일반적인 인증서 파일(PEM/Key)을 IBM HTTP Server(IHS)에서 사용하는 CMS 키 데이터베이스(KDB) 형식으로 변환하는 과정을 정리합니다. OpenSSL을 이용해 P12로 1차 변환 후, IBM GSKit(gskcapicmd)을 이용해 KDB로 최종 변환 및 등록합니다.
0. 배경 및 프로세스 (Workflow)
IHS는 OpenSSL 기반이 아닌 IBM 고유의 암호화 라이브러리(GSKit)를 사용합니다. 따라서 다음과 같은 변환 과정이 필수적입니다.
- Step 1:
.key+.pem→.p12(OpenSSL 사용) - Step 2:
.p12→.kdb(gskcapicmd 사용)
Test Environment
- OS: Linux / Unix
- Web Server: IBM HTTP Server v9.0 (v8.5 이상 동일)
- Tool: OpenSSL, gskcapicmd (IHS bin 폴더 내장)
1. PEM을 P12로 변환 (OpenSSL)
개인키(Private Key)와 인증서(Certificate)를 하나의 패키지 포맷인 PKCS#12(.p12)로 병합합니다.
# 구문: openssl pkcs12 -export -inkey [개인키] -in [인증서] -out [출력파일명]
openssl pkcs12 -export -inkey Wildcard.test.co.kr.key -in Wildcard.test.co.kr.pem -out Wildcard.test.co.kr.p12
주의 (Password):
명령어 실행 시 Export Password를 설정하게 됩니다. 이 비밀번호는 다음 단계에서 KDB로 임포트할 때 필요하므로 반드시 기억해야 합니다.
명령어 실행 시 Export Password를 설정하게 됩니다. 이 비밀번호는 다음 단계에서 KDB로 임포트할 때 필요하므로 반드시 기억해야 합니다.
2. P12를 KDB로 변환 (GSKit)
IHS의 bin 디렉토리에 있는 gskcapicmd(또는 gskcmd)를 사용합니다.
2-1. 환경 변수 설정 (필수)
GSKit 라이브러리를 로드하기 위해 라이브러리 경로를 잡아주어야 에러가 발생하지 않습니다.
# IHS 설치 경로 예시 (/sw/web/IHS9)
export LD_LIBRARY_PATH=/sw/web/IHS9/lib:$LD_LIBRARY_PATH
cd /sw/web/IHS9/bin2-2. 신규 KDB 생성 (없는 경우)
기존 KDB가 없다면 새로 생성합니다. -stash 옵션은 비밀번호를 파일(.sth)로 저장하여 웹 서버 기동 시 비밀번호 입력을 자동화합니다.
./gskcapicmd -keydb -create -db key.kdb -pw [KDB패스워드] -type cms -stash2-3. P12 파일 임포트 (Import)
생성된(또는 기존) KDB 파일에 위에서 만든 P12 인증서를 넣습니다.
./gskcapicmd -cert -import \
-db /sw/img/Wildcard.test.co.kr.p12 -pw [P12패스워드] \
-target key.kdb -target_pw [KDB패스워드] \
-label "*.test.co.kr"
참고 (Export vs Import):
질문하신 내용 중
질문하신 내용 중
-export를 사용하여 P12를 KDB로 바로 변환하는 방법도 가능하지만, 실무에서는 기존 KDB에 인증서를 추가(Import)하거나 갱신하는 경우가 많으므로 -import 방식을 권장합니다.
3. 기본 인증서 설정 및 검증
KDB 안에 여러 인증서가 있을 경우, 어떤 인증서를 메인으로 사용할지 지정해야 합니다.
기본 인증서 지정 (Set Default)
./gskcapicmd -cert -setdefault -db key.kdb -pw [KDB패스워드] -label "*.test.co.kr"검증 (List & Details)
KDB 내의 인증서 목록과 유효기간을 확인하여 작업이 정상적으로 되었는지 점검합니다.
# 인증서 목록 확인 (Default는 * 또는 > 표시가 붙음)
./gskcapicmd -cert -list -db key.kdb -pw [KDB패스워드]
# 특정 인증서 상세 정보 확인
./gskcapicmd -cert -details -db key.kdb -pw [KDB패스워드] -label "*.test.co.kr"Next Step:key.kdb 파일과 key.sth(Stash) 파일을 httpd.conf의 KeyFile 경로에 위치시키고 IHS를 재기동하면 SSL 적용이 완료됩니다.