Microsoft MVP성태의 닷넷 이야기
Java: 9. 자바의 keytool.exe 사용법과 Tomcat 의 SSL 통신 설정 [링크 복사], [링크+제목 복사]
조회: 49342
글쓴 사람
홈페이지
첨부 파일
 

자바의 keytool.exe 사용법과 Tomcat 의 SSL 통신 설정

닷넷의 경우, 운영체제와 통합되어 있어서 윈도우 자체의 인증서 저장소를 사용하는 것이 보통입니다. .cer 또는 .pfx 확장자를 가진 파일을 탐색기에서 더블 클릭해서 등록하거나, 세심하게는 MMC 콘솔을 이용해서 인증서를 관리하게 되는데요.

인증서 관리 - 인증서 MMC 관리자
; https://www.sysnet.pe.kr/2/0/395

자바의 경우에는 어떨까요? 아무래도 다중 플랫폼을 지원해야 하다 보니 직접적인 '키 저장소'를 단일 파일 하나로 관리하는 방법을 제공하고 있습니다.

그리고, 그 관리는 JRE/JDK를 설치한 /bin 폴더의 keytool.exe 가 담당합니다.

예를 들어, 현재 키 저장소에 담겨있는 키들을 확인하려면 다음과 같이 명령을 내리면 됩니다.

C:\Program Files\Java\jdk1.6.0_19\bin>keytool -list
keytool 오류: java.lang.Exception: keystore 파일이 없습니다:  C:\Users\SeongTae Jeong\.keystore

아하... 그런데 기본적으로 ".keystore"라는 파일이 존재하지 않는 군요. 게다가 ".keystore" 파일이 있는 위치가 운영체제 별로 다른데 이에 대해서는 다음의 글을 참고하시고.

keystore : Java Glossary
; http://mindprod.com/jgloss/keystore.html

윈도우라면, 한가지 예외적인 경우가 있는데 바로 해당 PC 가 "Active Directory" 에 참여했으면 경로가 다음과 같이 바뀝니다.

\\[AD 컴퓨터이름]\Users$\[사용자]\.keystore

즉, "AD 계정"으로 로그인한 사용자는 하나의 PC 에서 키 저장소를 만드는 명령을 내렸다면 다른 모든 PC에서 공유되는 것입니다.

자, 그럼 keytool.exe를 이용해서 키 저장소를 만들어 볼까요? 사실 키 저장소만을 만드는 방법은 없고 '최초의 키'를 만들 때 자동적으로 '저장소'는 만들어집니다.

C:\Program Files\Java\jdk1.6.0_23\bin>keytool -genkey -alias tomcat
keystore 암호를 입력하십시오:
새 암호를 다시 입력하십시오:
이름과 성을 입력하십시오.
  [Unknown]:  jennitest
조직 단위 이름을 입력하십시오.
  [Unknown]:
조직 이름을 입력하십시오.
  [Unknown]:
구/군/시 이름을 입력하십시오?
  [Unknown]:
시/도 이름을 입력하십시오.
  [Unknown]:
이 조직의 두 자리 국가 코드를 입력하십시오.
  [Unknown]:
CN=jennitest, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown이(가) 맞습
니까?
  [아니오]:  y

<tomcat>에 대한 키 암호를 입력하십시오.
        (keystore 암호와 같은 경우 Enter를 누르십시오):

실행된 결과를 보면, "KeyStore 암호"와 나중에 "키 암호"를 구분해서 받고 있습니다. 그 외의 것들은 윈도우에서도 인증서 발급받을 때와 동일하게 입력하는 것들이니 낯설지는 않습니다. ("이름과 성"을 입력하는 부분에서 웹 사이트의 SSL 키로 사용하고 싶다면 사용자가 웹 브라우저에 입력해서 들어가는 "웹 사이트 DNS 이름"을 적어주어야 한다는 것은 잊지 마시고. ^^)

실제로 잘 들어갔는지 확인해 볼까요?

C:\Program Files\Java\jdk1.6.0_23\bin>keytool -list
keystore 암호를 입력하십시오:

Keystore 유형: JKS
Keystore 공급자: SUN

Keystore에는 1 항목이 포함되어 있습니다.

tomcat, 2011. 9. 22, PrivateKeyEntry,
인증서 지문(MD5): 0F:8D:26:B3:DE:47:63:D2:89:74:63:45:B2:1F:55:54

다시, 인증서를 삭제하려면 다음과 같이 '-delete' 옵션을 해줍니다.

