웹 서비스를 외부의 인증 된 클라이언트에게 공개하는 자바 애플리케이션을 만들었습니다. 웹 서비스는 인증서 인증과 함께 WS 보안을 사용합니다. 기본적으로 우리는 커스텀 CA (Certificate Authority) 역할을합니다. 우리는 우리 서버에 자바 트러스트 스토어를 유지하고 그것에 서명하고 클라이언트의 인증서를 추가합니다. 현재 WS 클라이언트가 인증서 서명 요청을 업로드해야하는 수동 등록 프로세스가 있습니다. 우리는 CSR에 서명하고, 커맨드 라인에서 keytool을 사용하여 자바 트러스트 스토어에 인증서를 추가하고 CA 인증서와 함께 서명 된 인증서를 클라이언트에 반환한다. 차례로 클라이언트는 개인 키를 사용하여 SOAP 메시지 페이로드에 서명하고 메시지에 서명 된 인증서를 포함시킵니다. 서버 측은 디지털 서명을 암호 해독하고 클라이언트 요청을 수행하기 전에 내장 인증서가 서명되었고 우리의 신뢰 저장소와 일치하는지 확인합니다.업데이트 - 자바 트러스트 스토어에서 자체 서명 된 CA 인증서 갱신
(수동 작업으로 인하여) 고통스럽지 만이 설정은 정상적으로 작동합니다. 이제 우리의 루트 CA 인증서가 곧 만료 될 예정이므로 설치 유지 관리 정책을 찾고 있습니다. 자체 서명 된 루트 CA 인증서를 갱신하려면 어떻게해야합니까? 새 것을 만들어서 원래대로 바꾸어야 할 것 같습니다. 그리고 그것은 새로운 인증서를 받고 새로운 CA 인증서를 가져와야하는 모든 클라이언트에게 영향을 미칩니다. 올바른 이해인가, 아니면 상황을 다루는 더 좋은 방법이 있을까요?
중요한 경우 openssl을 사용하여 원래의 키 쌍을 생성했습니다. 루트 CA에서 동일한 개인 키를 유지
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf
좋은 질문! 나는 똑같은 일을 끝내고 새로운 것을 만들었지 만, 이번에는 더 많은 일을 만들어 냈습니다. openssl.cnf 파일에서이를 구성 할 수 있습니다. – Arham
확실히 이번에는 만료 기간을 늘릴 것입니다. 감사. – jay