저자: 『Linux Server Hacks』의 저자 롭 플리켄저 / 김대영, 김태경 역
새 CA 인증서를 설치하는 방법에 대해서 알아보자
클라이언트 브라우저가 여러분이 새로 생성한 CA를 신뢰할 수 있도록 하기 위해서는, CA 공개키를 받아들이도록 설정되어야 한다(
이전기사 참고). 브라우저가 새 인증서 발행 기관의 인증서를 받아들일 수 있는 포맷은
pem과
der, 이렇게 2가지가 있다. 그리고 OpenSSL 명령행 하나로
pem 포맷을
der 포맷으로 바꿀 수도 있다.
openssl x509 -in demoCA/cacert.pem -outform DER -out cacert.der
또한 conf/mime.types 파일에 다음을 추가한다.
application/x-x509-ca-cert der pem crt
그리고 나서 변경한 것을 적용하기 위해 아파치를 재시작한다. 이제 cacert.der와 demoCA/cacert.pem 파일은 웹 서버의 어디든지 올 수 있고, 클라이언트는 어느 쪽 링크에서라도 클릭해서 새 증서를 설치할 수 있다.
참고기사
자신만의 CA(Certificate Authorities) 생성하기
이제막 병아리 티를 벗어난 시스템 관리자라면...
리눅스 전문가로부터 듣는 최고의 팁 !
넷스케이프 초기 버전은
pem 포맷만 지원했었으나 근래에 들어서는 2가지를 모두 지원한다. 이와 반대로 MS 인터넷 익스플로러 초기 버전은
der 포맷만 지원했지만 최신 버전은 둘 모두를 지원한다. 요즘에는 그 외 브라우저도 대개 2가지 포맷을 모두 지원한다.
이제, 브라우저에서 새 인증서 승인을 허용할지 묻는 대화 상자가 뜰 것이다. 여기서 인증서를 승인한다. 이게 전부다. 이제부터는 사용자에게 경고 메시지를 띄우지 않고 여러분의 CA가 서명한 SSL 인증서가 받아들여 질 것이다.
인증서 발행 기관을 가볍게 생각해서는 안된다. 브라우저에서 새 CA를 승인하고 나면, 이제 그 사이트에서 행하는 일을 완전히 신뢰하는 셈이다. 악의로 누군가가 신뢰해서는 안 되는 모든 종류의 인증서를 승인해놓는 경우도 있을 수 있다. 하지만 브라우저는 이를 알려주지 않으므로 주의해야 한다(처음 CA를 승인할 때만 대화 상자를 띄워서 묻는다). SSL이 사용 할 수 있는 브라우저에서는 다른 사람이 인증서 승인을 하지는 않았는지 확인해봐야 한다. 자신의 브라우저가 기본값으로 신뢰하게 되어 있는 곳을 확실히 알기 위해서는 CA 캐시를 살펴볼 필요도 있다.
예를 들어 AOL/타임 워너사가 CA를 갖고 있다는 것을 알고 있는가? GTE는 어떤가? VISA는? 넷스케이프 7.0 리눅스 버전에는 이런 회사(그 외에도 많다)에 대한 CA 인증서가 내장되어 있다. 그리고 이런 기관은 웹사이트, 이메일, 애플리케이션 애드온(add-on)에 대해 기본적으로 신뢰하게끔 설정되어 있다. SSL을 사용하는 사이트에 접속할 때는 다음을 명심하도록 한다. 브라우저는 이미 한 번 인증한 기관을 앞으로는 사용자에게 알리지 않고 완전히 신뢰한다.
브라우저 더 나아가서 클라이언트 시스템의 보안을 중요하게 생각한다면, 신뢰하는 CA를 주기적으로 살펴보도록 한다.
참고 자료
OpenSSL, CA 생성, 리눅스 Hack에 관한 필자의 저서에 대해 더 자세히 알고 싶다면 아래의 내용을 참고하도록 한다.