C:\j2sdk1.4.2_11\bin>keytool -delete -alias tomcat
keystore 암호를 입력하십시오:  000000

keytool.exe의 명령행 인자를 적절하게 이용하면 질문/답변 식으로 이어지는 항목들을 줄일 수가 있는데요. 예를 들어, 다음과 같이 명령행에서 미리 지정해 주면 입력받는 절차를 완전히 생략할 수 있습니다.

keytool -genkey -alias tomcat -dname "CN=jennitest" -storepass 000000 -keypass 000000 

키 목록을 보는 것도 역시 다음과 같이 해주면 되고.

keytool -list -storepass 000000

기본적으로, .keystore 파일은 운영체제 종류에 따라 지정된 위치에 생성이 되는데요. 실제 서비스를 할 때에는 닷넷에서와 동일하게 문제가 발생할 여지가 있습니다. 바로, .keystore 파일이 "사용자 계정" 명에 따라 파일 위치가 결정된다는 점인데, 만약 "Local SYSTEM" 계정으로 톰캣이 실행된다면 해당 .keystore 파일을 찾을 수 없게 됩니다. 이를 위해 .keystore 파일을 원하는 위치에 생성하는 기능이 keytool.exe에서 제공됩니다.

keytool -keystore c:\temp\all.keystore -genkey -alias tomcat -dname "CN=jennitest" -storepass 000000 -keypass 000000

이렇게 생성된 키 저장소를 대상으로 목록을 보여주고 싶다면 파일 경로를 같이 지정해 주어야 합니다.

keytool -list -storepass 000000 -keystore c:\temp\all.keystore

keytool.exe에 대해서 이 정도만 알아두셔도 충분하겠지요. ^^




다음으로, 톰캣에 SSL 통신을 가능하게 하려면 어떻게 해야 할까요? 쉽게는 위에서 설명한 keytool.exe를 사용하여 생성한 키를 이용하는 방법이 있지만, 여기서는 인증 기관에서 발급받은 인증서가 있다고 가정하고 진행해 보겠습니다.

경험상 verisign 같은 인증 기관으로부터 인증서를 발급받게 되면 보통 .cer 파일을 보내주었던 것 같습니다. 물론, 그렇게 해서 구한 유료 인증서를 가지고 테스트하면 더욱 현장감 있겠지만 ^^ 여기서는 단지 실습을 해보자는 것이므로 다음과 같은 방법으로 자작(self) 인증서 파일을 대상으로 작업을 해보겠습니다.

인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/863

윈도우에서 (테스트) 인증서 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/12013

위의 글에 따라 pfx 파일을 생성해야겠지요.

makecert -n "CN=mytestpc" -r -sv mycert.pvk mycert.cer
cert2spc mycert.cer mycert.spc
pvkimprt -pfx mycert.spc mycert.pvk

==> mycert.pfx 결과 파일 생성 (비밀번호 0000)
==> "CN=[웹 사이트 DNS명]"에서 저는 테스트 PC 인 mytestpc 로 정했습니다. 

자, 이제 mycert.pfx 파일 가지고 어떻게 해야할까요? 잠시 웹 검색을 해보니, 다음과 같은 글이 나오더군요.

Importing PFX files into Java keystores
; http://i-proving.ca/space/Technologies/JCE/Importing+PFX+files+into+Java+keystores

즉, 인증기관으로부터 받은 .pfx 파일을 .cer 파일로 변경해서 저장한 다음 아래와 같은 명령어를 이용해서 .keystore에 저장하라는 것입니다.

keytool -import -alias joe -keystore my.keystore -file my_recently_exported.cer

저렇게 import 한 키를 가지고 tomcat 의 SSL 통신에 사용할 수 있을까요? 대답은 '아니오'입니다. pfx 파일과 cer의 주요한 차이점은 바로 '개인키'를 보유하고 있느냐의 여부인데요. '개인키'가 없는 cer 파일을 .keystore에 가져오기 하면 당연히 '공개키'만 들어있다는 것인데 그런 상태로는 SSL 세션을 열 수 없습니다.

즉, 위의 방법은 엄밀히 말해서 "pfx 파일에서 개인키를 빼고 .keystore에 저장하는 방법"을 설명하는 글이라고 보시면 됩니다.

그럼 어떻게 pfx 파일에 대해 '개인키'를 유지한 체로 .keystore에 저장할 수 있을까요? 음... 그 부분은 잘 모르겠습니다. ^^; (혹시, 아시는 분 댓글 부탁드립니다.)

대신에, tomcat 의 SSL 통신을 위해 pfx 파일을 .keystore에 담아야 할 필요가 없다는 사실은 알게 되었습니다. 즉,"[tomcat 설치 폴더]/conf/server.xml" 파일에 곧바로 pfx 파일을 지정할 수 있는 방법이 제공되고 있는데요.

server.xml 을 열면, 아래와 같은 Connector 노드가 주석처리되어 있는 것을 찾을 수 있는데,

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
            maxThreads="150" scheme="https" secure="true"
            clientAuth="false" sslProtocol="TLS" />

이를 주석 해제하고, 다음과 같이 pfx 파일을 연결해 주면 됩니다.

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
            maxThreads="150" scheme="https" secure="true"
            clientAuth="false" sslProtocol="TLS"
            keystoreFile="d:\tools\cert\mycert.pfx"
            keystorePass="0000"
            keystoreType="PKCS12"
            />

준비는 이걸로 끝입니다. 이제 웹 브라우저를 이용해서 "https://localhost:8443/" 라고 방문하면 아래와 같은 화면이 나오는데요.

java_key_store_1.png

이러한 화면이 나오는데에는 2가지 오류가 있다는 것을 보여주고 있습니다.

