Warehouse of PKI

OpenSSL 명령어를 이용하여 암/복호화를 해보자 해당 명령어에 대한 메뉴얼을 참조 하였다. 먼자 사용 가능한 블럭 암호 목록을 확인 해보자 openssl enc -ciphers [RANIX@DESKTOP-VOGBKQM ~]$ openssl enc -ciphers Supported ciphers: -aes-128-cbc -aes-128-cfb -aes-128-cfb1 -aes-128-cfb8 -aes-128-ctr -aes-128-ecb -aes-128-ofb -aes-192-cbc -aes-192-cfb -aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr -aes-192-ecb -aes-192-ofb -aes-256-cbc -aes-256-cfb -aes-256-cfb1 -aes..

OpenSSL 에서 간단히 CA 인증서와 인증서 발급 및 CRL 을 생성하는 Perl 명령어가 CA.pl 이다. OpenSSL 을 이용해서 인증서 및 CRL 생성을 위해서는 이 툴이 가장 쉽게 할 수 있다. 이 파일은 openssl/ssl/misc 폴더에 존재 한다. 물론 이 명령어를 실행 하기 위해서는 perl 이 설치 되어 있어야 한다. 이 문서는 명령어 메뉴얼 페이지를 참조 해서 만들었다. 이 명령어 테스트는 리눅스 환경이다. (윈도우 환경은 터미널 입력에 문제가 있어서 리눅스나 맥에서 하는걸 추천 함 ) 초기 인증서를 만들려면 루트 CA이면서 CA인증서를 먼저 만들어 주어야 한다. 1. CA 인증서 만들기 먼저 CA인증서를 만들려면 CA.pl -newca 명령어를 실행 한다. 이때 이미 명령어를 ..

CMP (Certificate Management Protocol) 프로토콜은 OpenSSL 3.0 버전에서 지원되는 프로토콜이다. CMP 를 사용하기 위해서는 OpenSSL 3.0 이상 사용해야 한다. https://www.openssl.org/docs/man3.0/man1/openssl-cmp.html 사실 OpenSSL CMP 명령어는 인증서와 사실 개인키가 미리 만들어 놓고 CMP 프로토콜로 전송 하기 위한 테스트 명령어이다. 그러니 openssl.cnf 파일과 미리 인증서와 개인키 들 모두 준비 가 되어야 한다. 여기 예제로 사용 된 인증서와 개인키는 아래 "테스트용 인증서 및 개인키 PEM" 부분의 내용을 파일로 만들어 쓰면 된다. CMP 에서 cmd 옵션에 관하여 ir - Initializa..

RSA 용 SSL 인증서를 만들기를 해보자 먼저 최상위 인증서인 RootCA 인증서를 먼저 만들어야 한다. 최상위 인증서는 Self Signed 인증서 이다. 즉 자신의 개인키로 서명한 인증서가 Self Signed 인증서 이다. 사실 자체적으로 만든 인증서는 기본 브라우저에 등록이 되어 있지 않아 경고를 보여 주지만 테스트용으로 사용하기 위함이다. 아래 명령어를 사용하다 보면 OpenSSL 자체가 기본적으로 사용하는 설정 파일(openssl.cnf) 파일이 있는데 이 설정이 확인이 안된다면 " -config test_openssl.cnf" 이렇게 직접 지정해서 사용 하면 된다. RootCA 용 RSA 키 쌍 생성 CA 가 사용할 RSA 2048 bits Key Pair 생성openssl genrsa -..

OCSP 는 RFC2560 에서 정의 된 Online Certificate Status Protocol 의 약자이다. TSP 는 RFC3161 에서 정의 된 Time Stamp Protocol 의 약자이다. OpenSSL 에서 인증서 상태 정보 프로토콜인 OCSP 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ocsp.html 타임스탬프 관련 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-ts.html OCSP ( Online Certificate Status Protocol ) OCSP Request 생성 openssl ocsp -issuer ECDSA_CA.crt -cert CMS_Signer.crt..

PKCS#12 는 Personal Information Exchange Syntax 로서 RFC7292 에 정의 된 표준 포맷이다. P12 확장자 또는 pfx 확장자 파일 처리에 대한 OpenSSL 명령어 사용법이다. 이 명령어에 대한 Man 파일 링크는 아래와 같다 https://www.openssl.org/docs/man3.0/man1/openssl-pkcs12.html PKCS#12 파일 생성 openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf 윈도우 경우에는 -passout pass:암호 값을 주입을 이렇게 주어야 하지만 윈..

CMS 는 Cryptographic Message Syntax 의 약자로 RFC5652 에 정의 된 표준이다. CMS 명령어는 데이타 서명이나 데이타 암호화를 위한 표준 데이타 형식이다. 이 데이타는 PKCS#7 형식의 데이타 이다. 자세한 명령어 설명 주소이다. https://www.openssl.org/docs/man3.0/man1/openssl-cms.html CMS 메세지 ASN.1 형식 아래 ASN.1 형식의 CMS 메세지에 대한 일 부분의 형식 내용을 보여 준다. ContentInfo ::= SEQUENCE { contentType ContentType, content [0] EXPLICIT ANY DEFINED BY contentType } ContentType ::= OBJECT IDENT..

RSA 개인키에 대한 스펙 문서는 PKCS#1 이다. 이 문서에 RSA 관련 표준이 자세히 나와 있다. 여기서는 RSA 개인키를 만들기 위한 OpenSSL 명령어를 설명 한다. RSA 2048 개인키 생성 openssl genrsa -out rsa_private.pem 2048 RSA 개인키 에서 공개키 추촐 openssl rsa -in rsa_private.pem -pubout -out rsa_pub.pem 이 명령어를 생성 하면 rsa_private.pem 파일에 RSA 개인키 값이 저장이 된다. 이 파일은 순수하게 개인키의 값들이라 이대로 사용하게 되면 보안상 문제가 된다. 참고로 결과 값은 PEM 형식의 데이타이다. -----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCA..

ECDSA 인증서를 만들려먼 우선 Named Curve를 선택 해야 한다. 다음 명령어를 통해서 구할 수 있다. openssl ecparam -list_curves 여기서는 일반적으로 많이 사용하는 prime256v1 ( secp256r1 ) 을 설명 한다. 우선 개인키를 생성 하자 openssl ecparam -name prime256v1 -genkey -noout -out ecdsa_private_key.pem 생성된 PEM 파일은 다음과 같다 -----BEGIN EC PRIVATE KEY----- MHcCAQEEIGT2Um3gW//u0sWCDZQ/XuD6Qizge3mLOZWXPLJrso9XoAoGCCqGSM49 AwEHoUQDQgAEowFoZg9qlBEGZJ46iWBeLV38Xy2P2FQWOMdNQ..

openssl s_server 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-s_server.html openssl s_client 메뉴얼 https://www.openssl.org/docs/man3.0/man1/openssl-s_client.html 먼저 TLS 서버를 뛰우기 openssl s_server -accept 4433 -cert ssl_server.pem -keyform DER -key ssl_server_pri.der -www TLS 클라이언트 연결 하기 openssl s_client -host 127.0.0.1 -port 4433 상세 메세지를 보기 위해서 -debug 옵션을 줄 수 있다. -msg 옵션을 주면 TLS Handshake 메세..