코드 서명에 필요한 키 쌍과 인증서 로드

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 코드 서명을 사용하여 지정된 비프로덕션 인스턴스에서 관계를 설정합니다. 이 첫 번째 단계에서는 두 개의 암호화 키를 비프로덕션 환경에 로드하여 프로덕션 인스턴스 업데이트에 대해 신뢰할 수 있는 소스를 설정합니다.

    시작하기 전에

    필요한 역할: sn_kmf.admin 또는 sn_kmf.cryptographic_manager

    이 태스크 정보

    관계를 설정하는 첫 번째 단계는 코드 서명을 사용하여 지정된 비프로덕션 인스턴스에서 신뢰 기반을 설정하는 것입니다. 이 작업을 수행하려면 다음이 필요합니다.
    • 코드 서명 암호화 모듈에 로드하려면 두 개의 4096비트 RSA 공개/개인 키 쌍이 있어야 합니다.
      • cm_code_signing 암호화 모듈용 한 쌍
      • cm_code_attest 암호화 모듈용 한 쌍

      이러한 키에 대한 자세한 내용은 을 참조하십시오 코드 서명 키 쌍 및 인증서 만들기.

      중요사항:
      이러한 키 쌍은 공용 인증 기관에서 서명하거나 조직 내부 인증 기관에서 서명해야 합니다. 인증서는 자체 서명할 수 없습니다.
    • 배포 인증서가 포함된 Public Key Cryptography Standard #12(.p12) 파일입니다.

    프로시저

    1. 키 저장소에서 키를 가져옵니다.
      1. 다음으로 이동 모두 > 주요 운영 > 암호화 모듈 > 모두레이블이 표시됩니다.
      2. cm_code_signing라는 암호화 모듈을 찾아서 엽니다.
      3. 암호화 사양 목록에서 암호화 사양의 이름을 선택하여 엽니다.
      4. Import key from keystore(키 저장소에서 키 가져오기) 화면에서 Import key(키 가져오기)를 선택합니다.
    2. 첫 번째 단계를 반복하여 cm_code_attest이라는 암호화 모듈을 가져옵니다.
    3. Enter Keystore Password(키 저장소 암호 입력) 필드에 RSA 인증서를 생성할 때 생성한 챌린지 암호를 입력합니다.
      주:
      작성한 챌린지 암호를 여기서는 키 저장소 암호라고 합니다. 프로세스의 다른 부분에서는 이를 가져오기 암호 또는 내보내기 암호라고 할 수 있습니다. 모든 경우에 이 암호는 이전 단계에서 만든 챌린지 암호와 동일합니다.
    4. Import Keystore/Certificate(키 저장소/인증서 가져오기) 옆에 있는 Browse(찾아보기) 단추를 선택합니다.
    5. p12 파일(이 문서 상단의 시작하기 전에 섹션에서 언급)을 선택한 다음 모두 다운로드를 선택합니다.
    6. 확인을 선택합니다.
      중요사항:
      자체 내부 인증 기관을 사용하는 경우 5-6단계의 프로세스를 사용하여 내부 인증 기관의 중간 인증서를 업로드해야 합니다.
      키 및 인증서를 성공적으로 가져오면 확인 메시지가 표시됩니다.

      인스턴스의 X.509 인증서 [sys_certificate] 테이블에 키와 인증서가 있는지 확인할 수 있습니다. 이러한 레코드에는 일종의 신뢰 저장소 인증서가 있습니다.

      암호화 모듈 [sys_kmf_crypto_module] 테이블에서 키를 확인할 수 있습니다.

    다음에 수행할 작업

    인증서를 프로덕션으로 익스포트합니다. 자세한 내용은 문서를 참조하십시오.