이 문서의 목적은 RV160 및 RV260 Series 라우터에서 인증서를 가져오고 내보내는 방법과 CSR(Certificate Signing Request)을 생성하는 방법을 보여 주는 것입니다.
디지털 인증서는 커뮤니케이션 프로세스에서 중요합니다. 인증을 위한 디지털 ID를 제공합니다. 디지털 인증서에는 이름, 일련 번호, 회사, 부서 또는 IP 주소와 같은 장치 또는 사용자를 식별하는 정보가 포함됩니다.
CA(Certificate Authorities)는 인증서의 신뢰성을 검증하기 위해 "서명"하는 신뢰할 수 있는 기관이며, 이는 장치 또는 사용자의 ID를 보장합니다. 인증서 보유자가 실제로 자신이 주장하는 대상인지 확인합니다. 신뢰할 수 있는 서명된 인증서가 없으면 데이터가 암호화될 수 있지만, 통신 중인 상대방이 사용자가 생각하는 대상이 아닐 수 있습니다. CA는 디지털 인증서를 발급할 때 PKI(Public Key Infrastructure)를 사용합니다. 디지털 인증서는 공개 키 또는 개인 키 암호화를 사용하여 보안을 보장합니다. CA는 인증서 요청을 관리하고 디지털 인증서를 발급하는 업무를 담당합니다. CA의 몇 가지 예는 다음과 같습니다. IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust, Verisign 등 여러 가지가 있습니다.
인증서는 SSL(Secure Socket Layer), TLS(Transport Layer Security), DTLS(Datagram TLS) 연결(예: HTTPS(Hypertext Transfer Protocol) 및 LDAPS(Secure Lightweight Directory Access Protocol))에 사용됩니다.
· RV160
· RV260
·1.0.00.15
이 문서를 통해 다음을 수행할 수 있습니다.
1. CSR/인증서 생성
2 . 인증서 보기
3 . 인증서 내보내기
4. 인증서 가져오기
5. 결론
1단계. 웹 구성 페이지에 로그인합니다.
2단계. 관리 > 인증서로 이동합니다.
3단계. Certificate(인증서) 페이지에서 Generate CSR/Certificate...(CSR/인증서 생성...) 버튼을 클릭합니다.
4단계. 드롭다운 목록의 다음 옵션 중 하나에서 생성할 인증서 유형을 선택합니다.
· 자체 서명 인증서 - 자체 작성자가 서명한 SSL(Secure Socket Layer) 인증서입니다. 이 인증서는 신뢰할 수 없습니다. 개인 키가 공격자에 의해 보안된 경우 취소할 수 없습니다. 유효한 기간(일)을 제공해야 합니다.
· CA 인증서 - 라우터가 내부 인증 기관처럼 작동하고 인증서를 발급하도록 하려면 이 인증서 유형을 선택합니다. 보안 측면에서 볼 때 자체 서명 인증서와 유사합니다. OpenVPN에 사용할 수 있습니다.
· Certificate Signing Request - PKI(Public Key Infrastructure)이며, PKI(Certificate Authority)에 디지털 ID 인증서를 신청하기 위해 전송됩니다. 개인 키가 비밀로 유지되므로 자체 서명보다 안전합니다. 이 옵션을 사용하는 것이 좋습니다.
· CA 인증서에서 서명한 인증서 - 이 인증서 유형을 선택하고 관련 세부 정보를 제공하여 내부 인증 기관에서 서명한 인증서를 가져옵니다.
이 예에서는 Certificate Signing Request(인증서 서명 요청)를 선택하겠습니다.
5단계. 인증서 이름을 입력합니다. 이 예제에서는 CertificateTest를 입력합니다.
6단계. Subject Alternative Name 필드에서 다음 중 하나를 선택합니다. IP Address, FQDN(Fully Qualified Domain Name) 또는 Email을 선택한 이름에서 해당 이름을 입력합니다. 이 필드에서는 추가 호스트 이름을 지정할 수 있습니다.
이 예에서는 FQDN을 선택하고 ciscoesupport.com을 입력하겠습니다.
7단계. Country Name (C) 드롭다운 목록에서 국가를 선택합니다.
8단계. 시/도 이름 필드에 시 또는 도 이름을 입력합니다.
9단계. Locality Name(구/군/시 이름)에 도시 이름을 입력합니다.
10단계. 조직명 필드에 조직명을 입력합니다.
11단계. 조직 단위의 이름(예: 교육, 지원 등)을 입력합니다.
이 예에서는 eSupport를 조직 단위 이름으로 입력합니다.
12단계. 공통 이름을 입력합니다. 이 인증서를 받을 웹 서버의 FQDN입니다.
이 예에서 ciscosmbsupport.com은 공통 이름으로 사용되었습니다.
13단계. 이메일 주소를 입력합니다.
14단계. 드롭다운 메뉴에서 키 암호화 길이를 선택합니다. 옵션은 다음과 같습니다. 512, 1024 또는 2048. 키 크기가 클수록 인증서 보안이 강화됩니다. 키 크기가 클수록 처리 시간이 길어집니다.
