| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- SSH
- SwiftUI
- openssl
- otpkey
- kmip
- SSL
- css
- MSYS2
- 2FA
- 앱리소스
- OTP
- appres
- 안드로이드
- 앨범북
- 애플
- WebAuthn
- Nodejs
- git
- MFA
- MYSQL
- apple
- FIDO2
- OSX
- Android
- 앱스토어
- albumbook
- Xcode
- 인증
- fido
- SWIFT
- Today
- Total
인디노트
오픈소스 PKI 문서 - 부록 D. OpenCA 설치 세부 사항 본문
그림 7-1 에서 설명한 것처럼 OpenCA 에는 3 개의 고유 한 서버가 필요합니다. 그러나 이로 인해 소프트웨어가 더 쉽게 액세스 할 수 있습니다. 모든 구성 요소를 단일 컴퓨터에 설치하는 방법을 설명합니다.
우리는 영화 "바나나" 에서 Woody Allen 의 성격을 맡았습니다. 법정에서 재판을 받는 동안, 그는 장소를 신속하게 바꾸어 피고인과 laywer 의 역할을 모두 수행 했습니다.
먼저 설치할 소프트웨어 구성 요소와 설치할 소프트웨어 구성 요소를 결정합니다.
표 D-1. 소프트웨어 설치 매트릭스
| 소프트웨어 | CAServer | RAServer | RAOperator |
|---|---|---|---|
| Perl 일반 모듈 | ✓ | ✓ | ✓ |
| OpenCA Perl 모듈 | ✓ | ✓ | • |
| WWW 서버 | ✓ | ✓ | ✓ |
| SSL / TSL 모듈 | ✓ | ✓ | ✓ |
| LDAP 서버 | • | • | ✓ |
| OpenSSL | • | • | • |
 | 위 표는 아직 최종 단계가 아니며 프로젝트가 발전함에 따라 변경 될 수 있습니다. |
위의 표를 사용하여 다음 장에서 설명하는대로 설치를 진행할 수 있습니다. 일체형 설치 (단일 워크 스테이션의 모든 서버)를 수행하는 경우 동일한 소프트웨어 구성 요소를 여러 번 또는 다른 디렉토리에 설치할 필요가 없습니다. 이 문제와 관련하여 특별한 구성 설정을 기록합니다.
소프트웨어 설치 순서
소프트웨어 구성 요소를 다음 순서로 설치하는 것이 좋습니다.
Perl 모듈 설치
최신 버전의 Perl 모듈을 찾는 방법에 대한 정보는 부록 A 에 있습니다.
| 이 Perl 모듈은 종속성으로 인해 표시된 순서대로 설치해야합니다. 그러나 시퀀스에서 실수를하면 모듈이 건너 뛴 것을 나타내는 유익한 오류가 발생합니다. |
Convert :: BER 은 BER (Basic Encoding Rules)을 사용하여 ITU-T 표준 X.209 (ASN.1)에서 설명한대로 객체를 인코딩하고 디코딩하는 Perl 객체 클래스 구현입니다. 파일 이름은 Convert-BER-1.26.tar.gz입니다.
MIME :: Base64 및 MIME :: QuotedPrint 는 base64 인코더 / 디코더와 따옴표 붙은 인쇄 가능한 인코더 / 디코더를 제공합니다. 이러한 인코딩 방법은 RFC 2045 - MIME (Multipurpose Internet Mail Extensions)에 지정되어 있습니다. 파일 이름은 MIME-Base64-2.11.tar.gz입니다.
URI RFC 2396에 규정 된 펄 객체 클래스는 파일 이름은 해당 범용 식별자에 대한 기능을 제공하는 URI-1.04.tar.gz
다이제스트 :: * 펄 객체 클래스는 MD5 (RFC 1321)의 구현을 제공 MD2 (RFC 1319) 및 SHA-1 (FIPS PUB 180-1에서) 해시 함수. 또한, HMAC (RFC 2104) MAC 기능의 구현이 제공됩니다. 파일 이름은 Digest-MD5-2.09.tar.gz입니다.
perl-ldap 은 LDAP 서버에 대한 액세스를 제공합니다. 설치 요구 사항은 이미 시스템에 Convert :: BER 이 설치 되어 있어야합니다. 파일 이름은 perl-ldap-0.13.tar.gz입니다.
나는 이것과 위의 기능이 중복되어 있다는 생각을 가지고있다. 파일 이름은 Net-LDAPapi-1.42.tar.gz 입니다.
OpenCA 관련 모듈 설치
OpenCA 관련 모듈은 CPAN 또는 OpenCA WWW 사이트에서 찾을 수 있습니다 .
