Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

PowerShell - New-SelfSignedCertificate를 사용해 CA 인증서 생성 및 인증서 서명 방법

예전에 openssl을 이용해 CA로부터 서명한 인증서를 생성하는 방법에 대해 알아봤는데요,

openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법
; https://www.sysnet.pe.kr/2/0/12570

이번에는 PowerShell을 통해 알아보겠습니다. ^^




"openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법" 글에서는 기존에 있었던 CA 인증서를 이용했는데, 이번에는 CA 인증서도 새롭게 생성하는 방법도 알아보겠습니다.

간단하게 다음과 같이 실행하면 CA 인증서가 생성됩니다.

New-SelfSignedCertificate -Type Custom -Subject "CATest" -KeyUsage CertSign,DigitalSignature,KeyEncipherment -CertStoreLocation "Cert:\LocalMachine\My" -TextExtension @("2.5.29.19={critical}{text}ca=TRUE") -SerialNumber 00 -NotAfter (Get-Date).AddYears(10)


참고로 위의 인증서 옵션은 k8s에서 생성한 ca.crt와 동일한 출력을 갖습니다. 자, 그럼 이 CA 인증서로 서명한 새로운 인증서를 생성할 텐데요, 이를 위해 PowerShell에서는 CA 인증서의 참조 값을 가져야 하므로 다음과 같이 Get-ChildItem으로 미리 변수에 저장해 둡니다.

$rootCA = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=CATest" }

// 혹은 -Path 경로에 해당 인증서의 Thumbprint 값을 알고 있다면, (예를 들어 "be28fa76285084cf6c88d4eb432b517f8add6f14")
// $rootCA = Get-ChildItem -Path Cert:\LocalMachine\My\be28fa76285084cf6c88d4eb432b517f8add6f14
// $rootCA = Get-ChildItem -Path (Join-Path Cert:\LocalMachine\My $rootCA.Thumbprint)

// 혹은 CA 인증서 생성 당시 New-SelfSignedCertificate의 반환 값으로 받거나,
// $rootCA = New-SelfSignedCertificate ...

이후 해당 참조를 -Signer 인자로 넘겨 주면 새롭게 인증서를 생성할 수 있습니다.

New-SelfSignedCertificate -Signer $rootCA -NotAfter (Get-Date).AddYears(10) -Subject "CASigned" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3","2.5.29.19={text}") -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsage DigitalSignature

// 혹은 CA 인증서를 생성하지 않았다면 "-TestRoot" 옵션을 사용하면 "Intermediate Certification Authorities" 경로에 있는 "CertReq Test Root"를 사용

참고로, 이전 글에서는 실제 CA 인증 기관이 동작하는 것처럼 CSR까지 생성하는 등의 과정을 거쳤던 반면 이번 글에서는 그냥 개발자가 사용할 목적의 인증서를 빠르게 생성한 것이므로 그 CSR 요청 과정은 생략하였습니다.




openssl의 경우 명령행 인자와 cnf 파일을 이용해 다양한 옵션 설정을 했는데요, New-SelfSignedCertificate의 경우 이에 대한 옵션을 대략 다음과 같은 설정으로 할 수 있습니다.

New-SelfSignedCertificate
; https://docs.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate

Serial Number
    00
        -SerialNumber 00

Valid to
    10년
        -NotAfter (Get-Date).AddYears(10)

Enhanced Key Usage: -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3", "2.5.29.19={text}")
    Secure Email
        -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.4")
    Client Authentication (default)
        -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
    Server Authentication (default)
        -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
    Code Sigining
        -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3")
    Timestamp Sigining
        -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.8")
    Any Purpose
        -TextExtension @("2.5.29.37={text}2.5.29.37.0")
    (empty)
        -Type Custom

Basic Constraints:
    Subject Type=End Entity
    Path Length Constraint=None
        -TextExtension @("2.5.29.19={text}")
    Subject Type=CA
    Path Length Constraint=None
        -TextExtension @("2.5.29.19={critical}{text}ca=TRUE")

