# SSL 키 생성¶

전제 조건¶

Rocky Linux를 실행하는 워크스테이션과 서버
_OpenSSL_은 개인 키와 CSR을 생성할 시스템과 최종적으로 키와 인증서를 설치할 서버에 설치됩니다.
명령줄에서 편안하게 명령을 실행할 수 있습니다.
유용한 정보: SSL 및 OpenSSL 명령에 대한 지식

소개¶

거의 모든 웹 사이트는 오늘날 SSL(보안 소켓 레이어) 인증서를 실행해야 합니다. 이 절차에서는 웹 사이트의 개인 키를 생성하고 이를 사용하여 새 인증서를 구매하기 위해 사용할 CSR(인증서 서명 요청)을 생성하는 방법을 안내합니다.

개인 키 생성¶

초보자를 위해 SSL 비공개 키는 크랙하기 어려운 다른 크기(비트 단위)를 가질 수 있으며, 이는 기본적으로 크랙하기 어려운 정도를 결정합니다.

2021년 기준으로 웹 사이트의 권장 비공개 키 크기는 여전히 2048 비트입니다. 더 높은 크기로 갈 수 있지만, 2048 비트에서 4096 비트로 키 크기를 두 배로 늘리는 것은 보안이 약 16% 더 강력해지는 것뿐입니다. 키를 저장하는 데 더 많은 공간이 필요하며, 키를 처리할 때 더 높은 CPU 부하를 발생시킵니다.

이는 중요한 보안성을 얻지 못한 채 웹 사이트 성능을 저하시키므로 현재 권장 사항을 항상 확인하세요. 지금은 2048 키 크기를 고수하고 항상 현재 권장되는 키 크기를 확인하십시오.

먼저 OpenSSL이 워크스테이션과 서버 모두에 설치되어 있는지 확인해봅시다:

dnf install openssl

설치되지 않은 경우 시스템에서 자동으로 설치하고 필요한 종속성을 설치합니다.

우리의 예시 도메인은 example.com입니다. 도메인을 사전에 구매하고 등록해야 함을 염두에 두세요. 도메인은 여러 "등록기"를 통해 구입할 수 있습니다.

자체 DNS(Domain Name System)를 실행하고 있지 않은 경우 동일한 공급업체를 DNS 호스팅에도 사용할 수 있습니다. DNS는 지정된 도메인을 인터넷이 이해하는 숫자(IP 주소, IPv4 또는 IPv6)로 변환합니다. 이러한 IP 주소는 웹 사이트가 실제로 호스팅되는 위치입니다.

다음으로, OpenSSL을 사용하여 키를 생성해 봅시다:

openssl genrsa -des3 -out example.com.key.pass 2048

키 이름에 .pass 확장자를 사용했습니다. 그 이유는 이 명령을 실행하자마자 암호를 입력하라는 요청이 나타나기 때문입니다. 곧바로 제거하게 될 간단한 암호를 입력하세요:

Enter pass phrase for example.com.key.pass:
Verifying - Enter pass phrase for example.com.key.pass:

다음으로, 그 암호를 제거해 봅시다. 이것은 키를 로드하고 있기 때문에 웹 서버가 재시작하고 키를 로드할 때마다 그 암호를 입력해야 하는 것을 피하기 위해서입니다.

혹시나 암호를 입력할 여유가 없거나, 더 나쁜 경우, 그 암호를 입력할 준비가 되어 있지 않을 수도 있습니다. 이를 모두 피하려면 지금 제거하세요:

openssl rsa -in example.com.key.pass -out example.com.key

이렇게 하면 키에서 암호를 제거하기 위해 한 번 더 암호를 입력하라는 요청이 표시됩니다.

Enter pass phrase for example.com.key.pass:

이제 세 번째로 암호를 입력하면 키 파일에서 암호가 제거되고 example.com.key로 저장됩니다.

CSR 생성¶

다음으로, 인증서 서명 요청(CSR, certificate signing request)을 생성해야 합니다.

CSR을 생성하는 동안 몇 가지 정보를 입력하라는 메시지가 표시됩니다. 이 정보들은 인증서의 X.509 속성입니다.

프롬프트 중 하나는 "Common Name (e.g., YOUR name)"을 위한 것입니다. 이 필드에는 SSL로 보호할 서버의 완전히 정규화된 도메인 이름이 입력되어야 합니다. 보호할 웹 사이트가 https://www.example.com이라면 이 프롬프트에 www.example.com을 입력해야 합니다:

openssl req -new -key example.com.key -out example.com.csr

그러면 대화 상자가 열립니다.

Country Name (2 letter code) [XX]: 여기에 사이트가 있는 국가의 두 글자 국가 코드를 입력하세요. 예: "US"

State or Province Name (full name) []: 여기에 주 또는 주의 전체 공식 이름을 입력하세요. 예: "Nebraska"

Locality Name (eg, city) [Default City]: 여기에 도시의 전체 이름을 입력하세요. 예: "Omaha"

Organization Name (eg, company) [Default Company Ltd]: 원한다면, 이 도메인이 속한 조직을 입력하거나 건너뛰려면 'Enter'를 누르세요.

Organizational Unit Name (eg, section) []: 도메인이 속하는 조직의 부서를 설명합니다. 다시 말하지만 'Enter' 키만 누르면 건너뛸 수 있습니다.

Common Name (eg, your name or your server's hostname) []:여기에 사이트 호스트 이름인 www.example.com을 입력해야 합니다.

Email Address []: 이 필드는 선택 사항입니다. 작성할지 결정하거나 'Enter'를 누르면 건너뛸 수 있습니다.

다음으로, 추가 속성을 입력하라는 요청이 표시됩니다. 이는 두 개의 'Enter'를 누르면 건너뛸 수 있습니다:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

이제 CSR을 생성해야 합니다.

인증서 구매¶

각 인증서 판매업체는 기본적으로 동일한 절차를 따릅니다. SSL 및 기간(1년 또는 2년 등)을 구매한 다음 CSR을 제출합니다. 이를 위해 more 명령을 사용하여 CSR 파일의 내용을 복사해야 합니다.

more example.com.csr

그러면 다음과 같은 내용이 표시됩니다.

"BEGIN CERTIFICATE REQUEST"와 "END CERTIFICATE REQUEST" 줄을 포함하여 모두 복사하면 됩니다. 그런 다음 이를 구매할 인증서를 입력하는 웹 사이트의 CSR 필드에 붙여넣습니다.

인증서 발급 전 소유권 확인 및 사용 중인 등록기에 따라 추가 검증 단계를 수행해야 할 수도 있습니다. 인증서가 발급되면 제공업체로부터 중간 인증서와 함께 발급되며, 이를 구성에도 사용해야 합니다.

결론¶

웹 사이트 인증서 구매를 위한 모든 구성 요소를 생성하는 것은 그다지 어렵지 않으며, 위의 절차를 따라 시스템 관리자 또는 웹 사이트 관리자가 수행할 수 있습니다.

Author: Steven Spencer

Contributors: Ezequiel Bruni