귀찬항요

openssl 설치는 재껴

/usr/local/openssl/ssl 에설치가 되어있다.

중요파일등 경로
/usr/local/openssl/ssl/openssl.cnf -환경설정파일(CA.pl 에서 이파일을 또 지정해줘야 정상적으루 쓸수있다.)
/usr/local/openssl/ssl/misc/CA.pl -기본생성 스크립트인듯 하다 여기서 경로 및 환경설정파일을 지정해줄수있다.

열어서 필요한 경로들을 지정해준 후

CA.pl -newca

명령으로 환경설정에서 정의한 디렉토리등에 각 필요한 파일들이 생긴다.

봐야할 파일들은 두개

../ssl/cacert.pem - 공개키
../ssl/private/cakey.pem - 개인키

이놈들은 ca를위한 공개키 개인키이다. ca란 최상위에서 인증서를 보증해주는 3자기관을 말한다. 대충그렇게 가자.

openssl req -new -x509 -keyout ./private/cakey.pem -out ./cacert.pem -days 3650

이걸로 ca의 인증서까지 생성했다.

ca인증서를 인증서파일로 변경하여 웹사이트에 올려야한다.

openssl x509 -in cacert.pem -out cacert.crt

이명령으로 crt형태로 바꾼다.(열어보니 똑같다. 이름바꿔 복사한듯)

웹서버 MIME 설정에서 crt파일에대해서 인식하게 수정해야한단다.

자 이제 가짜인증기관을 만들었으니깐.

실제로 우리서버의 인증서를 만들어본다.

openssl req -config ./openssl.cnf -new -keyout newreq.key -out newreq.pem -days 365

해당 명령으로 우리서버에서 사용할 개인키와 공개키를 생성했다. 일년짜리다.

이래서 만들었는데 우린 내부적으루 해결할꺼니깐 바루 승인을 해준다.

openssl ca -config ./openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem

일단 에러가 났어요

21393:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group= name=unique_subject

일단중지함.

슈발 내가 너 하고야 만다. 목욕하고 기다려라.


인증서 내용을 확인할수있는 명령어이다.

openssl x509 -in newreq.pem -noout -text