[Linux] OpenSSL을 사용한 자체 서명된 CA 생성 가이드

 내부 서비스에서 TLS 보안 연결을 구성할 때 외부 인증 기관(CA)을 사용하는 대신, 자체 서명된 인증서를 기반으로 사설 CA(Private CA)를 구성하는 방식이 종종 사용됩니다. 특히 비용 절감이나 내부 네트워크 전용 인증이 필요한 경우 적합한 접근법입니다.

이 문서에서는 OpenSSL을 사용하여 자체 서명된 CA를 구성하는 방법을 단계별로 안내합니다.


1. 준비 사항

  • 루트 권한 또는 sudo 명령을 사용할 수 있는 계정
  • OpenSSL이 설치된 리눅스 시스템

2. 자체 서명된 CA 생성 절차

2.1 CA용 개인 키 생성

256비트 ECDSA(Elliptic Curve Digital Signature Algorithm) 기반의 키를 생성합니다. 키 생성 속도는 하드웨어 성능과 엔트로피 수준에 따라 달라질 수 있습니다.

# openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out ca.key

2.2 자체 서명된 CA 인증서 생성

위에서 생성한 ca.key를 기반으로 CA 인증서를 생성합니다. 인증서는 X.509 형식이며, 유효 기간은 10년(3650일)로 설정합니다.

# openssl req -key ca.key -new -x509 -days 3650 \\
  -addext keyUsage=critical,keyCertSign,cRLSign \\
  -subj "/CN=Example_CA" -out ca.crt
  • /CN=Example_CA는 CA의 Common Name입니다. 필요에 따라 적절한 명칭으로 변경하세요.

3. 보안 설정

CA 개인 키 파일의 권한을 적절히 설정하여 무단 접근을 차단합니다.

# chown root:root ca.key
# chmod 600 ca.key

4. 클라이언트에 인증서 등록 (선택사항)

생성한 ca.crt 파일을 시스템 전체에서 신뢰하도록 하려면, trust 명령어를 사용해 볼 수 있습니다. 이 명령어는 생성한 CA 인증서를 시스템의 신뢰할 수 있는 루트 인증서 저장소에 등록하여 /etc/ssl/certs/ca-bundle.crt와 /etc/pki/tls/certs/ca-bundle.crt 파일에 인증서 정보를 추가합니다. 이렇게 하면 브라우저에서 "안전하지 않은 연결" 경고가 사라지고, curl이나 다른 애플리케이션에서도 SSL 인증서 검증 오류 없이 정상적으로 HTTPS 통신을 할 수 있어 더욱 편리하게 개발이나 테스트를 진행할 수 있습니다.

4.1 시스템 truststore에 CA 인증서 추가

RHEL 기반 시스템에서는 시스템 전체 truststore가 /etc/pki/ca-trust//usr/share/pki/ca-trust-source/ 디렉토리에 위치합니다. 이 통합된 truststore는 NSS, GnuTLS, OpenSSL, Java 등 다양한 라이브러리가 공유하는 시스템 인증서 저장소입니다.

CA 인증서를 시스템에 등록하는 방법

# trust anchor ca.crt

5. 서버 인증서 생성

TLS 보안 통신에 사용할 서버 인증서를 만들기 위해, 먼저 인증서 서명 요청(CSR)를 생성해야 합니다. 이 요청서는 CA가 서명해서 정식 인증서로 발급하게 됩니다.

5.1 서버 인증서를 위한 CSR 생성

# openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out server.key

# openssl req -new -key server.key -out server.csr \\
  -subj "/C=KR/ST=Seoul/O=MyOrg/CN=server.example.com"
  • server.key: 서버의 비공개 키
  • server.csr: 이 키를 기반으로 생성된 인증서 요청 파일
  • /CN=server.example.com: 이 인증서가 적용될 서버의 도메인 이름

5.2 인증서 서명 요청(CSR)에 대한 인증서 발급

클라이언트에서 생성된 CSR 파일에 대해 위 CA를 이용해 인증서를 서명할 수 있습니다.

# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \\
  -CAcreateserial -days 365 -out server.crt

최종적으로 완성된 파일은 아래와 같습니다.

# ll
total 28
-rw-r--r--. 1 root root  603 Jun 22 16:05 ca.crt
-rw-------. 1 root root  241 Jun 22 16:03 ca.key
-rw-r--r--. 1 root root   41 Jun 23 23:05 ca.srl
-rw-r--r--. 1 root root  530 Jun 23 23:05 server.crt
-rw-r--r--. 1 root root  432 Jun 23 23:00 server.csr
-rw-------. 1 root root  241 Jun 23 23:00 server.key

6. 인증서 검증

6.1 CA 인증서 정보 확인

# openssl x509 -in ca.crt -text -noout

이 명령을 통해 인증서의 상세 내용을 확인할 수 있습니다.

6.2 개인 키 유효성 확인

#  openssl pkey -check -in ca.key
Key is valid
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgLBCA/g3IGPIC/JMk
ZB9wCWGU0PRK/dCtGRjuy+5u5IChRANCAATsY9IBynFlE+kOfmhmMtMADLXG6i4b
...

정상적으로 생성된 키는 "Key is valid"라는 메시지가 출력됩니다.


마무리

OpenSSL을 사용한 자체 서명된 CA 구성은 VPN, 내부 API, Galera 클러스터 등 다양한 용도로 활용할 수 있습니다. 외부 CA 없이도 내부 인증 체계를 구축할 수 있어 비용 절감과 유연한 보안 설정이 가능합니다.

다만 사설 CA의 키는 반드시 안전하게 보관해야 하며, 갱신 주기도 체계적으로 관리해야 합니다. 또한 자체 서명된 CA로 발급된 인증서는 내부 네트워크에서만 신뢰되므로, 외부 서비스와의 연동 시에는 공인 CA 인증서를 사용하는 것이 좋습니다.


참고

https://docs.redhat.com/ko/documentation/red_hat_enterprise_linux/8/html/securing_networks/creating-a-private-ca-using-openssl_creating-and-managing-tls-keys-and-certificates

https://docs.redhat.com/ko/documentation/red_hat_enterprise_linux/8/html/securing_networks/creating-a-private-key-and-a-csr-for-a-tls-server-certificate-using-openssl_creating-and-managing-tls-keys-and-certificates

https://docs.redhat.com/ko/documentation/red_hat_enterprise_linux/8/html/securing_networks/using-a-private-ca-to-issue-certificates-for-csrs-with-openssl_creating-and-managing-tls-keys-and-certificates

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Linux] RHEL Local YUM Repository 구성

이미지
RHEL(Redhat Enterprise Linux)에 Local YUM Repository 구성하는 방법에 대하여 설명합니다. 레드햇 리눅스 같은 경우 기업환경의 인터넷이 되지 않는 환경에서 사용되는 경우가 많은데 Local YUM Repository를 구성하여 패키지를 쉽게 설치할 수 있습니다.   테스트 환경 • Red Hat Enterprise Linux (RHEL)   Local YUM Repository 구성 목적 Local YUM Repository를 구성하는 방법에 여러 가지가 있지만 가장 간단한 방법인 설치 CD를 이용해 구성하는 방법에 대해 소개합니다. 주로 이 방법은 OS 엔지니어가 RHEL을 설치 후 사용하며, local repo를 서버에 구성한 뒤 철수합니다. 그러면 애플리케이션 측에서 추가 패키지를 요청하여도 서버 관리자분들이 yum 명령어를 사용하여 쉽게 서버에 설치할 수 있습니다.   Local YUM Repository 설정 레드햇 설치 CD에는 기본 RHEL 서브스크립션에서 제공하는 RPM 패키지들이 모두 포함되어 있습니다. 따라서 RHEL을 설치한 버전과 동일한 ISO 파일 이 준비되어 있어야 하며, 이를 통해 로컬 저장소를 구성할 수 있습니다.   VMware Workstation을 기준으로 설명하자면, RHEL ISO 파일을 가상 머신에 마운트 하면 됩니다. ISO 파일이 마운트되면 시스템은 자동으로 /dev/sr0 장치를 생성하게 되며, 이는 udev 에 의해 처리됩니다.   CD가 삽입되면 시스템에서는 /dev/sr0 장치를 자동으로 생성합니다. 이 장치는 **광학 디스크 장치(CD/DVD)**로 인식되며, 이를 확인하는 가장 쉬운 방법은 lsblk 명령어를 사용하는 것입니다. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 2G 0 disk └─mpatha ...
자세한 내용 보기