Subject Alternative Name
    Other Name:
      Principal Name=pattifuller@contoso.com
        -TextExtension @("2.5.29.17={text}upn=pattifuller@contoso.com")
    DNS Name=localhost, IP Address=127.0.0.1, IP Address=0000:0000:0000:0000:0000:0000:0000:0001
        -TextExtension @("2.5.29.17={text}DNS=localhost&IPAddress=127.0.0.1&IPAddress=::1")

Key Usage
    Digital Signature (80)
        -KeyUsage DigitalSignature
    Digital Signature, Key Encipherment (a0) (default)
        -KeyUsage DigitalSignature,KeyEncipherment
    Certificate Signing
        -KeyUsage CertSign
    CRL Signing
        -KeyUsage CRLSign
    Data Encipherment
        -KeyUsage DataEncipherment

Subject
    CN = Patti Fuller
    OU = UserAccounts
    DC = corp
    DC = contoso
    DC = com
        -Subject "CN=Patti Fuller,OU=UserAccounts,DC=corp,DC=contoso,DC=com"

Public key
    RSA (2048 Bits) (default)
        -KeyAlgorithm RSA -KeyLength 2048
    ECC (256 Bits)
        -KeyAlgorithm ECDSA_nistP256 -CurveExport CurveName

Signature algorithm
    sha256RSA (default)
        -KeyAlgorithm RSA
    sha256ECDSA
        -KeyAlgorithm ECDSA_nistP256 -CurveExport CurveName

Public key parameters
    05 00 (default)
        -KeyAlgorithm RSA
    ECDSA_P256
        -KeyAlgorithm ECDSA_nistP256 -CurveExport CurveName

SMIME Capabilities
    [1]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.42
    [2]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.45
    [3]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.22
    [4]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.25
    [5]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.2
    [6]SMIME Capability
         Object ID=2.16.840.1.101.3.4.1.5
    [7]SMIME Capability
         Object ID=1.2.840.113549.3.7
    [8]SMIME Capability
         Object ID=1.3.14.3.2.7
    [9]SMIME Capability
         Object ID=1.2.840.113549.3.2
         Parameters=02 02 00 80
    [10]SMIME Capability
         Object ID=1.2.840.113549.3.4
         Parameters=02 02 02 00
        -SmimeCapabilities

인증서 등록 위치
    Local Machine/My
        -CertStoreLocation "Cert:\LocalMachine\My"
    Local Machine/Trusted Root Certification Authorities
        -CertStoreLocation "Cert:\LocalMachine\Root"
    Current User/My
        -CertStoreLocation "Cert:\CurrentUser\My"
    
개인키 exportable 여부 지정
    Exportable (default)
        -KeyExportPolicy Exportable
    NonExportable
        -KeyExportPolicy NonExportable




새로 생성한 인증서가 등록될 위치를 My 이외의 경로를 지정하면 다음과 같은 오류가 발생합니다.

PS C:\temp> New-SelfSignedCertificate -Type Custom -Subject "CATest" -CertStoreLocation "Cert:\LocalMachine\Root" ...[생략]...
New-SelfSignedCertificate : A new certificate can only be installed into MY store.
At line:1 char:1
+ New-SelfSignedCertificate -Type Custom -Subject "CATest" -CertStoreLocation "Ce ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [New-SelfSignedCertificate], ParameterBindingException
    + FullyQualifiedErrorId : RuntimeException,Microsoft.CertificateServices.Commands.NewSelfSignedCertificateCommand"

그러니까, 안 되는 것은 안 되는 겁니다. ^^ 이를 우회하기 위해 해당 인증서를 일단 My에 생성한 다음 Root로 이동하는 작업을 별도로 해야 합니다.

$newCertPath = New-SelfSignedCertificate -Type Custom -Subject "CATest" -CertStoreLocation "Cert:\LocalMachine\My" 

Move-Item $newCertPath -Destination Cert:\LocalMachine\Root

참고로 예전에 C# 코드를 이용해 인증서를 등록하는 방법도 있고. ^^

C# - 인증서를 윈도우에 설치하는 방법
; https://www.sysnet.pe.kr/2/0/11719




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 4/7/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  6  7  8  9  10  [11]  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12601정성태4/15/2021646.NET Framework: 1040. C# - REST API 대신 github 클라이언트 라이브러리를 통해 프로그래밍으로 접근
12600정성태4/15/2021726.NET Framework: 1039. C# - Kubeconfig의 token 설정 및 인증서 구성을 자동화하는 프로그램
12599정성태4/14/2021620.NET Framework: 1038. C# - 인증서 및 키 파일로부터 pfx/p12 파일을 생성하는 방법파일 다운로드1
12598정성태4/14/2021648.NET Framework: 1037. openssl의 PEM 개인키 파일을 .NET RSACryptoServiceProvider에서 사용하는 방법 (2)파일 다운로드1
12597정성태4/13/2021627개발 환경 구성: 569. csproj의 내용을 공통 설정할 수 있는 Directory.Build.targets / Directory.Build.props 파일
12596정성태4/12/2021703개발 환경 구성: 568. Windows의 80 포트 점유를 해제하는 방법
12595정성태4/12/2021585.NET Framework: 1036. SQL 서버 - varbinary 타입에 대한 문자열의 CAST, CONVERT 변환을 C# 코드로 구현
12594정성태4/11/2021701.NET Framework: 1035. C# - kubectl 명령어 또는 REST API 대신 Kubernetes 클라이언트 라이브러리를 통해 프로그래밍으로 접근 [1]파일 다운로드1
12593정성태4/10/2021703개발 환경 구성: 567. Docker Desktop for Windows - kubectl proxy 없이 k8s 대시보드 접근 방법
12592정성태4/10/2021644개발 환경 구성: 566. Docker Desktop for Windows - k8s dashboard의 Kubeconfig 로그인 및 Skip 방법
12591정성태4/9/20211144.NET Framework: 1034. C# - byte 배열을 Hex(16진수) 문자열로 고속 변환하는 방법파일 다운로드1
12590정성태4/9/2021677.NET Framework: 1033. C# - .NET 4.0 이하에서 Console.IsInputRedirected 구현
12589정성태4/8/2021873.NET Framework: 1032. C# - Environment.OSVersion의 문제점 및 윈도우 운영체제의 버전을 구하는 다양한 방법 [1]
12588정성태4/7/2021682개발 환경 구성: 565. PowerShell - New-SelfSignedCertificate를 사용해 CA 인증서 생성 및 인증서 서명 방법
12587정성태4/6/2021988개발 환경 구성: 564. Windows 10 - ClickOnce 배포처럼 사용할 수 있는 MSIX 설치 파일
12586정성태4/5/2021676오류 유형: 710. Windows - Restart-Computer / shutdown 명령어 수행 시 Access is denied(E_ACCESSDENIED)
12585정성태4/5/2021597개발 환경 구성: 563. 기본 생성된 kubeconfig 파일의 내용을 새롭게 생성한 인증서로 구성하는 방법
12584정성태4/1/2021711개발 환경 구성: 562. kubeconfig 파일 없이 kubectl 옵션만으로 실행하는 방법
12583정성태3/29/2021771개발 환경 구성: 561. kubectl 수행 시 다른 k8s 클러스터로 접속하는 방법
12582정성태3/29/2021929오류 유형: 709. Visual C++ - 컴파일 에러 error C2059: syntax error: '__stdcall'
12581정성태3/28/2021809.NET Framework: 1031. WinForm/WPF에서 Console 창을 띄워 출력하는 방법 (2) - Output 디버깅 출력을 AllocConsole로 우회 [2]
12580정성태3/28/2021927오류 유형: 708. SQL Server Management Studio - Execution Timeout Expired.
12579정성태3/28/2021776오류 유형: 707. 중첩 가상화(Nested Virtualization) - The virtual machine could not be started because this platform does not support nested virtualization.
12578정성태3/27/2021685개발 환경 구성: 560. Docker Desktop for Windows 기반의 Kubernetes 구성 (2) - WSL 2 인스턴스에 kind가 구성한 k8s 서비스 위치
12577정성태3/26/20211148개발 환경 구성: 559. Docker Desktop for Windows 기반의 Kubernetes 구성 - WSL 2 인스턴스에 kind 도구로 k8s 클러스터 구성
12576정성태3/25/2021799개발 환경 구성: 558. Docker Desktop for Windows에서 DockerDesktopVM 기반의 Kubernetes 구성 (2) - k8s 서비스 위치
1  2  3  4  5  6  7  8  9  10  [11]  12  13  14  15  ...