인증서의 개인키를 담은 물리 파일 위치 알아내는 방법
전에도 FindPrivateKey 유틸리티에 대해서 다른 주제를 설명하다가 잠깐씩 언급한 적이 있는데요.
서비스를 위한 인증서 설치
; https://www.sysnet.pe.kr/2/0/429
SSL 서버 자격 증명을 만드는 동안 심각한 오류가 발생했습니다.
; https://www.sysnet.pe.kr/2/0/515
이번에는 좀 더 부가적인 설명을 해보겠습니다. ^^
인증서가 일단 윈도우에 설치되고 나면 "인증서 관리자" MMC 콘솔을 통해서도 개인키에 대한 물리 파일의 위치를 알아낼 수가 없습니다. 이런 경우에 유용하게 사용할 수 있는 유틸리티 중의 하나가 바로 FindPrivateKey입니다.
FindPrivateKey
; https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-4.0/aa717039(v=vs.100)
이 유틸리티는 소스 코드가 공개된 csproj 형태로 Windows SDK에 포함되어 있는데요. 7.0 Windows SDK의 경우 다음의 경로에서 찾아볼 수 있습니다.
C:\Program Files\Microsoft SDKs\Windows\v7.0\Samples
위의 폴더에 "WCFSamples.zip" 파일이 있는데 이 파일의 압축을 풀고 "\TechnologySamples\Tools\FindPrivateKey\CS" 폴더 안의 FindPrivateKey.csproj 프로젝트를 빌드하면 FindPrivateKey.exe를 얻을 수 있습니다.
직접 사용해 볼까요? ^^
<serviceCertificate
findValue="myserver"
x509FindType="FindBySubjectName"
storeLocation="LocalMachine"
storeName="Root" />
예를 들어 위와 같은 설정으로 등록된 "myserver" 인증서의 개인키 물리 파일 위치를 알아내려면 명령행에서 다음과 같이 실행해 주면 됩니다.
FindPrivateKey.exe Root LocalMachine -n "CN=myserver" -a
출력 결과는 대략 다음과 같습니다.
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\8c6b1d2506940c57a3f2bf736e2b9fe0_470f1029-d60c-441e-88e8-a94d4b14c98e
파일은 확장자가 없는 형태여서 "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys" 폴더를 가보면 위의 인증서 이외에 다른 인증서들의 개인키 파일들을 확인할 수 있습니다.
참고로,
주로 이렇게 개인키 파일을 알아내는 목적 중의 하나가 바로 해당 개인키 파일의 "보안"을 변경하고 싶은 경우입니다. 가령 인증서에 대한 개인키까지 필요한 "서비스 프로세스"를 구동시키는 사용자 계정이 기본적으로 파일에 대한 권한이 없을 때, 직접 권한을 변경시켜 주려면 파일 경로를 알아야 하기 때문입니다.
예를 들어서,
위와 같이 알아낸 myserver 인증서의 개인키에 "NETWORK SERVICE" 계정에 대해 읽기 접근 권한을 주고 싶다면 다음과 같이 cacls.exe 명령어를 "관리자 권한"으로 실행된 명령행에서 실행해 주면 됩니다.
cacls.exe "C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\8c6b1d2506940c57a3f2bf736e2b9fe0_470f1029-d60c-441e-88e8-a94d4b14c98e" /E /G "NETWORK SERVICE":R
***
첨부된 파일은 제가 빌드한 FindPrivateKey.exe 입니다. ***
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]