Warehouse of PKI

인증서 정책 (Certificate Policies ) 용도 인증서 정책은 X.509 인증서의 확장 필드이다. 이 필드는 인증서를 발급하는 CA에서 해당 발급된 인증서 정책을 나타내는 것이다. 즉 한마디로 해당 인증서의 용도를 알려 주는 확장 필드 이다. 인증서 정책 예제 아래 그림은 SSL 인증서에서 인증서 정책 필드에 대한 예제이다. 해당 그림에서 처럼 인증서 정책 OID 정보와 CPS ( Certificate Practice Statement ) 정보가 나온다. 여기서 CPS 는 URI 형식의 정보이다. 해당 CPS 정보의 URI 주소를 참조 하면 해당 인증서 용도에 대한 내용을 확인 할 수 있다. 그리고 인증서 정책 정보에는 User Notice 정보도 존재 하는데 이 정보는 신뢰 당사자에게 인증..

X.509 인증서 기본 프로파일에서 주체키 식별자와 기관키 식별자 값이 존재한다. 이 식별자는 인증서의 경로 구성을 하기 위하여 공개키에 대한 구별 값으로 사용되는 값이다. 이 필드는 X.509 v3 에서 확장 필드의 값이다. 주체키 식별자 (Subject Key Identifier) 주체키 식별자는 해당 인증서의 공개키를 구별하기 위한 값이다. 주체키 식별자 ASN.1 id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 } SubjectKeyIdentifier ::= KeyIdentifier이렇게 KeyIdentifier 값 하나를 사용한다. 아래 인증서 그림에서 파란색 부분이 주체키 식별자(Subject Key Identifier) 값이다 이 값..

X.509 에서 CA 인증서의 필수 값인 Basic Constraints 에 대해서 알아보자. 보통 한글로는 기본 제한 이라고 표현한다. 아래 그림을 보면 X.509 CA 인증서에서 basicConstrains 값이 존재 한다. CA( RootCA 포함) 인증서에서는 필수로 이 값이 존재한다. 한마디로 CA 인증서를 만들려면 이 확장 필드가 필수 값이다. Basic Constrains ASN.1 정의 id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 } BasicConstraints ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL } 위 ASN.1 정의..

X.509 인증서 필드 중에 KeyUsage 라는 필드가 있다. 이 필드는 해당 인증서에 있는 비대칭키의 사용 목적을 정의한 필드이다. 아래 그림은 RootCA 인증서의 KeyUsage 필드를 볼 수 있다. 이 인증서의 keyUsage 내용은 keyCertSign, cRLSign 으로 나오는데 인증서 서명 및 CRL 서명용이라는 뜻이다. 해당 필드의 ASN.1 형식은 다음과 같다. id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 } KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyC..

내용을 실행 하기 위해서는 CertMan 이 설치 되어 있어야 한다. CertMan 툴을 이용해 인증서를 발급해 보자 인증서를 발급하기 위해서는 다음 순서로 진행을 한다. 먼저 DB파일을 읽기 만들 키 쌍을 생성 하자 ( 이때 키 쌍의 알고리즘은 발급자와 동일하게 선택 하자 ) 요청서(CSR)을 만들자 여기 까지는 앞에서 설명한 두개의 글에서 관련 내용이 있으니 ECDSA RootCA 인증서 만들기 CA 인증서 프로파일 설정 이 두개의 글을 참조 하자 단지 인증서 발급시 화면에서 다음 부분을 맞게 선택 하면 된다. 먼저 발급할 인증서의 프로파일 선택하자 여기서는 CA인증서 프로파일을 선택했다 ( 여긴 상황에 맞게 선택 하면 된다 ) 발급자를 선택한다. 발급할 인증서를 선택 한다( 기존에 만든 RootCA..

