20.6. 키 생성하기

키를 생성하시려면 루트로 로그인하셔야 합니다.

우선 cd 명령을 사용하여 /etc/httpd/conf 디렉토리로 이동합니다. 다음과 같은 명령어를 사용하여 설치 과정에서 생성된 가짜(fake) 키와 인증서를 제거합니다:

rm ssl.key/server.key
rm ssl.crt/server.crt

이제 임의키를 생성하셔야 합니다. /usr/share/ssl/certs 디렉토리로 이동하신 후 다음과 같은 명령을 입력하십시오:

make genkey

시스템은 다음과 같은 메시지를 출력할 것입니다:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:

이제 암호 문구를 입력하셔야 합니다. 보안을 최대화하기 위하여 암호 문구는 최소한 8자 이상으로 숫자와 구두점을 포함하면서 사전에는 없는 단어를 사용해야 합니다. 또한 암호는 대/소문자를 구별한다는 점을 잊지 마십시오.

	알림
	매번 보안 서버를 시작할 때마다 이 암호를 입력하셔야 합니다. 따라서 암호를 기억하시기 ?帽愎求?.

암호가 올바른지 확인하기 위하여 재입력해주셔야 합니다. 정확한 암호가 재입력되면, 입력하신 키가 포함된 /etc/httpd/conf/ssl.key/server.key 파일이 만들어 집니다.

보안 서버를 시작할 때마다 암호를 입력하지 않아도 되도록 설정하시려면, make genkey 명령 대신 다음과 같은 두 명령어를 사용하여 키를 생성하시기 바랍니다.

다음 명령을 사용하여 키를 생성합니다:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

그 후 다음 명령어를 사용하여 이 파일에 올바른 허가를 설정하시기 바랍니다:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

위의 명령어를 사용하여 키를 생성하시면, 보안 서버를 시작하실 때 암호를 입력하실 필요가 없습니다.

	경고
	보안 서버의 암호 요청 기능을 억제하는 것은 보안 허점이 될 수 있습니다. 따라서 저희는 보안 서버에 대한 암호 기능을 억제하는 것을 권장하지 않습니다.

암호를 사용하지 않음으로서 발생하는 문제점은 호스트 기계 상 보안 유지에 직접 관련됩니다. 예를 들어, 비양심적인 개인이 호스트 기계의 일반 UNIX 보안 시스템에 침입하여 여러분의 개인키 (server.key 파일의 내용)을 가로챌 가능성이 있습니다. 그 후 가로챈 개인키를 사용하여 웹 페이지가 여러분의 보안 서버에서 전송된 것처럼 조작 가능합니다.

만일 호스트 컴퓨터 상에서 UNIX 보안 관리가 철저하게 이루어진다면 (모든 운영 체제 패치와 업데이트가 사용 가능할때마다 바로 설치되고, 불필요하거나 위험한 작업 등을 수행하지 않는다면), 보안 서버에 암호를 입력하는 것이 불필요하게 느껴질 수도 있습니다. 그러나 보안 서버는 자주 재부팅될 필요가 없기 때문에, 대부분의 경우 보안 웹 서버에 별도의 보안을 제공하기 위하여 암호를 입력할 필요가 있습니다.

시스템 상 루트 사용자만이 server.key 파일을 소유할 수 있으며 어떠한 다른 사용자도 이 파일을 열 수 없습니다. 이 파일의 백업 복사본을 만드신 후 안전한 위치에 저장하시기 바랍니다. 만일 인증 요구서를 생성하기 위하여 server.key 파일을 사용하신 후 이 파일을 잃게되는 경우에는, 인증서가 더 이상 작용하지 않을 것이며 CA도 손을 쓸 수 없게 됩니다. 만일 이러한 경우가 발생한다면, 유일한 해결책은 새로운 인증서를 요구하고 다시 지불하는 방법 밖에 없습니다. 따라서 반드시 백업 복사본을 만들어 두셔야 합니다.

CA로부터 인증서를 구입하실 계획이라면 20.7 절으로 계속 읽어 나가십시오. 만일 여러분 스스로 자체-서명 인증서를 생성하실 계획이라면, 20.8 절으로 넘어 가십시오.