20.7. CA에 보낼 인증 요구서 생성하기

일단 키를 만드셨으면, 다음 단계는 여러분이 선택하신 CA에 보낼 인증 요구서를 만드는 것입니다. /usr/share/ssl/certs 디렉토리로 이동하신 후 다음 명령을 입력해 주십시오:

make certreq

시스템은 다음과 같은 결과를 출력한 후 암호를 요청할 것입니다 (암호 옵션을 억제하지 않은 경우):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
	

키를 생성할 때 선택하신 암호를 입력하시기 바랍니다. 일부 지시 사항들이 출력된 후 일련의 질문 사항들이 나타날 것입니다. 여러분이 입력하신 내용은 인증 요구서에 포함됩니다. 질문 사항들과 예시 답변은 다음과 같이 나타납니다:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:admin@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

각각의 질문에 대한 디폴트 입력값은 질문 바로 다음 [] 괄호 안에 나타납니다. 예로 들면 인증서가 사용될 국가 코드에 대한 첫 질문은 다음과 같이 나타납니다:

Country Name (2 letter code) [GB]:

괄호 안에 있는 디폴트 입력값은 GB 입니다. 디폴트 값을 수락하기 위해서는 단순히 [Enter] 키를 누르십시오. 다른 값을 입력하시려면 해당 국가의 두자리 문자 코드를 입력하시기 바랍니다.

나머지 입력값은 여러분이 입력하셔야 합니다. 이 값들은 쉽게 입력 가능하지만 다음과 같은 지시 사항을 따르셔야 합니다:

• 지역이나 주에 대한 약칭을 사용하지 마십시오. 지역명이나 주명은 생략하지 않고 다 써야합니다. (예, St. Louis는 Saint Louis로 기입해야 합니다.)

• 만일 이 CSR을 CA로 보내는 경우 모든 입력란에서 특히 Organization Name (회사명)과 Common Name (웹서버 주소)란에 정확한 정보를 기입하십시오. CA는 CSR에 기입된 정보를 검토하여 Common Name 란에 기입된 웹서버가 해당 회사에 속하는지 여부를 확인합니다. 만일 CSR에 포함된 정보가 무효라고 판단되는 경우 CA는 해당 CSR을 인정하지 않습니다.

• Common Name 입력란에는 반드시 보안 서버의 약칭이 아닌 실제 이름 (유효한 도메인 이름 서비스 (DNS)명)을 입력하셔야 합니다.

• Email Address (이메일 주소) 입력란에는 웹마스터 또는 시스템 관리자의 이메일 주소를 입력합니다.

• @, #, &, ! 와 같은 특수 문자를 사용하시면 안됩니다. 일부 CA는 특수 문자가 포함된 인증 요구서를 인정하지 않습니다. 따라서 만일 여러분의 회사명에 앰퍼샌드 (&)가 있다면 "&" 대신 "and"라고 기입하십시오.

• 정보입력 과정 마지막에 나오는 추가 속성, 즉 A challenge password 와 An optional company name은 입력하지 마시고 [Enter] 키만 눌러주셔야 합니다.

모든 입력정보를 채우시면 /etc/httpd/conf/ssl.csr/server.csr이라는 파일이 생성됩니다. 이 파일은 여러분의 인증 요구서로서 CA에 보내질 준비가 되었습니다.

인증 요구서를 보낼 CA를 선택하신 후 CA 웹사이트에 나온 지시 사항을 따르십시오. 인증 요구서를 보내는 방법과 필요한 문서, 지불 방법에 대한 내용을 알려줄 것입니다.

CA의 요구 조건을 만족시킬 경우에 CA는 인증서를 (대부분의 경우 이메일을 통해) 보내줍니다. CA에서 받은 인증서인 /etc/httpd/conf/ssl.crt/server.crt를 저장 (또는 복사 후 붙여넣기) 하십시오. 이 파일의 백업을 만드시는 것도 잊지 마십시오.