Tomcat (4.x, 5.x 공통 ) CSR(Certificate Signing Request) 생성 Tomcat 4.x, 5.x 웹서버를사용하시는경우에는 SSL 환경설정이필요합니다. SSL 환경설정은 JSSE(Java Secure Socket Extension) 1.0.2 ( 또는이후버전 ) 패키지가웹서버에설치되어야합니다. 그리고 Tomcat 4.x, 5.x 웹서버는 JKS 형식의키스토어로인증서가설정됩니다. JKS 형식은 Java 표준 "Java KeyStore" 형식이고, keytool 도구에의해서설정할수있습니다. keytool 도구는 JDK 에포함되어있습니다. 그런데 JDK 1.4 패키지부터는 JSSE 패키지가포함되어있으므로, 애니서트에서는현재최종 JDK 버젼인 J2SE(Java 2 Platform, Standard Edition) 설치를권장해드립니다. Tomcat 4.x, 5.x 웹서버의 SSL 환경설정을마친다음에는 keytool 도구로 keystore 를만들면서, 서버개인키 ( 비밀키 ) 를생성합니다. 다음으로생성된서버개인키 ( 비밀키 ) 를토대로 CSR(Certificate Signing Request) 파일을생성합니다. 생성된 CSR 파일을애니서트로보내주시면, 루트기관에서발행하는정식인증서발급절차를밟게됩니다. 그후에정식인증서가발급되고웹서버에설치되면웹서버 SSL 설정은마쳐지게됩니다. CSR(Certificate Signing Request) 생성순서 1. SSL 환경확인과 J2SE 설치확인 2. keystore 생성 3. CSR 파일생성 4. 개인키 ( 비밀키 ) 설정된 keystore 백업 5. 애니서트에 CSR 접수 6. 네트웍확인사항 - SSL 적용에따른방화벽, L4 switch 설정확인 7. 애니서트 CSR 파일답신확인 1. SSL 환경확인과 J2SE 설치확인 ( 인증서갱신고객님은 "2. keystore 생성 " 부터진행해주시면됩니다.) 만약 Tomcat 4.x, 5.x 웹서버와다른웹서버 (Apache, IIS 등 ) 를운영하고, 주웹서버 (Apache, IIS 등 ) 의뒤에서 Tomcat 4.x 서버를 Servlet/JSP 컨테이너서버로사용할경우에는주웹서버에 SSL 인증서를설정하고 SSL 환경을만들게됩니다. 이렇게주웹서버와 Tomcat Servlet/JSP 컨테이너서버로운영하실때에는 SSL 환경설정을주웹서버에잡게되므로확인바랍니다.
Tomcat 4.x 웹서버에 J2SE 를설치를확인합니다. java -version java version "1.4.2_05" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-b04) Java HotSpot(TM) Client VM (build 1.4.2_05-b04, mixed mode) keytool keytool 사용법 : -certreq [-v] [-alias < 별명 >] [- sigalg < 서명알고리즘 >]... ls -a $JAVA_HOME/bin... keytool* java* 위의결과는 1.4.2_05 버젼의 java J2SE 패키지가설치되었으며, keytool 도구와경로설정이잘된것을확인할수있습니다. J2SE 패키지설치되지않으셨다면, J2SE 패키지설치가이드를참고해주시기바랍니다. (J2SE 패키지설치가이드보기 ) 2. keystore 생성 JKS 형식의 keystore 를생성합니다. 2048 비트 RSA 개인키 ( 비밀키 ) 가 keystore 에만들어집니다. keystore 를생성하면서키정보를설정하게되므로아래예시를통해서잘설정해주시기바랍니다. keystore 의암호설정은 keystore 를관리하는암호가되므로잃어버리지않도록잘기억하시기를바랍니다. 그리고, " 이름과성을입력 (your first and last name)" 항목은 " 인증받을도메인주소 " 를설정해주시는부분이므로오해가없으시기를바랍니다. < 입력예 >
이름과성을입력 (your first and last name) : www.anycert.co.kr " 이름과성을입력 " 항목은 " 인증받을도메인주소 " 를설정해주시는부분입니다. 조직단위이름을입력 (organizational unit) : Digital Certificate Team 조직이름을입력 (organization) : Dotname Korea 구 / 군 / 시이름을입력 (City or Locality) : Songpa 시 / 도이름을입력 (State or Province) : Seoul 두자리국가코드 (country code) : KR keytool -genkey \ > -alias tomcat2007 \ > -keyalg RSA \ > -keysize 2048 \ > -keystore $SSL_KEY_STORE/tomcat2007key keystore 암호를입력하십시요 : [ 암호입력 ] 이름과성을입력하십시요. [Unknown]: www.anycert.co.kr 조직단위이름을입력하십시오. [Unknown]: Digital Certificate Team 조직이름을입력하십시오. [Unknown]: Dotname Korea 구 / 군 / 시이름을입력하십시오? [Unknown]: Songpa 시 / 도이름을입력하십시오. [Unknown]: Seoul 이조직의두자리국가코드를입력하십시오. [Unknown]: KR CN=www.anycert.co.kr, OU=Digital Certificate Team, O=Dotname Korea, L=Songpa, ST=Seoul, C=KR 이 ( 가 ) 맞습니까?
