Docs Menu
Docs Home
/
MongoDB 매뉴얼
/ / /

부록 A - 자체 관리형 배포서버 테스트를 위한 OpenSSL CA 인증서

경고

면책 조항

이 페이지는 테스트 목적으로 만 제공되며 인증서는 테스트 목적으로만 사용됩니다.

다음 튜토리얼은 테스트 x.509 인증서를 생성하기 위한 몇 가지 지침을 제공합니다.

  • 이 인증서를 프로덕션용으로 사용하지 마세요. 대신 보안 정책을 따르세요.

  • OpenSSL에 대한 자세한 내용은 공식 OpenSSL Docs를 참조하세요. 이 튜토리얼에서는 OpenSSL을 사용하지만, 이 자료를 OpenSSL에 대한 신뢰할 수 있는 참고 자료로 간주해서는 안 됩니다.

다음 절차에서는 테스트 CA PEM 파일을 생성하는 단계를 간략하게 설명합니다. 이 절차에서는 서버/클라이언트 테스트 인증서에 서명하기 위해 CA PEM 파일과 중간 기관 인증서 및 키 파일을 모두 생성합니다.

  1. 다음 콘텐츠로 구성 파일 openssl-test-ca.cnf를 생성합니다.

    # NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
    # For the CA policy
    [ policy_match ]
    countryName = match
    stateOrProvinceName = match
    organizationName = match
    organizationalUnitName = optional
    commonName = supplied
    emailAddress = optional
    [ req ]
    default_bits = 4096
    default_keyfile = myTestCertificateKey.pem ## The default private key file name.
    default_md = sha256 ## Use SHA-256 for Signatures
    distinguished_name = req_dn
    req_extensions = v3_req
    x509_extensions = v3_ca # The extensions to add to the self signed cert
    [ v3_req ]
    subjectKeyIdentifier = hash
    basicConstraints = CA:FALSE
    keyUsage = critical, digitalSignature, keyEncipherment
    nsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE."
    extendedKeyUsage = serverAuth, clientAuth
    [ req_dn ]
    countryName = Country Name (2 letter code)
    countryName_default =
    countryName_min = 2
    countryName_max = 2
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = TestCertificateStateName
    stateOrProvinceName_max = 64
    localityName = Locality Name (eg, city)
    localityName_default = TestCertificateLocalityName
    localityName_max = 64
    organizationName = Organization Name (eg, company)
    organizationName_default = TestCertificateOrgName
    organizationName_max = 64
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = TestCertificateOrgUnitName
    organizationalUnitName_max = 64
    commonName = Common Name (eg, YOUR name)
    commonName_max = 64
    [ v3_ca ]
    # Extensions for a typical CA
    subjectKeyIdentifier=hash
    basicConstraints = critical,CA:true
    authorityKeyIdentifier=keyid:always,issuer:always
  2. 선택 사항입니다. 기본 DN(고유 이름) 값을 업데이트할 수 있습니다.

  1. 테스트 CA 키 파일 mongodb-test-ca.key를 생성합니다.

    openssl genrsa -out mongodb-test-ca.key 4096

    이 비공개 키는 CA에 대한 유효한 인증서를 생성하는 데 사용됩니다. 이 부록의 모든 파일과 마찬가지로 이 비공개 키는 테스트 용도로만 사용되지만 적절한 보안 방법을 사용하여 이 키 파일을 보호해야 합니다.

  2. 생성한 키 파일을 사용하여 CA 인증서 mongod-test-ca.crt를 생성합니다. 고유 이름 값을 입력하라는 메시지가 표시되면 테스트 CA 인증서에 적합한 값을 입력합니다.

    openssl req -new -x509 -days 1826 -key mongodb-test-ca.key -out mongodb-test-ca.crt -config openssl-test-ca.cnf
  3. 중간 인증서에 대한 비공개 키를 생성합니다.

    openssl genrsa -out mongodb-test-ia.key 4096

    이 비공개 키는 중간 기관에 대한 유효한 인증서를 생성하는 데 사용됩니다. 이 부록의 모든 파일과 마찬가지로 이 비공개 키는 테스트 용도로만 사용되지만 적절한 보안 방법을 사용하여 이 키 파일을 보호해야 합니다.

  4. 중간 인증서에 대한 인증서 서명 요청을 만듭니다. 고유 이름 값을 입력하라는 메시지가 표시되면 테스트 중간 기관 인증서에 적합한 값을 입력합니다.

    openssl req -new -key mongodb-test-ia.key -out mongodb-test-ia.csr -config openssl-test-ca.cnf
  5. 중간 인증서 mongodb-test-ia.crt를 생성합니다.

    openssl x509 -sha256 -req -days 730 -in mongodb-test-ia.csr -CA mongodb-test-ca.crt -CAkey mongodb-test-ca.key -set_serial 01 -out mongodb-test-ia.crt -extfile openssl-test-ca.cnf -extensions v3_ca
  6. 테스트 CA 인증서 mongod-test-ca.crt테스트 중간 인증서 mongodb-test-ia.crt에서 테스트 CA PEM 파일을 생성합니다.

    cat mongodb-test-ia.crt mongodb-test-ca.crt > test-ca.pem

TLS/SSLmongosh 테스트 를 위해 , mongos 또는 를 구성할 때 테스트 PEM 파일 을 사용할 수mongod 있습니다.

테스트 중간 인증 기관을 사용하여 서버와 클라이언트 모두에 대한 테스트 인증서에 서명할 수 있습니다. 단일 기관이 클라이언트와 서버 모두에 대한 인증서를 발급해야 합니다.

돌아가기

부록