자체 서명 디지털 인증서
자체 서명된 인증서는 인증 기관(CA)이 아닌 인증서를 만든 동일한 엔터티가 서명한 인증서입니다. Junos OS는 자동 생성과 수동 생성이라는 두 가지 방법으로 자체 서명 인증서를 생성할 수 있습니다.
자체 서명 인증서 이해
자체 서명 인증서는 인증 기관(CA)이 아닌 작성자가 서명한 인증서입니다.
자체 서명 인증서를 사용하면 사용자나 관리자가 CA에서 서명한 ID 인증서를 얻는 상당한 작업을 수행할 필요 없이 SSL(Secure Sockets Layer) 서비스를 사용할 수 있습니다.
자체 서명된 인증서는 CA에서 생성한 인증서처럼 추가 보안을 제공하지 않습니다. 이는 클라이언트가 연결된 서버가 인증서에 보급된 서버 인지 확인할 수 없기 때문입니다.
Junos OS는 자체 서명 인증서를 생성하는 두 가지 방법을 제공합니다.
자동 생성
이 경우 인증서 작성자는 주니퍼 네트웍스 디바이스입니다. 자동으로 생성된 자체 서명 인증서는 기본적으로 디바이스에 구성됩니다.
디바이스가 초기화된 후 자동으로 생성된 자체 서명된 인증서가 있는지 확인합니다. 찾지 못하면 디바이스가 하나를 생성하여 파일 시스템에 저장합니다.
수동 생성
이 경우 디바이스에 대한 자체 서명된 인증서를 만듭니다.
언제든지 CLI를 사용하여 자체 서명 인증서를 생성할 수 있습니다. 이러한 인증서는 SSL 서비스에 대한 액세스 권한을 얻는 데에도 사용됩니다.
자체 서명된 인증서는 생성된 시점부터 5년 동안 유효합니다.
자동으로 생성된 자체 서명 인증서를 사용하면 관리자가 CA에서 서명한 ID 인증서를 얻을 필요 없이 SSL 기반 서비스를 사용할 수 있습니다.
디바이스에서 자동으로 생성되는 자체 서명 인증서는 SSH(Secure Shell) 호스트 키와 유사합니다. 구성의 일부가 아닌 파일 시스템에 저장됩니다. 디바이스가 재부팅될 때 유지되며 명령이 실행되어도 보존됩니다.request system snapshot
수동으로 생성하는 자체 서명 인증서를 사용하면 CA에서 서명한 ID 인증서를 얻을 필요 없이 SSL 기반 서비스를 사용할 수 있습니다. 수동으로 생성된 자체 서명 인증서는 PKI(공개 키 인프라) 로컬 인증서의 한 예입니다. 모든 PKI 로컬 인증서와 마찬가지로 수동으로 생성된 자체 서명 인증서는 파일 시스템에 저장됩니다.
참조
예: 퍼블릭-프라이빗 키 페어 생성
이 예제에서는 퍼블릭-프라이빗 키 쌍을 생성하는 방법을 보여 줍니다.
요구 사항
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
이 예제에서는 self-cert라는 이름의 퍼블릭-프라이빗 키 페어를 생성합니다.
구성
절차
단계별 절차
퍼블릭-프라이빗 키 쌍을 생성하려면 다음을 수행합니다.
인증서 키 쌍을 만듭니다.
user@host> request security pki generate-key-pair certificate-id self-cert
검증
퍼블릭-프라이빗 키 페어가 생성된 후 주니퍼 네트웍스 디바이스는 다음을 표시합니다.
generated key pair ca-ipsec, key size 1024 bits
예: 자체 서명된 인증서 수동 생성
이 예에서는 자체 서명 인증서를 수동으로 생성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 퍼블릭 프라이빗 키 페어를 생성합니다. 디지털 인증서를 참조하십시오.
개요
수동으로 생성된 자체 서명 인증서의 경우 인증서를 만들 때 고유 이름(DN)을 지정합니다. 자동으로 생성된 자체 서명 인증서의 경우 시스템은 DN을 제공하여 자신을 생성자로 식별합니다.
이 예에서는 전자 메일 주소가 인 자체 서명 인증서를 생성합니다.mholmes@example.net 웹 관리에서 참조할 인증서 ID 를 지정합니다.self-cert
구성
절차
단계별 절차
자체 서명 인증서를 수동으로 생성하려면 운영 모드에서 다음 명령을 입력합니다.
user@host> request security pki local-certificate generate-self-signed certificate-id self-cert subject CN=abc domain-name example.net ip-address 1.2.3.4 email mholmes@example.net
웹 관리 HTTPS 서비스에 대해 수동으로 생성된 자체 서명 인증서를 지정하려면 구성 모드에서 다음 명령을 입력합니다.
[edit] user@host# set system services web-management https local-certificate self-cert
검증
인증서가 제대로 생성되고 로드되었는지 확인하려면 운영 모드에서 다음 명령을 입력합니다 .
user@host> show security pki local-certificate
표시된 출력에서 , , 및 세부 정보에 대한 정보를 확인합니다.Certificate identifierIssued tovalidityalgorithmkeypair location
웹 관리와 연결된 인증서를 확인하려면 구성 모드에서 다음 명령을 입력합니다.
user@host# show system services web-management https local-certificate
자동으로 생성된 자체 서명 인증서 사용(CLI 절차)
디바이스가 초기화된 후 자체 서명된 인증서가 있는지 확인합니다. 자체 서명된 인증서가 없는 경우 디바이스가 자동으로 인증서를 생성합니다. 디바이스가 재부팅되면 부팅 시 자체 서명 인증서가 자동으로 생성됩니다.
시스템 생성 인증서를 확인하려면 운영 모드에서 다음 명령을 실행합니다.
user@host> show security pki local-certificate system-generated
출력에서 세부 정보를 확인합니다.Certificate identifier 자동으로 생성된 인증서에 대해 다음과 같은 세부 정보 DN(고유 이름)이 표시됩니다.
-
CN = device serial number -
CN = system generated -
CN = self-signed
구성 모드에서 다음 명령을 사용하여 웹 관리 HTTPS 서비스에 사용할 자동 생성된 자체 서명 인증서를 지정합니다.
[edit] user@host# set system services web-management https system-generated-certificate
다음 운영 명령을 사용하여 자동으로 생성된 자체 서명 인증서를 삭제합니다.
user@host# exit user@host> clear security pki local-certificate system-generated
시스템에서 생성된 자체 서명 인증서를 삭제하면 디바이스가 자동으로 새 인증서를 생성하여 파일 시스템에 저장합니다.