 확인 합니다.
키 저장소-storepass keystorepw
이 올바르게 가져오면 전체 인증서 체인이 여기에 표시 됩니다.
Linux:
텍스트 편집기에서 csr 파일을 엽니다. ----BEGIN certificate----와----END certificate----문을 통해 각 인증서를 식별 합니다.
각 항목을 자체 파일로 구분 하려면----BEGIN certificate----를 포함 한 각 내용을 복사 하 고 양쪽 끝에----end certificate----문을 합니다. 각 컨텐츠를 별도의 텍스트 파일에 붙여 넣고 원래 서명 된 인증서 파일에 배치 된 순서에 따라 레이블을 지정 합니다. 첫 번째는 서버에 서명 된 인증서가 되며, 마지막에는 루트 인증서가 되며, 그 중 하나는 중간 인증서입니다.
아래 예에서는 암호화 된 컨텐츠를 교체 하 여 체인의 각 인증서를 파일에 표시 되는 순서에 따라 설명 합니다.
----BEGIN certificate----
발급 대상: webserver01.emc.com;
발급자: Intermediateca.crt-1
----END certificate----
----BEGIN certificate----
발급 대상: Intermediateca.crt-1;
발급자: Intermediateca.crt-2
----END certificate----
----BEGIN certificate----
발급 대상: Intermediateca.crt-2;
발급자: Root-CA
----END certificate----
----BEGIN certificate----
발급 대상: 루트-CA;
발급자: Root-CA
----END CERTIFICATE----
각각을 저장 하려면 시작/종료 문을 포함 한 암호화 된 전체 컨텐츠를 별도의 텍스트 파일로 복사 하 고이를 저장
합니다. 여기에 는 다음과 같은 기능이 포함됩니다.
----BEGIN CERTIFICATE----
발급 대상: 루트-CA;
발급자: Root-CA
----END certificate----
Intermediate02에 다음을 포함 합니다.
----BEGIN certificate----
발급 된 대상: Intermediateca.crt-2;
발급자: Root-CA
----END certificate----
Intermediate01에 다음을 포함 합니다.
----BEGIN certificate----
발급 된 대상: Intermediateca.crt-1;
발급자: Intermediateca.crt-2
----END certificate----서명 된 웹
항목인증서에 다음
을 포함 합니다.----BEGIN certificate----
발급: webserver01.emc.com
. 발급자: Intermediateca.crt-1
----END CERTIFICATE----
그런 다음 다음 명령을 사용 하 여이를 임시 키 저장소 가져옵니다.
./keytool-import-trustcacerts-alias root-키 저장소 new. 키 저장소-file root. cer
*이는 신뢰할 수 있는 루트 인증서 인지 여부를 확인 하 고 (예 (y) enter 키를 누른 다음 키 저장소 암호를 입력 합니다
./keytool-import-trustcacerts-alias intermediate02-키 저장소 new. 키 저장소-file intermediate02.
keytool-import-trustcacerts-alias intermediate01-키 저장소 new. 키 저장소-file intermediate01.
/keytool-import-trustcacerts-alias emcdpa-키 저장소 new. 키 저장소-file emcdpa.
v 3 그런 다음에는 다음을 사용 하 여 인증서를 올바르게 가져왔는지 확인 합니다.
./keytool-list-v-키 저장소 new. 키 저장소-storepass keystorepw
이 올바르게 가져오면 전체 인증서 체인이 여기에 표시 됩니다.
Article Properties
Affected Product
Data Protection Advisor
Product
Data Protection Advisor
Last Published Date
19 Jul 2023
Version
4
Article Type
How To