  1. The security certificate presented by this website was not issued by a trusted certificate authority.
  2. The security certificate presented by this website was issued for a different website's address.

첫번째 오류를 피하려면, 테스트에 사용된 mycert.pfx 를 "Trusted Root CA" 에 등록해 주면 되는데, 물론 Verisign 같은 CA에서 받은 인증서라면 이 단계의 오류는 발생하지 않습니다. 두번째의 경우에는 웹 사이트에 입력된 "localhost"라는 주소가 mycert.pfx 에 지정된 "CN=mytestpc"이름과 다르기 때문에 나타나는 것입니다.

따라서, 루트 인증 기관에 등록된 상태에서 "https://mytestpc:8443"으로 입력하면 곧바로 정상적인 서비스를 받을 수 있습니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]





[최초 등록일: ]
[최종 수정일: 9/5/2019 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 




[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12144정성태2/13/202061.NET Framework: 891. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 두 번째 이야기파일 다운로드1
12143정성태2/13/202044.NET Framework: 890. 상황별 GetFunctionPointer 반환값 정리 - x64파일 다운로드1
12142정성태2/13/202064.NET Framework: 889. C# 코드로 접근하는 MethodDesc, MethodTable파일 다운로드1
12141정성태2/10/2020108.NET Framework: 888. C# - ASP.NET Core 웹 응용 프로그램의 출력 가로채기 [1]파일 다운로드1
12140정성태2/10/202071.NET Framework: 887. C# - ASP.NET 웹 응용 프로그램의 출력 가로채기파일 다운로드1
12139정성태2/9/2020114.NET Framework: 886. C# - Console 응용 프로그램에서 UI 스레드 구현 방법
12138정성태2/9/202091.NET Framework: 885. C# - 닷넷 응용 프로그램에서 Sqlite 사용파일 다운로드1
12137정성태2/9/202047오류 유형: 592. [AhnLab] 경고 - 디버거 실행을 탐지했습니다.
12136정성태2/6/202037Windows: 166. Windows + S(또는 Q)로 뜨는 작업 표시줄의 검색 바가 동작하지 않는 경우
12135정성태2/6/202068개발 환경 구성: 468. Nuget 패키지의 로컬 보관 폴더를 옮기는 방법
12134정성태2/5/202089.NET Framework: 884. eBEST XingAPI의 C# 래퍼 버전 - XingAPINet Nuget 패키지파일 다운로드1
12133정성태2/7/202099디버깅 기술: 161. Windbg 환경에서 확인해 본 .NET 메서드 JIT 컴파일 전과 후 - 두 번째 이야기
12132정성태1/28/2020224.NET Framework: 883. C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)파일 다운로드1
12131정성태1/27/2020171개발 환경 구성: 467. LocaleEmulator를 이용해 유니코드를 지원하지 않는(한글이 깨지는) 프로그램을 실행하는 방법
12130정성태1/26/2020102VS.NET IDE: 142. Visual Studio에서 windbg의 "Open Executable..."처럼 EXE를 직접 열어 디버깅을 시작하는 방법
12129정성태1/26/2020264.NET Framework: 882. C# - 키움 Open API+ 사용 시 Registry 등록 없이 KHOpenAPI.ocx 사용하는 방법
12128정성태1/26/202074오류 유형: 591. The code execution cannot proceed because mfc100.dll was not found. Reinstalling the program may fix this problem.
12127정성태1/28/2020158.NET Framework: 881. C# DLL에서 제공하는 Win32 export 함수의 내부 동작 방식(VT Fix up Table)파일 다운로드1
12126정성태1/25/2020149.NET Framework: 880. C# - PE 파일로부터 IMAGE_COR20_HEADER 및 VTableFixups 테이블 분석파일 다운로드1
12125정성태1/24/202077VS.NET IDE: 141. IDE0019 - Use pattern matching
12124정성태1/24/2020139VS.NET IDE: 140. IDE1006 - Naming rule violation: These words must begin with upper case characters: ...
12123정성태1/23/202095웹: 39. Google Analytics - gtag 함수를 이용해 페이지 URL 수정 및 별도의 이벤트 생성 방법
12122정성태1/22/2020133.NET Framework: 879. C/C++의 UNREFERENCED_PARAMETER 매크로를 C#에서 우회하는 방법(IDE0060 - Remove unused parameter '...')파일 다운로드1
12121정성태1/24/2020105VS.NET IDE: 139. Visual Studio - Error List: "Could not find schema information for the ..."파일 다운로드1
12120정성태1/20/2020170.NET Framework: 878. C# DLL에서 Win32 C/C++처럼 dllexport 함수를 제공하는 방법 - 네 번째 이야기(IL 코드로 직접 구현)파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...