SSL C/S 구현하는데 클라이언트에서 SSL Handshake 중 서버로부터 받는 인증서의 subject와 issuer를 보면 동일하죠. 이런 경우는 self-signed 인증서가 보내졌기 때문입니다.
그래서 저는 subject와 issuer가 다르게 하는 예를 알고 싶어서 또 삽질을 했습니다. ㅠㅠ issuer는 갑이고 subject는 을이 되는거죠. 갑을 CA로 두고 을의 인증서를 서명하게 되면 CA-signed 인증서가 됩니다.
그래서 저는 이 CA-signed 인증서를 SSL Handshake에서 사용하게 하려면 어떻게 해야 하는가... 고민 했습니다. 국내 검색에서는 한계가 있어서 구글링을 하였더니 alias를 동일하게 하면 된다(it worked 표현)고 하더군요. 되기는 - _-+ x뿔
회신의 인증서와 keystore의 인증서가 동일하지 않습니다.
위처럼 오류가 나던데요. 잘 안 되더라구요.
삽질의 해결 방법은... keytool로 처음부터 JKS에 만들어서 CSR 추출해서 하게 되면 위처럼 JKS에 못 넣고, openssl로 private key를 만들어서 CSR 발급, CA의 서명 과정을 거쳐서 private key와 CA-signed 인증서를 하나의 PKCS12 포맷으로 바꿉니다. 이를 다시 PKCS12 -> JKS로 바꿔서 사용하면 되더라구요.
keytool로 만들었더니 뺐다 넣기가 안 되서 삽질 한 것 같습니다. (이 방법으로도 할 수 있는데 제가 못 찾았은 것일 수 있습니다. ㅋ)
openssl로 키를 만들고 keytool로 키 관리를 하라는 선지자의 말씀을 무시한 죄로 또 삽질 당했습니다. 흑흑
- 케루 -
[참고1] alias 동일하게 하면 들어간다는 QnA (안되던데 - _-+)
http://forums.sun.com/thread.jspa?threadID=5355863
