25. Work With SSL Certificates

Sangmin SHIM

March 19, 2026

tags:

linux
ssl
openssl
certificates
lfcs

⬅ Go to Home

25. Work With SSL Certificates

명령어

`req` — CSR (인증서 서명 요청) 생성

openssl req -newkey rsa:2048 -keyout key.pem -out req.pem

플래그	설명
`-newkey rsa:2048`	RSA 2048비트 개인키를 새로 생성
`-keyout key.pem`	개인키를 `key.pem`에 저장
`-out req.pem`	CSR을 `req.pem`에 저장

`x509` — 자체 서명 인증서 생성

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out req.pem

플래그	설명
`-x509`	CSR 대신 자체 서명 인증서를 출력
`-newkey rsa:2048`	RSA 2048비트 개인키를 새로 생성
`-keyout key.pem`	개인키를 `key.pem`에 저장
`-out req.pem`	인증서를 `req.pem`에 저장

astuce

-days 365 로 유효기간 설정

openssl req -x509 -newkey rsa:4096 -keyout myprivate.key -out mycertificate.crt -noenc
옵션 설명
-newkey rsa:4096 RSA 4096비트 키 생성 (2048보다 강력)
-keyout myprivate.key 개인키를 myprivate.key에 저장
-out mycertificate.crt 인증서를 mycertificate.crt에 저장
-noenc 개인키에 패스프레이즈 암호화 생략

옵션	설명
`-newkey rsa:4096`	RSA 4096비트 키 생성 (2048보다 강력)
`-keyout myprivate.key`	개인키를 `myprivate.key`에 저장
`-out mycertificate.crt`	인증서를 `mycertificate.crt`에 저장
`-noenc`	개인키에 패스프레이즈 암호화 생략

EXAMPLES (`man openssl-req`)

man 페이지에서 예제 섹션으로 바로 이동하는 방법

man openssl-req

열린 후 /EXAMPLE 입력 → Enter → 예제 섹션으로 바로 이동

/ — man 페이지 내 검색
n — 다음 검색 결과로 이동
q — 종료

# 인증서 요청 확인 및 검증
openssl req -in req.pem -text -verify -noout

# 개인키를 먼저 만들고, 그 키로 CSR 생성
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out req.pem

# 위와 동일하지만 req 하나로 키+CSR 동시 생성
openssl req -newkey rsa:2048 -keyout key.pem -out req.pem

# 자체 서명 루트 인증서 생성
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out req.pem

# 서브젝트를 직접 지정해 인터랙티브 프롬프트 없이 생성
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out req.pem \
    -days 365 -noenc \
    -subj "/C=FR/ST=Paris/L=Paris/O=MyOrg/CN=example.com"

# 생성된 인증서 내용 확인
openssl x509 -in req.pem -text -noout

# 실제 인증서 파일로 내용 확인
openssl x509 -in mycertificate.crt -text

핵심 개념

CSR (Certificate Signing Request) — CA에 제출해 서명된 인증서를 받기 위한 요청 파일
자체 서명 (-x509) — CA 없이 자신의 키로 직접 서명; 개발/내부 환경에 적합
key.pem — 개인키 (절대 외부 유출 금지)
req.pem — 사용한 명령에 따라 CSR 또는 인증서

`.crt` vs `req.pem`

	`.crt`	`req.pem`
내용	서명된 인증서 (Certificate)	CSR 또는 인증서
용도	서버에 배포해 사용하는 최종 인증서	CA에 제출하거나 임시 출력 파일
형식	PEM 형식 (내용은 동일)	PEM 형식 (내용은 동일)
관례	`.crt` = 인증서임을 명확히 표현	`.pem` = 형식만 나타냄, 내용은 불분명

remarque

확장자는 단순한 관례(convention) 일 뿐, 실제 파일 형식(PEM)은 동일하다. -x509 사용 시 → 인증서이므로 .crt 권장 -x509 없이 사용 시 → CSR이므로 .csr 또는 req.pem 사용

유효기간 (Expiration)

attention

이미 생성된 인증서의 유효기간은 변경 불가하다. 유효기간은 서명된 데이터에 포함되므로, 수정하면 서명이 무효가 된다. 반드시 재생성해야 한다.

# 기존 인증서를 365일 유효기간으로 재생성 (덮어쓰기)
openssl req -x509 -newkey rsa:4096 -keyout myprivate.key -out kodekloud.crt -noenc -days 365

# 유효기간 확인
openssl x509 -in kodekloud.crt -text -noout | grep "Not After"

25. Work With SSL Certificates

명령어​

req — CSR (인증서 서명 요청) 생성​

x509 — 자체 서명 인증서 생성​

EXAMPLES (man openssl-req)​

핵심 개념​

.crt vs req.pem​

유효기간 (Expiration)​

명령어

`req` — CSR (인증서 서명 요청) 생성

`x509` — 자체 서명 인증서 생성

EXAMPLES (`man openssl-req`)

핵심 개념

`.crt` vs `req.pem`

유효기간 (Expiration)