[ 아니오 ]: y 에대한키암호를입력하십시요 (keystore 암호와같은경우 RETURN 을누르십시오 ): [RETURN 입력 ] 3. CSR 파일생성 생성된 keystore 에서 CSR(Certificate Signing Request) 파일을만듭니다. keytool -certreq \ > -alias tomcat2007 \ > -file $SSL_KEY_STORE/tomcat2007.csr \ > -keystore $SSL_KEY_STORE/tomcat2007key keystore 암호를입력하십시오 : [ 암호입력 ] 4. 개인키 ( 비밀키 ) 설정된 keystore 백업 cd $SSL_KEY_STORE [root@web1 ssl]# sftp xxx.xx.xx.xx > put tomcat2007key 안전한곳에개인키 ( 비밀키 ) 설정된 keystore 를백업복사를해놓습니다. 개인키 ( 비밀키 ) 설정된 keystore 파일과패스워드는결코잃어버리시면안됩니다. 안전한장소에백업해두시기바랍니다. 5. 애니서트에 CSR 접수 생성된 CSR 파일을출력해보면다음과같은 base64 형식의문서를볼수있습니다. - 위의작업과계속연관된작업을진행합니다. [root@web1 ssl]# cat tomcat2007.csr -----BEGIN NEW CERTIFICATE REQUEST----- MIISDOIUlkmlsRRlkSllskjauASKJlalOSISLKjwBgNV BAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBU b3dumrqwegydvqqkewtpchbvcnr1bml0ateymbyga1ue
CxMPT25saW5lIFNlcnZpY2VzMRowGAYDVQQDExF3d3cu Zm9yd2FyZC5jby56YTBaMA0GCSqGSIb3DQEBAQUAAAkl mlksuljsoijsfbwu5wlhd/g4bj+pobic9d7s6pdvajuy C+dPAnL0d91tXdm2j190D1kgDoSp5ZyGSgwJh2V7diuu PlHDAgEDoAAwDQYJKoZIhvcNAQEEBQADQQBf8LSLKknl sklssllworrr334zmxd1avujudpcwzfupreiq7ur8z0w JUUsllkfq/IuuIlz6oCq6htdH7/tvKhh -----END NEW CERTIFICATE REQUEST----- [root@web1 ssl]# 이 CSR 문서를반드시첫줄 (-----BEGIN CERTIFICATE REQUEST-----) 과끝줄 (-----END CERTIFICATE REQUEST-----) 이포함되도록복사하여메모장에붙여넣기합니다. 이 CSR 을애니서트메일로첨부해주시기바랍니다. 6. 네트웍확인사항 - SSL 적용에따른방화벽, L4 switch 설정확인 고객님웹서버에 SSL 을적용하게되면, http:// ( 기본 80 포트 ) 통신과 https:// ( 기본 443 포트 ) 통신를사용하게됩니다. 그러므로, 웹서버에설정된방화벽이나 L4 switch 의설정을기존 80 포트설정과같이 443 포트도추가설정해주셔야합니다. 정식인증서를발행하기까지웹서버의네트웍환경설정에 443 포트를열어주시는계획을세워주기바랍니다. 7. 애니서트 CSR 파일답신확인 애니서트에접수된 CSR 파일이올바른지회신을드립니다. 회신을확인하시기바랍니다. 그리고애니서트에서는보내주신 CSR(Certificate Signing Request) 파일을토대로정식인증서를발급하게됩니다. 정식인증서발급과함께인증서설치문서를안내해드립니다.