Apache + OpenSSL 서버

* Service Pack 1 이상이 설치되어 있어야 합니다.

• 1) 서버상에 OpenSSL가 존재하고 있지 않는 경우는 OpenSSL을 인스톨 합니다.

• 2) 커런트 디렉토리를 Apache 웹서버의 비밀 키를 배치하는 장소로 이동합니다.

cd /(APACHE_SERVERROOT)/conf/ssl.key/
* ssl.key는 디폴트 키 디렉토리입니다. 디폴트와는 다른 경우,
  사용하시는 서버의 프라이빗 키 디렉토리로 변경합니다.

• 3) 이하의 커멘드를 입력해 암호화된 파일인 비밀 키를 작성합니다.
      이 파일에 액세스하는 경우나 웹서버를 가동하는 경우는 여기서 지정한 패스 프레이즈의 입력이 요구됩니다.

openssl genrsa -des3 -out DOMAINNAME.key 1024
* 패스 프레이즈를 잊어 버렸을 경우,
  비밀 키를 사용할 수 없게 되므로 재차 신규 인증서를 구입할 필요가 있습니다.

• 4) 이하의 커멘드를 입력해 , 비밀 키로 CSR를 작성합니다(출력은 PEM포맷이 됩니다).

openssl req -new -key DOMAINNAME.key -out DOMAINNAME.csr

• 5) 인증서에 표시되는 정보를 입력합니다.

* 다음의 기호는 사용할 수 없습니다.　< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

필드	설명	예
Common Name	웹서버의 FQDN입니다. 이 이름은 완전 일치가 필요합니다. URL이 https://www.trust1.co.kr의 인증서를 신청하는 경우, CSR의 Common name은 www.trust1.co.kr 라고 지정해야 합니다.	www.trust1.co.kr
Organization	조직의 법률상의 정식명칭입니다.	E-MOTION
Organization Unit	조직에서의 부서명입니다.	Sales
City or Locality	조직이 있는 구동입니다.	Gangnam-Gu
State or Province	조직이 있는 시도입니다.	Seoul
Country	나라를 나타내는 2문자의 ISO약어입니다.	KR

* 항목에 잘못 입력했을 경우에도 신청한 CSR의 내용으로 인증서가 발행됩니다.
  발행된 인증서의 내용은 변경할 수 없습니다.

• 6) extraattributes(확장 필드)에는 굳이 정보를 입력하지 말아 주세요.

A challenge password는 공백으로 합니다.
An optional company name은 공백으로 합니다.

• 7) DOMAINNAME.csr의 파일명으로 CSR이 작성됩니다.
      이것을 GlobalSign의 신청 페이지에 붙입니다.

CSR의 내용을 확인하고 싶은 경우는 이하의 커멘드를 사용합니다.
openssl req -noout -text -in DOMAINNAME.csr
[-----BEGIN NEW CERTIFICATE REQUEST-----]부터
[-----END NEW CERTIFICATE REQUEST-----]까지의 행이
작성된 CSR이 됩니다.

• 8) 작성된 비밀 키 파일(DOMAINNAME.key)을 다른 미디어
      (플로피 디스크·CD-R등)에 카피해서 안전한 장소에 보관합니다.

• 9) 일반의 설정에서는, 비밀 키에 패스 프레이즈가 설정되므로 Apache프로세스가 기동할 때
      반드시 패스 프레이즈를 입력하지 않으면 안됩니다.

Boot시에 Apache의 기동까지 모두 자동으로 완료시키고 싶은 경우에는 비밀 키로부터 패스 프레이즈를 삭제할 필요가 있습니다.
(삭제하는 경우는 만약을 위해 오리지날 비밀키을 보존하십시요.)

CSR의 내용을 확인하고 싶은 경우는 이하의 커멘드를 서버 크래쉬등으로 비밀 키파일이 없어져 버리면, 재차 신규 인증서를 구입해 받을 필요가 있습니다.