이 perl 모듈의 기능은 전적으로 OpenCA 전용이 아닙니다. 일반적으로 구성 파일을 구문 분석하는 데 도움이됩니다.
이 perl 모듈은 OpenCA 의 설정 파일에 접근하기 위해 사용됩니다. 현재 구성 파일은
ca.conf
raserver.conf
secure.cnf
이 perl 모듈은 세 가지 상태를 가질 수 있는 구성 변수에 대한 액세스를 제공합니다. OpenCA 구성 파일에 쉽게 액세스 할 수 있습니다. 파일 이름은 OpenCA-TRIStateCGI-1.02.tar.gz 입니다.
OpenCA 설치
이것은 CAServer, RAServer 및 RAOperator (s)의 세 가지 주요 섹션에서 설명합니다.
설치 절차에는 구성 파일 설정, HTML 페이지를 적절한 디렉토리로 복사 및 마지막으로 CGI 스크립트를 해당 디렉토리에 추가하는 작업이 포함됩니다.
CAServer 설치
이것은 인증 기관의 설치입니다. 자세한 내용은 그림 7-1 을 참조하십시오.
다음 명령을 사용하여 OpenCA 소프트웨어의 압축을 해제 하고 압축을 해제 했다고 가정합니다 .
root # tar xvfz OpenCA-0.2.0.tar.gz
소프트웨어를 설치하려면 생성 된 디렉토리 ( OpenCA-0.2.0 )를 입력하고 다음을 입력하십시오.
root # make install-ca
CAServer 용 OpenCA 구성 요소를 설치할 때 다음 매개 변수를 사용하십시오.
표 D-2. CAServer 설치 매개 변수
| 매개 변수 | 값 |
|---|---|
| OpenSSL 설치 디렉토리 | / usr / local / ssl |
| CAServer의 기본 디렉토리 | / usr / local / RAServer |
| 웹 서버 사용자 | 아무도 없어. 아무도 없어. |
| 발견 된 OpenSSL 명령 사용 | 와이 |
| 설치 계속하기 | 예 |
| openssl.cnf 편집 | OpenCA 용 openssl.cnf 구성 섹션을 확인하십시오 . |
그 다음에는 CAServer 와 함께 제공되는 WWW 페이지를 설치합니다.
root # make install-ca-web
표 D-3. RAServer WWW 서버 설치 매개 변수
| 매개 변수 | 값 |
|---|---|
| HTML 페이지 디렉토리 | / usr / local / apache / htdocs / ca |
| CGI 디렉토리 | / usr / local / apache / cgi-bin |
| 설치 계속하기 | 예 |
마지막으로 WWW 페이지의 지침에 따라 CA 개인 키와 인증서를 만들어 CAServer 를 초기화 합니다.
RAServer 설치
이것이 등록 기관의 설치입니다. 자세한 내용은 그림 7-1 을 참조하십시오.
| RAServer 는 CAServer 와 별도의 시스템에 설치해야 합니다. 또한 CAServer 의 설치로 이어진 단계가 RAServer 를 작성하기 위해 복제되어야한다고 가정합니다. 그러나 제한된 테스트 목적으로 모든 시스템을 동일한 시스템에 설치 할 수 있습니다. |
다음 명령을 사용하여 OpenCA 소프트웨어의 압축 을 풀고 압축을 해제 했다고 가정 합니다.
root # tar xvfz OpenCA-0.2.0.tar.gz
RAServer 소프트웨어를 설치하려면 생성 된 디렉토리 ( OpenCA-0.2.0 )를 입력하고 다음을 입력합니다.
root # make install-raserver
root # make install-raserver-web
RAServer 용 OpenCA 구성 요소를 설치할 때 다음 매개 변수를 사용할 수 있습니다.
표 D-4. RAServer 설치 매개 변수
| 매개 변수 | 값 |
|---|---|
| OpenSSL 설치 디렉토리 | / usr / local / ssl |
| RAServer의 기본 디렉토리 | / usr / local / RAServer |
| 웹 서버 사용자 | 아무도 없어. 아무도 없어. |
| 발견 된 OpenSSL 명령 사용 | 와이 |
| 설치 계속하기 | 예 |
표 D-5. RAServer WWW 서버 설치 매개 변수
| 매개 변수 | 값 |
|---|---|
| HTML 페이지 디렉토리 | / usr / local / apache / htdocs / ra |
| CGI 디렉토리 | / usr / local / apache / cgi-bin |
| 설치 계속하기 | 예 |
RAOperator 설치
이것이 RA 운영자의 설치입니다. 자세한 내용은 그림 7-1 을 참조하십시오.
