오늘날 OpenSSL의 설치는 매우 쉽게 되어있다.. 패키지 관리 시스템(역주:Debian은 deb, RedHat은 rpm, FreeBSD는 포트 시스템)을 사용하면 간편하게 설치할 수 있다. 만약 이러한 여건이 안된다면 OpenSSL tarball 파일 속에 있는 README와 INSTALL 파일을 읽어보기를 권한다.
혹시 독자들의 시스템과 필자의 시스템이 틀릴 수 있으므로, 여기서 간단히 필자의 OpenSSL 설치 옵션을 설명하겠다.
모든 OpenSSL 인증서가 있는 디렉토리는 /var/ssl/로 설정하였다. 이 문서의 모든 명령과 경로는 이 디렉토리를 의미한다고 보면 된다. 절대적인 것은 아니지만, 예제를 이해하는데 도움이 될 것이다.
OpenSSL을 가장 기본적인 옵션으로 설치하면 설정 파일이 /usr/lib/ssl/openssl.cnf에 위치하게 된다. 이 경로는 -config옵션으로 바꿀 수 있다. 필자는 /etc/openssl.cnf를 설정 파일로 사용하고 있다. 이 설정 파일은 openssl ca명령이나 openssl req명령에 영향을 미치게 된다.
유틸리티나 다른 라이브러리들은 /usr/lib/ssl에 위치하고 있다.
CA.pl이란 실행 스크립트가 /usr/sbin과 같은 실행 경로에 있는 것을 확인해야 한다. CA.pl은 기본적으로 /usr/lib/ssl 디렉토리에 있다. 이 스크립트는 복잡한 openssl명령을 간편화시켜주는 유틸리티다.
/usr/sbin/CA.pl파일에서 openssl ca와 openssl req가 실행될 때 -config /etc/openssl.cnf 옵션이 포함되도록 수정해야 한다.
#$SSLEAY_CONFIG=$ENV{"SSLEAY_CONFIG"}
$SSLEAY_CONFIG="-config /etc/openssl.cnf";
|
/etc/openssl.cnf 또한 수정해서 입력을 최소화해야 한다. (역주:openssl.cnf에는 기본적인 인증기관 Private Key위치, 인증서 위치, Serial Number 등등의 위치가 있다. 이러한 것이 제대로 되어있지 않다면 수정하고, 필요에 따라 policy부분, Netscape Comment 부분도 수정한다. 그 외에 인증서의 용도, 다른 이름(Alt Name)등등도 필요에 따라 수정한다. 아래의 예제는 아직 문서 버전 0.1에는 포함이 되어 있지 않으나, 추후 추가될 것이다)
/etc/openssl.cnf example |
인증 기관(Certification Authority)을 생성하려면 아래와 같이 명령을 내리면 된다:
CA.pl -newca |