반응형
update-ca-trust는 리눅스 배포판(특히 Red Hat 계열)에서 신뢰할 수 있는 인증서(Trusted Certificates)를 관리하고 업데이트하는 명령어입니다. 시스템에서 SSL/TLS 연결을 설정할 때 사용하는 신뢰할 수 있는 인증서를 등록하거나 삭제할 때 유용합니다. 이 명령은 인증서를 추가, 제거, 갱신한 후 시스템 전반에 적용되도록 업데이트합니다.
update-ca-trust의 역할
- 신뢰할 수 있는 인증서 추가:
- 새로운 인증서를 시스템의 신뢰 저장소에 추가.
- 신뢰할 수 없는 인증서 제거:
- 특정 인증서를 신뢰 목록에서 제외하여 보안을 강화.
- 시스템 전반 인증서 업데이트:
- SSL/TLS 라이브러리(예: OpenSSL, GnuTLS)가 신뢰할 수 있는 인증서를 최신 상태로 유지.
- 중앙 집중식 관리:
- 신뢰 인증서를 시스템의 여러 애플리케이션에서 공유.
사용되는 디렉토리 구조
update-ca-trust는 아래 경로를 사용해 인증서를 관리합니다:
- 신뢰할 인증서 저장
- /etc/pki/ca-trust/source/anchors/
- 여기에 인증서를 추가하면 신뢰 목록에 포함됩니다.
- 신뢰하지 않을 인증서 저장
- /etc/pki/ca-trust/source/blacklist/
- 여기에 인증서를 추가하면 신뢰 목록에서 제외됩니다.
- 신뢰 인증서가 저장되는 경로
- /etc/ssl/certs/ca-bundle.crt 또는 /etc/pki/tls/certs/ca-bundle.crt
- 업데이트 후, 신뢰할 수 있는 인증서의 최종 번들이 이 파일에 저장됩니다.
주요 명령어
- 인증서 추가
- 인증서를 신뢰 저장소에 추가:
cp my-cert.crt /etc/pki/ca-trust/source/anchors/
- 인증서를 신뢰 저장소에 추가:
- 인증서 신뢰 업데이트
- 저장소 변경 사항을 시스템에 적용:
update-ca-trust
- 저장소 변경 사항을 시스템에 적용:
- 신뢰 목록 비활성화
- 인증서 신뢰 관리를 비활성화:
update-ca-trust disable
- 인증서 신뢰 관리를 비활성화:
- 신뢰 목록 활성화
- 인증서 신뢰 관리를 활성화:
update-ca-trust enable
- 인증서 신뢰 관리를 활성화:
사용 예제
1. 새로운 인증서를 시스템에 추가
- 인증서 복사:
cp my-cert.crt /etc/pki/ca-trust/source/anchors/ - 업데이트 적용:
update-ca-trust
2. 인증서를 신뢰하지 않도록 설정
- 인증서를 블랙리스트 디렉토리에 추가:
cp untrusted-cert.crt /etc/pki/ca-trust/source/blacklist/ - 업데이트 적용:
update-ca-trust
3. 업데이트 확인
- 업데이트된 인증서를 확인:
cat /etc/ssl/certs/ca-bundle.crt
주의사항
- 루트 권한 필요:
- 인증서를 추가하거나 삭제하려면 root 또는 sudo 권한이 필요합니다.
- 파일 형식:
- 인증서는 PEM 형식이어야 합니다. DER 형식의 인증서는 변환 후 사용:
openssl x509 -inform DER -in my-cert.der -out my-cert.pem
- 인증서는 PEM 형식이어야 합니다. DER 형식의 인증서는 변환 후 사용:
- 서비스 재시작:
- 인증서를 갱신한 후에는 관련 서비스를 재시작해야 적용됩니다. 예:
systemctl restart nginx
- 인증서를 갱신한 후에는 관련 서비스를 재시작해야 적용됩니다. 예:
주요 사용 사례
- 사설 인증서 추가:
- 내부 시스템에서 사용하는 사설 인증서를 신뢰 저장소에 추가.
- 만료된 인증서 갱신:
- 만료되었거나 보안 문제가 있는 인증서를 새로 갱신.
- 보안 강화를 위한 블랙리스트 설정:
- 신뢰할 수 없는 인증서를 제거하여 보안 강화.
update-ca-trust는 리눅스 시스템에서 SSL/TLS 연결의 신뢰성을 관리하는 데 중요한 도구입니다. 인증서 추가와 갱신 작업을 간단하게 수행할 수 있으며, 잘못된 인증서를 제외하여 보안 문제를 최소화할 수 있습니다.
반응형