성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <div style='font-family: 맑은 고딕, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>JKS(Java Key Store)에 저장된 인증서를 ActiveX 코드 서명에 사용하는 방법</div><br /> <br /> 이번에, DLL 파일에 대한 서명을 할 일이 있었습니다. 문제는, 이미 회사에서 인증서를 verisign으로부터 발급받았고, 애플릿 서명용으로 사용되고 있다는 것입니다.<br /> <br /> 그것이 왜 문제냐??? 라고 하시겠지만. ^^<br /> <br /> 기존에 있는 인증서 파일이 달랑 아래와 같은 PEM 형식의 텍스트 파일 뿐이라는 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > -----BEGIN CERTIFICATE----- MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJHQTELMAkGA1UE ...[생략]... bPZJpECkPLp4Xg== -----END CERTIFICATE----- </pre> <br /> 위의 형식으로 된 CER 파일을 윈도우의 "인증서 관리자"에서 "가져오기" 시도를 하면 "개인키"가 없는 인증서로만 등록이 됩니다. 그렇다면, 키 파일을 찾아야 하는데... ^^; 그걸 가지고 있지 않은 것입니다. 게다가 JKS가 있는 서버는 윈도우가 아니고 리눅스 서버여서... ^^; 제가 접근할 수가 없는 상황!<br /> <br /> 암튼, 검색을 해보니 다음과 같은 글을 찾았습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Convert the Java JKS key-store to Microsoft PFX format ; <a target='_tab' href='http://www.crionics.com/products/opensource/faq/signFree.htm'>http://www.crionics.com/products/opensource/faq/signFree.htm</a> </pre> <br /> 위의 글에 중간 쯤에 보면 "Convert Sun Java JKS Keystore to Microsoft PFX format"와 같은 글이 있는데 거기서 다음과 같은 명령어로 JKS로부터 PFX를 내려받는 방법을 알려주고 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > 형식) JKS2PFX key-store-filename password alias java-class-path-for-ExportPrvKey.class 예제) JKS2PFX CodeSigning.jks mypassword CodeSigning C:\KeyTools </pre> <br /> 일단, 자바 담당하시는 분에게 위의 방법을 알려주고 pfx를 달라고 했는데요. ^^; 제시되었던 방법과는 달리 다음과 같은 3개의 파일이 나오더라고 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > myprivate.key privatekey.b64 privatekey.pkcs8 </pre> <br /> 그중에서 privatekey.b64는 "BEGIN/END PRIVATE KEY" 내에 아무런 데이터가 없는 쓸모없는 파일이었고, myprivate.key는 "---BEGIN PRIVATE KEY---"과 "---END PRIVATE KEY---" 사이에 base64 인코딩된 PEM 형식의 개인키 저장 파일이고, privatekey.pkcs8은 동일한 개인키인데 PKCS #8 형식으로 바이너리 파일이었습니다. 참고로, myprivate.key는 다음과 같은 출력 결과였습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > ---BEGIN PRIVATE KEY--- MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJHQTELMAkGA1UE ...[생략]... bPZJpECkPLp4Xg== ---END PRIVATE KEY--- </pre> <br /> 흠... PFX로 바로 나오진 않았지만, 어쨌든 base64 인코딩된 CER 인증서 파일이 있고, 개인키 파일이 있으니 잘 조립해보면 개인키를 가진 인증서 파일로 변환이 가능할 것 같은데요.<br /> <br /> 여기서 다시 검색을 해보았습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > How to transform your certificate to a pvk + spc combination. ; <a target='_tab' href='http://www.globalsign.com/support/code-signing/pvk-spc.html'>http://www.globalsign.com/support/code-signing/pvk-spc.html</a> </pre> <br /> 위의 글에 보면 아래와 같이 PEM 형식의 개인키 파일을 PVK 파일로 변환하는 것을 볼 수 있습니다.,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Download the pvk transform utility. This file can be found at <a target='_tab' href='http://www.globalsign.com/support/code-signing/PVK.zip'>http://www.globalsign.com/support/code-signing/PVK.zip</a> pvk -in <pem-key-file> -topvk -strong -out <pvk-file> </pre> <br /> 그래서 실행해 보니 다음과 같은 결과가 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > C:\temp>pvk -in myprivate.key -topvk -strong -out myprivate.pvk Error reading key 6408:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib .c:632:Expecting: <b style='COLOR: blue'>ANY PRIVATE KEY</b> </pre> <br /> 헉~~~ 당황스럽습니다. ^^; 이 문제 때문에 엄청나게 고생을 했는데요. 원인은? ^^;<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > [기존 형식] <b style='COLOR: blue'>---</b>BEGIN PRIVATE KEY<b style='COLOR: blue'>---</b> MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJHQTELMAkGA1UE ...[생략]... bPZJpECkPLp4Xg== <b style='COLOR: blue'>---</b>END PRIVATE KEY<b style='COLOR: blue'>---</b> ==> [변경된 형식] <b style='COLOR: blue'>-----</b>BEGIN PRIVATE KEY<b style='COLOR: blue'>-----</b> MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJHQTELMAkGA1UE ...[생략]... bPZJpECkPLp4Xg== <b style='COLOR: blue'>-----</b>END PRIVATE KEY<b style='COLOR: blue'>-----</b> </pre> <br /> 위에서 보는 것처럼, BEGIN/END 구분자의 "-" 문자가 3개였던 것을 5개로 했어야 한다는 것입니다. (실수로 찾아낸 것입니다. ^^;)<br /> <br /> 그래서 다시 실행해 보면, 다음과 같이 정상적으로 pvk 파일을 생성해 냅니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > C:\temp>pvk -in myprivate.key -topvk -strong -out myprivate.pvk Enter Password: Verifying - Enter Password: </pre> <br /> 자... 일단 이렇게 해서 PVK와 CER 파일이 있으니 "<a target='_tab' href='/2/0/863'>인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법</a>"에서 설명한 대로 다음과 같이 명령어를 주면 PFX 파일이 나오게 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > cert2spc mycert.cer mycert.spc pvkimprt -pfx mycert.spc myprivate.pvk </pre> <br /> 이 정도면 해결이 되었죠. ^^<br /> <br /> 시간을 내서 좀 더 검색을 해보니, openssl이라는 공개 도구를 찾았습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Download OpenSSL for windows ; <a target='_tab' href='http://www.deanlee.cn/programming/openssl-for-windows/'>http://www.deanlee.cn/programming/openssl-for-windows/</a> </pre> <br /> 위의 툴을 이용하면 PEM 형식이었던 myprivate.key와 CER 파일만을 가지고 곧바로 PFX 파일로 만드는 것이 가능했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > C:\temp>openssl pkcs12 -export -in mycert.cer -inkey myprivate.key -out my.pfx Loading 'screen' into random state - done Enter Export Password: Verifying - Enter Export Password: unable to write 'random state' </pre> <br /> 마지막 부분에 "unable to write 'random state'"라고 안 좋은 메시지가 있긴 하지만, "인증서 관리자"로 해당 pfx 파일을 가져와서 등록하는 과정이 정상적으로 진행되었습니다.<br /> <br /> 참고로, 위에서 "---" 3개의 구분 문자만 있는 상황에서 openssl을 실행하면 다음과 같은 식으로 오류가 발생합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > C:\temp>openssl pkcs12 -export -in mycert.cer -inkey myprivate.key -out my.pfx Loading 'screen' into random state - done unable to load private key unable to write 'random state' </pre> <br /> 끝!!!<br /> <br /><br /><hr /><span style='color: Maroon'>[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1842
(왼쪽의 숫자를 입력해야 합니다.)