[Linux Command] sudo command 설명

이미지
  이번 글에서는 Linux 명령어 중 sudo 명령어에 대해 알아보겠습니다. 일반 사용자에게 "root" 권한을 부여하려면 보통 root 계정의 비밀번호를 제공해야 합니다. 이후 사용자는 su 명령어를 통해 root 계정으로 로그인할 수 있습니다. root 계정은 시스템 내 모든 명령을 실행할 수 있는 강력한 권한을 가지고 있기 때문에, 신중한 관리가 필요합니다. 리눅스에 익숙하지 않은 사용자가 root 권한을 사용할 경우, 시스템 운영에 필요한 핵심 파일이 삭제되거나 권한 설정이 변경되는 등의 사고가 발생할 수 있습니다. sudo 기능을 사용하면 root 전체 권한이 아닌 특정 명령어만 일반 사용자에게 허용할 수 있어 이러한 위험을 줄일 수 있습니다. 또한, 사용 권한은 부여하되 root 비밀번호를 공개하지 않아도 된다는 점도 sudo 의 중요한 장점 중 하나입니다.   환경 : Red Hat Enterprise Linux (RHEL)   sudo command 개념 명령어 사용법을 보기 전에, sudo 명령어로 어떤 작업이 가능한지 먼저 알아보겠습니다. 일반 사용자가 /etc/shadow 파일을 열려고 하면 권한 부족으로 인해 파일을 열 수 없습니다. 아래는 실제 출력 예시입니다. 일반유저로 shadow파일 오픈 실패 [user1@localhost ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied 또한 mount 명령어도 일반 사용자 권한으로는 실행할 수 없습니다. 일반 유저로 mount 명령 실패 [user1@localhost sbin]$ mount /dev/sr0 /media mount: only root can do that 이제 일반 사용자에게 mount 명령어만 sudo 를 통해 root 권한으로 실행할 수 있도록 설정해보겠습니다. [user1@localhost ~]$ sudo mount /dev/...
자세한 내용 보기

[Ansible Modules] Fetch module 설명 및 활용

이미지
  Ansible modules 중 하나인 Fetch module에 대해 알아보겠습니다. Fetch는 관리 대상 노드에서 제어 노드로 파일을 복사해 오는 데 사용되는 모듈입니다 Fetch module 이란 Fetch는 영어로 "가져오다"라는 의미입니다. Ansible의 copy 모듈과 반대로 동작하는 기능으로, copy 가 제어 노드에서 관리 노드로 파일을 전송하는 데 사용된다면, fetch 는 그 반대 방향으로, 관리 대상 노드의 파일을 제어 노드로 복사해 오는 데 사용됩니다. 여기서 제어 노드(control node)는 Ansible을 실행하는 노드를, 관리 노드(managed node)는 Ansible로 관리되는 대상 시스템을 의미합니다. Ansible modules(fetch_module) Fetch module 옵션   fetch 모듈에서 주로 사용되는 주요 옵션은 다음과 같습니다: src : 관리 대상 노드에서 복사해 올 파일의 경로입니다. dest : 제어 노드에 파일을 저장할 경로입니다. flat (기본값: false ) false : {{ inventory_hostname }}/path/to/file 형태의 디렉토리 구조로 파일이 저장됩니다. 호스트별로 디렉토리가 생성되므로 여러 노드에서 같은 파일 경로를 가져올 때 유용합니다. true : 파일 경로 구조 없이 파일만 단순 복사됩니다. 이름이 같은 파일은 덮어써지기 때문에, 관리 노드가 하나이거나 파일명이 충돌하지 않는 경우에 적합합니다. 또한 디렉토리를 지정할 경우 dest 경로 끝에 슬래시( / )를 반드시 붙여야 합니다. Fetch module 사용 방법 예제에서는 다음과 같은 인벤토리 파일을 사용합니다. [test] rocky86.lab.example.com rocky84.lab.example.com   예제 1. 기본값( flat: false )으로 파일 가져오기 fetch  모듈을 이용해 관리 노드의...
자세한 내용 보기