OpenSSL로 디지털 인증서 작성

OpenSSL 프로그램을 사용하여 테스트에서 사용할 디지털 인증서를 작성할 수 있습니다.

시작하기 전에

OpenSSL은 OpenSSL Project(http://www.openssl.org/)에서 사용 가능합니다.

프로시저

  1. 인증 기관(CA)을 작성하십시오. 테스트 목적으로 이 CA는 VeriSign과 같이 인터넷에서 인식된 CA를 대신합니다. 이 CA를 사용하여 테스트에 사용하려는 각 인증서에 디지털로 서명합니다.
    1. 인증서 요청(CSR) 파일을 작성하십시오. "제목" (-subj)에서는 인증서의 사용자를 설명합니다. 표시된 대로, 더미 값을 입력하십시오. 다음 명령행은 인증서의 비밀번호를 abcdefg로 설정합니다.

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. 키 파일, waipio.ca.key를 작성하여 개인 키를 저장하십시오. 이 경우 인증서를 서명할 때마다 비밀번호를 입력하지 않아도 되도록 인증서 요청 파일에서 비밀번호 보호를 제거합니다. 비밀번호 보호가 제거되므로 테스트 목적으로만 인증서 요청 파일을 사용하십시오.

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. 인증서 요청에서 X.509 디지털 인증서를 작성하십시오. 다음 명령행은 CA 개인 키로 서명된 인증서를 작성합니다. 인증서는 365일 동안 유효합니다.

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. 인증서 및 개인 키를 포함하는 PKCS#12 인코딩된 파일을 작성하십시오. 다음 명령행은 P12 파일에서 비밀번호를 default로 설정합니다. Rational® Performance Tester에서는 기본적으로 모든 PKCS#12 파일에 대해 default의 비밀번호를 사용합니다.

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    이제 CA 인증서(waipio.ca.cert)가 있습니다. 이 인증서는 테스트할 웹 서버와 사용자 인증서에 서명하는 데 사용할 수 있는 개인 키 파일(waipio.ca.key)에 설치할 수 있습니다.
  2. 사용자에 대한 디지털 인증서를 작성하십시오.
    1. 사용자에 대한 CSR 파일을 작성하십시오. 초기 비밀번호를 abc로 설정하십시오. 선택적으로 적절한 제목을 제공하십시오.

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr

    2. 비밀번호 없이 개인 키 파일을 작성하십시오.

      openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key

    3. 새 사용자에 대한 새 X.509 인증서를 작성하고 사용자 개인 키를 사용하여 디지털로 서명한 후 CA 개인 키를 사용하여 인증하십시오. 다음 명령행은 365일 동안 유효한 인증서를 작성합니다.

      openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. 옵션: 공개 키의 DER 인코딩된 버전을 작성하십시오. 이 파일은 개인 키가 아닌, 공개 키만 포함합니다. 개인 키는 포함하지 않으므로 공유 가능하며, 비밀번호로 보호하지 않아도 됩니다.

      openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER

    5. PKCS#12로 인코딩된 파일을 작성하십시오. 다음 명령행은 P12 파일에서 비밀번호를 default로 설정합니다.

      openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key

    이 단계를 반복하여 테스트에 필요한 만큼 많은 디지털 인증서를 작성하십시오. 키 파일을 안전하게 보관하고 더 이상 필요하지 않으면 삭제하십시오. CA 개인 키 파일은 삭제하지 마십시오. 인증서에 서명하는 데 CA 개인 키 파일이 필요합니다.

결과

이제 CA 인증서(waipio.ca.cert)를 WebSphere®에 설치할 수 있습니다. 선택적으로 웹 서버에 대해 특별히 사용자 인증서를 작성하고 WebSphere에 설치하십시오.

사용자 인증서를 개별적으로 사용하여 테스트를 레코딩할 수 있습니다. 테스트 편집 및 재생 중에 사용자 인증서(johnsmith.cert.p12)를 사용하려면 .rcs 확장자의 파일에 ZIP 형식으로 압축하십시오. 그러면 디지털 인증서 저장소가 작성됩니다. 디지털 인증서 저장소에 대해 자세히 학습하려면 디지털 인증서 저장소 작성의 내용을 참조하십시오. 또한 웹 브라우저로 사용자 인증서를 가져와 사용자 환경에서 대화식으로 테스트할 수 있습니다.


피드백