다음 명령을 사용하여 OpenCA 소프트웨어의 압축 을 풀고 압축을 해제 했다고 가정 합니다.
root # tar xvfz OpenCA-0.2.0.tar.gz
소프트웨어를 설치하려면 생성 된 디렉토리 ( OpenCA-0.2.0 )를 입력하고 다음을 입력하십시오.
root # make install-secure
| 다시, RAOperator 는 CAServer 와 RAServer 가 아닌 별도의 시스템에 설치 되어야 합니다. 또한 RAOperator 를 작성하기 위해 CAServer 와 RAServer 의 설치로 이어진 단계가 복제되어야 한다고 가정합니다. 그러나 제한된 테스트 목적으로 두 시스템을 동일한 시스템에 설치할 수 있습니다. 같은 시스템에 CAServer, RAServer 및 RAOperators 를 설치하면 사용하기가 어려우며 테스트 중에 오류가 발생하기 쉽습니다. |
표 D-6. RAUperator WWW 서버 설치 매개 변수
| 매개 변수 | 값 |
|---|---|
| HTML 페이지 디렉토리 | / usr / local / apache / htdocs / rao |
| CGI 디렉토리 | / usr / local / apache / cgi-bin |
| 설치 계속하기 | 예 |
WWW 서버 설치
WWW 서버 및 SSL / TLS WWW 서버 구성 요소 설치. 이것은 RPM 파일 을 사용하지 않는 한 오히려 길다 . 이 소프트웨어는 7 장의 소프트웨어 패키지 섹션 에서 찾을 수 있습니다 . 지원 정보는 8 장을 참조하십시오 .
OpenCA 용 openssl.cnf 구성
다음은 CAServer 의 openssl.cnf 에 대한 구성 지침입니다 .
이 파일에서 수정이 필요한 값을 설명합니다. 대부분의 기본값은 그대로 유지됩니다.
여기에서 [CA_default] 섹션의 값 DIR이 설치된 인증 권한이 디렉토리로 변경되어야한다. 일반적으로 /usr/local/OpenCA 입니다.
여기에서 [REQ] 자신의 이름으로 끝나는 섹션, 당신은 모든 변수를 수정해야합니다. _default . 이러한 변수의 기본값은 예제로 사용됩니다. 이것들은 다음과 같습니다.
표 D-7. openssl.cnf 기본값
변하기 쉬운 샘플 값 organizationalUnitName_default OpenCA 사용자 0.organizationName_default OpenCA countryName_default GB stateOrProvinceName_default 써리 1.organizationName_default 예술 건물 회사 기본값의 본질은 새 사용자를 만들 때 이러한 값을 묻는 메시지가 표시된다는 것입니다. 이 값이 사용자에게 적용되면 다시 입력 할 필요없이 수락 할 수 있습니다.
국가 이름은 ISO 3166 국가 코드 를 지정해야 합니다 . 두 자 및 세 자로 된 국가 코드가 있습니다. 현재 구성은 2 자 코드를 지원합니다.
어떤 경우에는 ISO 3166이 인터넷 국가 도메인 이름과 동일하지 않습니다. 예를 들어, 영국의 경우 ISO 3166 국가 코드는 GB 입니다.
여기에서 [user_cert] 섹션, 당신은 수정해야 할 수 있습니다 nsCertType의 변수를. 이 변수를 사용하면 인증서의 기능을 지정할 수 있습니다. 이 영역은이 문서의 이후 버전에서 다루어 질 것입니다.
여기에서 [user_cert] 섹션, 당신은에 나타나는 주석 설정할 수 있습니다 인증서 서명자 인증서 창을여십시오. 변수는 nsComment 이며 인증서에 대한 적절한 설명을 제공해야합니다.
여기에서 [user_cert] 섹션, 당신은 모두 해지 URL을 지정할 수 있습니다 루트 CA 인증서와 다른 인증서를.
동일한 변수 그룹 에서 Netscape ® WWW 브라우저 의 특정 버전과 충돌 할 경우 nsSslServerName 변수 가 설정되면주의해야합니다.
'인증기술 > PKI 기술' 카테고리의 다른 글
| 오픈소스 PKI 문서 - 출판사 마크 (0) | 2018.09.27 |
|---|---|
| 오픈소스 PKI 문서 - 부록 E. 라이센스 (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 부록 C. PKI 알고리즘 (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 부록 B. 샘플 인증서 (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 부록 A. Perl 모듈 (0) | 2018.09.27 |