서버 SSL인증서 기간 만료시

통신이 불가능 Server to Server 간 통신은 안된다...

(신뢰할 수 있는 경로에 있어도 날짜지나면 X)

이것은 나중에 정리..

 

Windows 인증서 갱신 관련

Admin 권한은 필수고 OpenSSL(PFX to PEM)이 있으면 좋다.

1. 인증서 설치

1) 루트 인증서

CertUtil.exe -addstore Root {FileName}.cer

2) 인증 기관

CertUtil.exe -addstore CA {FileName}.cer

2. INF파일 생성(Request 과정)

1) 형식은 구글링해보자.. 각 상황에 맞게 작성할 것

[NewRequest]

Subject =... 와 같은 형태로 시작한다.

2) Request file creation

CertReq.exe -new {FileName}.inf {FileName}.req

*참고: 이 명령은 개인 키와 인증서가 사용될 호스트에서 실행해야함.

3) Req 파일 확인(dump 옵션은 생략 가능)

CertUtil.exe -dump {FileName}.req

클라이언트 정보를 확인하고 맨 하단에

CertUtil: -dump command completed successfully. 라고 나오면 정상임

3. 2번의 Req 파일 내용으로 CSR을 요청하면 됨

4. 요청 후 CER 내용을 받으면 CER로 가공 후 인증서를 설치

CertReq -accept "{FileName}.cer" (참고 CertUtil -addstore my "{FileName}.cer")

만약 오류가 발생한다면 1번의 인증서 체인을 추가했는지 확인해본다.

5. 인증서 검증

CertUtil -verify {FileName}

CertUtil -store my >> Subject 확인 및 하단에 Encryption test passed 라고 뜨면 정상

CertMgr.msc 로 인증서가 잘 있는지도 본다.

6. 인증서를 pfx 형태로 변환

명령어: CertUtil -exportpfx -f 1 {FileName}.pfx

GUI 방식은 아래와 같음

1) CertMgr.msc에서 해당 인증서 선택 후 All Tasks > Export ...

2) Yes, export the private key 선택

3) 옵션은 체크하지 않음

4) 암호 설정: e.g. P@ssw0rd1

5) 파일 이름 지정 후 pfx로 save

*참고: PFX로 Expor하려면 개인 키가 활성화되야 함 만약 인증서에 열쇠 모양이 없다면 아래 명령어를 시도해보자.

CertUtil -repairstore my "<thumbprint>" --> Thumbprint는 인증서 속성을 보면 지문이라고 된 부분임.

7. PFX 형식을 PEM으로 변환(Extract Private Key)

1) PEM 형식으로 변경

openssl.exe pkcs12 -in {pfxFileName}.pfx -nocerts -out {private.pem}

2) 개인 키에서 암호를 제거하기 위해 아래 명령어 실행

openssl.exe rsa -in {private.pem} -out {private1.pem}

8. 인증서 설치하고 관련 Application 서비스 재시작

+ OpenSSL 관련 Command

1) 인증서 정보 확인 방법

LDAP Server: openssl s_client -connect {LDAP server}:636

2) 인증서 유효 일자 확인

echo ""|openssl s_client -connect {Host}:443|openssl x509 -noout -dates

notBefore=: '이전에는 없음'; 발급일, -startdate

notAfter= : '이후에는없음'; 만료일, -enddate

(-dates를 -text로 바꾸면 자세한 정보가 나옴)

3) PFX 파일을 PEM으로 변경

openssl pkcs12 -in {FileName}.pfx -nocerts -out {FileName}.pem