x509인증서란? (openssl 을 이용한 인증서 crt 생성)

x509 인증서란?

• X.509는 암호학에서 공개키 인증서와 인증알고리즘의 표준 가운데에서 공개 키 기반(PKI)의 ITU-T 표준
• 1988년 7월 3일 X.500 표준안의 일환으로 시작되었음
• X.509 시스템에서 CA(Certificate authority)는 X.500 규약에 따라 서로 구별되는 공개키를 가진 인증서를 발행함
• 한 조직의 인증된 루트 인증서는 그 PKI 시스템을 사용하는 모든 직원들에 분배될 수 있음
• 인터넷 익스플로러나 모질라, 오페라와 같은 브라우저는 SSL 인증서라 불리는 미리 설치된 루트 인증서가 있음
• SSL(Secure Socket Layer) 기반하에서 사용자의 웹브라우저와 인터넷 사이트의 웹서버간 암호화 통신을 가능하게 하는 제3의 신뢰기관이 인증한 인증서
• SSL 인증서에는 웹서버의 공개키가 포함되어 있음

x509 인증서에는 어떤 정보가?

1. 인증서 소유자의 e-mail 주소
2. 소유자의 이름
3. 인증서의 용도
4. 인증서 유효기간
5. 발행 장소
6. Distinguished Name (DN)
   • Common Name (CN)
   • 인증서 정보에 대해 서명한 사람의 디지털 ID
7. Public Key
8. 해쉬(Hash)

x509 인증서의 역할

1. 정보 유출 방지 : 표준 암호화 기법을 사용하여 전송자의 메시지를 안전하게 전송
2. 기업 실체성 확인 : 인증서 발급 대상 기관에 대해 실체성 확인 후 발행
3. 위조사이트 방지 : 인증서 발급 대상 기관에 대해 기업 신용 평가 정보를 확인함

ca인증서 생성

openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -subj "/CN=KUBERNETES-CA" -out ca.csr
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

admin user 인증서 생성

openssl genrsa -out admin.key 2048
openssl req -new -key admin.key -subj "/CN=kube-admin" -out admin.csr
openssl x509 -req -in admin.csr -CA ca.crt -CAkey ca.key -out admin.crt

crt파일 내용 확인해보기

• crt확인 명령어

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text

• crt 파일 내용확인

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 7527848222105425738 (0x68784a12e1a6574a)
        Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN = kubernetes  # 발행자 Common Name

        Validity  # 유효 날짜
            Not Before: Jun  7 04:30:27 2021 GMT
            Not After : Jun  7 04:30:27 2022 GMT

        Subject: CN = kube-apiserver  # 생성자 Common Name
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus: