이메일 암호화 기법 #36

제7장 인증서 만들기

7.2   X.509  인증서 만들기

인증서 선택화면에서 [Create personal X.509 key pair and authentication request] 버튼을 누른다. 다음 화면에서 성명 (CN = common name), 이메일 주소(EMAIL), 회사/조직(O), 국가(C)를 입력한다. 장소와(L =Locality) 회사기구(OU = Organizational Unit)를 추가로 입력할 수 있다. 

만일 X.509 열쇠 쌍을 만드는 과정을 테스트하려면, 성명과 회사, 국가코드와 함께 임의의 이메일 주소를 입력하면 된다. 

즉,  CN-SoongooLee.O-Test.C-KR.Email-soongoo@gpg4win.kr     과 같이

고급설정에서는 예외적인 설정업무를 수행한다. 자세한 내용은 클레오파트라의 설명서를 보면 된다.  

그 다음 [Next] 버튼을 누른다. 

그러면 설정내용과 주요 입력사항이 화면에 나온다. 자세한 내용을 보고 싶으면 all detail옵션을 체크한다. 

모든 내용에 이상이 없으면  [Creat key] 버튼을 클릭한다.

이제 가장 중요한 암호 문구를 입력한다. 인증서 한 쌍을 만들 때 암호 문구를 입력하여야 한다.

제4장에서 설명한 바와 같이 외우기 쉽고 해독하기 어려운 암호 문구를 이용한다.  이 윈도우는 화면의 뒤쪽에 열릴 경우도 있으므로 처음에는  보이지 않을 수 도 있다. 암호문구가 너무 짧거나 특수문자나 숫자가 없는 경우에는 화면에 경고문이 나온다. 이 단계에서는 테스트라는 간단한 문장을 사용해도 된다. 타이핑에러를 막기 위해서 시스템에서 암호 문구를 또 한 번 입력하라고 할 것이다. 세 번째로 다시 암호 문구를 입력하라고 나오는데 그러면 인증서를 보증하는 기관에게 보증신청서를 보내는 것이 되며 비용을 지불해야한다.  항상 [OK]버튼을 눌러서 확인해야 한다.   그러면 X.509 키 한 쌍을 만드는 화면이 나온다.

이 작업은 한 2분 정도 걸린다. 여러분은 시스템이 난수를 만드는 과정에서 지원을 해 줄 수도 있다.  자료를 입력하지 않아도 된다. 무슨 글자를 입력해도 상관없으며 단지 글자를 입력하는 시간 간격 정보를 시스템이 이용한다. 인증서  한 쌍이 만들어지면 다음과 같은 대화 화면이 나온다. 

다음 단계는 인증신청서를 파일로 저장하는 단계인데  [Save Certificate request to file]버튼을 누른다.  그 다음 x.509인증서를 백업하는 디렉토리를 입력한다.  그러면 클레오파트라는 파일포맷문자에  .p10을 붙인다.   그리고 이 파일을 인증기관(CA)에 인증을 위해 제출한다.  다음에 무료로 CA업무를 수행해주는 기관을 알려줄 예정이다.  신청서는 이메일의 첨부파일로 보낸다.   

유의사항: 이메일 프로그램은 이 기능을 지원하지 않을 수 있다. 이 과정을 수작업으로 진행할 수도 있다.  이메일 화면이 나타나지 않으면 신청서를 파일로 저장한 다음 이메일을 이용해서 인증서 인증기관(CA)에 신청서를 보낸다. 

인증기관이 신청서를 처리한 다음 CA 관리자는 X.509 인증서 완성 본을 보내준다.  이 때 CA의 Sign을 첨부한다.  그러면 이 파일을 클레오파트라에 반입하면 된다.  그 다음 클레오파트라에서 [Finish] 버튼을 누르면 된다. 

CACERT.org를 이용하여 X509 인증서 만들기

     

CAcert는 X.509인증서를 무료로 만들어 주는 기관이다. 통상 상업기관은 이용료를 많이 청구한다.  CAcert에서 인증서를 만들려면  www.cacert.org 에 먼저 등록해야 한다

. 

등록을 마치고 나면,  클라이언트용 인증서를 cacert.org에서 만들 수 있다. 이때 2048과 같이 키 길이를 충분히 크게 선택해야 한다.  웹 도우미를 이용해서 안전한 암호 문구를 만들어야 한다.  그러면 클라이언트용 인증서가 만들어진다.  그 다음  X.509 인증서와 관련 CAcert root 인증서 링크가 담긴 이메일을 받게 된다. 두 개 인증서를 다운로드한다.  그러면 브라우저에서 다음과 같은 방법으로 인증서를 설치한다.  파이어 폭스에서는  Edit -> Settings -> Advanced -> Certificate{s 화면에서 설치한 인증서를 찾는다. 

이제 당신 이름이 CN에 들어 있는 개인용 X.509인증서를 발행할 수 있다. 이 작업을 진행하려면  CACert의 다른 멤버가 상호보증 방식으로 당신의 CAcert 계정이 진짜임을 인정해 주어야 한다.  이 자격을 얻는 방법은 CAcert의 인터넷페이지를 보면 된다. 

그 다음 개인용 X.509인증서의 백업카피를 만든다.  마지막 포맷문자는 .p12가 자동으로 부여된다.

주의사항 : .p12파일에는 비공개인증서와 공개인증서가 모두 담겨있다. 이 파일을 다른 사람이 사용하지 못하게 잘 관리해애 한다.

개인용 X.509인증서를 클레오파트라에 반입하는 방법은 제19장에서 다룬다.

7.3  인증서 생성과정 완료 

이렇게 하면 OpenPGP나 X.509식 인증서 한 쌍이 완성이 된다.  이제 여러분은  전자인증서를 확보하였다. 

클레오파트라 메인 윈도에서 My Certificate 탭에 보면 여러분의 인증서가 들어 있는 것을 알 수 있다.  

인증서를 두 번 클릭하면 다음과 같이 인증서 상세 내용이 화면에 출력된다. 

인증서 상세내용을 보면 유효기간이 있다. 만일 유효기간을 변경하고자 하면 [Change expiry date]버튼을 누른다. 더 자세한 내용은 제15장에서 다룬다.