모범 사례: 가장 높은 키 암호화 길이를 선택하는 것이 좋습니다. 즉 더 강력한 암호화를 가능하게 합니다.
15단계. 생성을 클릭합니다.
16단계. 정보 팝업이 "Generate certificate successfully!"와 함께 나타납니다. 메시지. OK(확인)를 클릭하여 계속합니다.
17단계. 인증서 테이블에서 CSR을 내보냅니다.
18단계. Export Certificate(인증서 내보내기) 창이 나타납니다. Export to(내보내기)의 PC를 선택한 다음 Export(내보내기)를 클릭합니다.
19단계. 파일을 열거나 저장할지 묻는 다른 창이 나타납니다.
이 예제에서는 Save File(파일 저장)을 선택한 다음 OK(확인)를 클릭합니다.
20단계. .pem 파일이 저장된 위치를 찾습니다. .pem 파일을 마우스 오른쪽 단추로 클릭하고 즐겨찾는 텍스트 편집기로 엽니다.
이 예제에서는 Notepad++로 .pem 파일을 엽니다.
참고: 메모장에서 자유롭게 여십시오.
21단계. —BEGIN CERTIFICATE REQUEST— 및—END CERTIFICATE REQUEST—가 자체 줄에 있는지 확인합니다.
참고: 인증서의 일부가 흐렸다.
22단계. CSR이 있는 경우 호스팅 서비스 또는 인증 기관 사이트(예: GoDaddy, Verisign 등)로 이동하여 인증서를 요청해야 합니다. 요청을 제출하면 인증서 서버와 통신하여 인증서를 발급하지 않을 이유가 없는지 확인합니다.
참고: 인증서 요청이 해당 사이트에 있는 위치를 모르는 경우 CA 또는 호스팅 사이트 지원에 문의하십시오.
23단계. 인증서가 완료되면 인증서를 다운로드합니다. 이는 .cer 또는 .crt 파일이어야 합니다. 이 예에서는 두 파일이 모두 제공되었습니다.
24단계. 라우터의 Certificate(인증서) 페이지로 돌아가 디바이스 아이콘을 가리키는 화살표를 클릭하여 인증서 파일을 가져옵니다.
25단계. Certificate Name(인증서 이름) 필드에 인증서 이름을 입력합니다. 인증서 서명 요청과 이름이 같을 수 없습니다. Upload Certificate file 섹션에서 PC에서 가져오기를 선택하고 Browse...를 클릭하여 인증서 파일을 업로드합니다.
26단계. 파일 업로드 창이 나타납니다. 인증서 파일이 있는 위치로 이동합니다. 업로드할 인증서 파일을 선택하고 Open을 클릭합니다. 이 예에서 CertificateTest.cer가 선택되었습니다.
27단계. Upload(업로드) 버튼을 클릭하여 라우터에 인증서 업로드를 시작합니다.
참고: .cer 파일을 업로드할 수 없는 오류가 발생하는 경우 라우터에 인증서가 pem 인코딩에 있어야 하기 때문일 수 있습니다. der 인코딩(.cer 파일 확장명)을 pem 인코딩(.crt 파일 확장명)으로 변환해야 합니다.
28단계. 가져오기에 성공하면 정보 창을 표시하여 성공적으로 이루어졌음을 알려야 합니다. OK(확인)를 클릭하여 계속합니다.
29단계. 인증서를 성공적으로 업데이트해야 합니다. 인증서를 로그인한 사용자를 확인할 수 있어야 합니다. 이 예에서는 인증서가 CiscoTest-DC1-CA에서 서명되었음을 확인할 수 있습니다. 인증서를 기본 인증서로 만들려면 왼쪽의 라디오 버튼을 사용하여 인증서를 선택하고 Select as Primary Certificate... 버튼을 클릭합니다.
참고: 기본 인증서를 변경하면 경고 페이지로 돌아갈 수 있습니다. Firefox를 사용 중이고 회색 빈 페이지로 표시되는 경우 Firefox에서 일부 컨피그레이션을 조정해야 합니다. Mozilla Wiki의 이 문서는 이에 대한 몇 가지 설명을 제공합니다. CA/AddRootToFirefox. 경고 페이지를 다시 보려면 Mozilla 커뮤니티 지원 페이지에서 찾은 다음 단계를 수행하십시오.
30단계. Firefox 경고 페이지에서 Advanced...를 클릭한 다음 Accept the Risk and Continue(위험을 수락하고 계속 진행)를 클릭하여 라우터로 다시 진행합니다.
참고: 이러한 경고 화면은 브라우저에 따라 다르지만 동일한 기능을 수행합니다.
31단계. Certificate Table(인증서 테이블)에서 NETCONF, WebServer 및 RESTCONF가 Default 인증서를 사용하지 않고 새 인증서로 바꿨음을 확인해야 합니다.
이제 라우터에 인증서를 성공적으로 설치했어야 합니다.