내용을 실행 하기 위해서는 CertMan 이 설치 되어 있어야 한다. X.509에서 인증서는 여러가지 프로파일 포맷을 가진게 된다. 여기서 설명 하려는 프로파일은 단지 참조 용이므로 참조만 하고 실제 프로파일은 각자의 규격에 맞게 사용해야 한다. 기본적으로 CertMan에서 초기 DB파일 설정 후 다시 읽어 오게 되면 Default 로 프로파일 설정이 있다. 지금 설명 하는 프로파일은 Default 프로파일 중에 SSL_CA 로 설정 된 프로파일이다. 먼저 기존에 저장된 프로파일을 읽어 온다. 만약 아직 DB를 생성 하지 않았다면 ECDSA RootCA 인증서 만들기 부분을 참조 하면 된다. CertMan실행 후 파일->열기를 하여 저장 된 DB 파일을 먼저 읽어 온다. 죄측 메뉴 인증서 프로파일 클릭 ..

[이 기능은 라이선스 버전 기능입니다]라이선스가 필요한 분은 [프로그램 키 발급] 페이지에서 30일 라이선스 발급 가능합니다RootCA 인증서를 만들기 위해서는 CertMan 을 다운 받아야 한다.먼저 ECDSA 용 RootCA 인증서를 만들어 보자먼저 ECDSA 용 RootCA인증서를 만들기 전에 CertMan 툴을 받아야 한다.이 툴은 https://jykim74.tistory.com/37 에서 받아서 설치 후 다음을 진행 해야 한다.RootCA인증서를 만들기 전에 먼저 초기 DB 파일을 생성 해야 한다.1. 먼저 정보 저장을 위해 DB파일 새로 만들기로 누른다.2. 저장할 DB파일명을 저장하고 "Save"를 누르면 초기화를 완성한다.참고로 여기서 저장한 파일은 내부적으로 sqlite3 파일 DB를 ..

CRL(Certificate RevocationList) 구조 CRL 프로파일 * CRL Entry Extension Reason Code 인증서 폐지 및 효력정지의 사유 정의 * CRL Extension Authority Key Identifier 발급자가 복수의 전자서명키를 가지고 있을 때, 공개키를 구분하기 위한 목적 키식별자(일반적으로 발급자 공개키 해쉬값), 발급자명, 발급자 인증서 일련번호로 구성 CRL Number 사용자로 하여금 특정 CRL이 다른 CRL에 우선하는지 결정할 수 있도록 함 단조증가하는 양의 정수 Issuing Distribution Point 해당 CRL에 대한 분배점을 식별하고 특정 CRL에 대한 범위를 지정함 CRL ASN.1 Syntax * RFC 3280 에서 CRL..

X509 인증서 구조 X509 인증서 프로파일 Authority Key Identifier 발급자가 복수의 전자서명키를 가지고 있을 때, 공개키를 구분하기 위한 목적 키식별자(일반적으로 발급자 공개키 해쉬값), 발급자명, 발급자 인증서 일련번호로 구성 Subject Key Identifier 특정 공개키를 포함하는 인증서를 구분하기 위한 목적 CA 인증서인 경우, 해당 소유자에 의해 발급되는 인증서의 AKI 확장필드의 키식별자값과 동일 키식별자(일반적으로 소유자 공개키 해쉬값)로 구성 Key Usage 인증서와 연관된 공개키쌍의 사용목적을 정의함 일반적으로 공개키쌍의 사용 용도를 제한하기 위한 목적 전자서명, 부인봉쇄, 키전송, 데이터암호화, 키공유, 인증서서명, CRL서명, 키공유시 암호화 수행, 키공..

CertMan 소개CertMan 은 X.509 인증서, CRL, CSR 그리고 키 쌍을 생성 관리 프로그램입니다.지원 알고리즘은 RSA, ECDSA, SM2, DSA, EdDSA(Ed25519, Ed448) 알고리즘과다양한 인증서 및 CRL 프로파일을 통한 인증서 및 CRL 을 생성 할 수 있는CA 로서 필요한 기능을 구현 하였습니다.해당 파일은 아래에서 다운 받을 수 있습니다 ( 용량은 30M 정도 )사이드 프로젝트로 만든툴이라 비용 문제로 코드 서명을 못해서 설치 경고가 뜰 수 있지만계속 설치나 실행 해서 사용하면 됩니다.This program is a management program that generates X.509 certificates, CRLs, CSRs and key pairs.Supp..