1단계. Certificate(인증서) 페이지에서 이동한 경우 Administration(관리) > Certificate(인증서)로 이동합니다.
2단계. Certificate Table(인증서 테이블)에서 Details(세부사항) 섹션 아래에 있는 Details(세부사항) 아이콘을 클릭합니다.
3단계. Certificate Detail 페이지가 나타납니다. 인증서에 대한 모든 정보를 볼 수 있어야 합니다.
4단계. URL(Uniform Resource Locator) 막대 왼쪽에 있는 잠금 아이콘을 클릭합니다.
참고: 다음 단계는 Firefox 브라우저에서 사용됩니다.
5단계. 선택 사항 드롭다운 목록이 나타납니다. Connection 필드 옆에 있는 화살표 아이콘을 클릭합니다.
6단계. 추가 정보를 클릭합니다.
7단계. 페이지 정보 창에서 웹 사이트 ID 섹션에서 인증서에 대한 간단한 정보를 볼 수 있어야 합니다. Security(보안) 탭에 있는지 확인한 다음 View Certificate(인증서 보기)를 클릭하여 인증서에 대한 자세한 정보를 확인합니다.
8단계. Certificate Viewer 페이지가 나타납니다. 인증서, 유효 기간, 핑거프린트, 발급자에 대한 모든 정보를 볼 수 있어야 합니다.
참고: 이 인증서는 테스트 인증서 서버에서 발급되었으므로 발급자를 알 수 없습니다.
인증서를 다운로드하여 다른 라우터에서 가져오려면 아래 단계를 수행하십시오.
1단계. Certificate 페이지에서 내보낼 인증서 옆에 있는 내보내기 아이콘을 클릭합니다.
2단계. Export Certificate(인증서 내보내기)가 나타납니다. 인증서를 내보낼 형식을 선택합니다. 옵션은 다음과 같습니다.
· PKCS#12 - PKCS(Public Key Cryptography Standards) #12은 .p12 확장자로 제공되는 내보낸 인증서입니다. 내보내기, 가져오기 및 삭제되는 파일을 보호하기 위해 파일을 암호화하려면 암호가 필요합니다.
· PEM - PEM(Privacy Enhanced Mail)은 메모장과 같은 간단한 텍스트 편집기를 사용하여 쉽게 읽을 수 있는 데이터로 변환할 수 있는 웹 서버에 자주 사용됩니다.
Export as PKCS#12 format(PKCS#12 형식으로 내보내기)을 선택하고 비밀번호를 입력하고 비밀번호 확인을 클릭합니다. 그런 다음 PC를 Export to:(내보내기 대상: 필드. 내보내기를 클릭하여 인증서를 컴퓨터로 내보내기를 시작합니다.
참고: 라우터로 가져올 때 이 비밀번호를 사용하게 되므로 이 비밀번호를 기억하십시오.
3단계. 이 파일을 사용하여 수행할 작업을 묻는 창이 나타납니다. 이 예제에서는 파일 저장을 선택한 다음 확인을 클릭합니다.
4단계. 파일이 기본 저장 위치에 저장되어야 합니다.
이 예제에서는 파일이 컴퓨터의 Downloads 폴더에 저장되었습니다.
1단계. Certificate 페이지에서 Import Certificate.. 버튼을 클릭합니다.
2단계. Import Certificate 섹션의 Type 드롭다운 목록에서 가져올 인증서 유형을 선택합니다. 옵션은 다음과 같이 정의됩니다.
· CA 인증서 - 신뢰할 수 있는 서드파티 기관에서 인증한 인증서로서 인증서에 포함된 정보가 정확함을 확인했습니다.
· Local Device Certificate - 라우터에서 생성된 인증서
· PKCS#12 인코딩된 파일 - PKCS(Public Key Cryptography Standards) #12은 .p12 확장명으로 제공되는 내보낸 인증서입니다.
이 예에서 PKCS#12 Encoded File이 유형으로 선택되었습니다. 인증서 이름을 입력한 다음 사용된 암호를 입력합니다.
3단계. Upload Certificate file(인증서 파일 업로드) 섹션에서 Import from PC(PC에서 가져오기) 또는 Import from USB(USB에서 가져오기)를 선택합니다. 이 예에서는 PC에서 가져오기가 선택되었습니다. Browse...를 클릭하여 업로드할 파일을 선택합니다.
4단계. 파일 업로드 창에서 PKCS#12 인코딩 파일(.p12 파일 확장명)이 있는 위치로 이동합니다. .p12 파일을 선택한 다음 열기를 클릭합니다.
5단계. Upload(업로드)를 클릭하여 인증서 업로드를 시작합니다.
6단계. 인증서가 성공적으로 임포트되었음을 알리는 정보 창이 나타납니다. OK(확인)를 클릭하여 계속합니다.
7단계. 인증서가 업로드되었음을 확인해야 합니다.
RV160 및 RV260 시리즈 라우터에서 CSR을 생성하고 인증서를 가져오고 다운로드하는 방법을 성공적으로 배웠어야 합니다.