토큰 패스워드 주의사항
Safenet eToken 5110cc의 토큰은 인증을 위해 다양한 비밀번호를 사용합니다.
관리자 암호 또는 PUK를 5회 잘못 입력하면 eToken이 영구적으로 잠기게 되며 사용할 수 없습니다.
관리자 암호, PUK 암호 분실 및 잠김으로 인해 토큰 사용을 못하게 되는 경우, 새로운 토큰을 구매해야 함을 안내 드립니다.
참고 사항
- 토큰 암호
: eToken 인증서 저장소에 액세스하는 데에 사용됩니다. (패스워드 분실 시, 재설정 가능)
- 관리자 암호
: eToken을 관리하기 위해 사용합니다. (패스워드 분실 시, 토큰 사용 불가)
- PUK (Personal Unlocking Key)
: 기본 PUK 패스워드 000000 (패스워드 분실 시, 토큰 사용 불가)
진행 과정
1. SafeNet 드라이버를 설치합니다.
① 아래 링크로 접속하여 SafeNet 서명을 진행할 PC 또는 서버에 알맞은 드라이버를 다운로드 합니다.
② 다운로드 받은 프로그램을 설치합니다.
2. USBeToken을 초기화합니다.
① 유서트에서 전달받은 USBeToken을 PC에 꽂으신 후, 초기화를 진행합니다.
보안을 위해 새 토큰의 토큰 암호를 변경합니다.
② 현재 비밀번호와 앞으로 사용할 비밀번호를 입력한 후, Ok버튼을 클릭합니다.
※ Default 암호 : ucert1234@
③ 암호 변경 확인 메세지를 확인합니다.
3. USBeToken에 인증서를 Import합니다.
① 인증기관에서 발송한 인증서 다운로드 링크를 복사하여 익스플로러(IE)에서 연결합니다.
※ Edge, Chrome, FireFox 브라우저 사용 불가
발신자 | |
메일 제목 | Certificate Download Ready 로 시작되는 메일에서 인증서 Pick-up 링크 복사 |
Pick-up 링크
(본문 내용 中) |
메일 제목 예시
Pick-up 링크 예시
② 임시 패스워드(ucert1234) 입력 후, 다음을 클릭합니다.
③ 웹 액세스 확인 창에서 ‘예’를 클릭합니다.
④ 암호화 서비스 제공자(eToken Base Cryptographic Provider) 선택 및 약관 동의 후 다음을 클릭합니다.
⑤ 다음의 화면이 나타날 때까지 기다려 주세요. 응답이 조금 느릴 수 있습니다.
※ 익스플로러를 끄거나 새로고침 하지 마세요! 인증서 재발급이 필요할 수 있습니다.
⑥ ‘내 인증서 설치’ 전, ‘예’ 및 ‘내 인증서 설치’를 클릭합니다.
⑦ 웹 액세스 확인 창에서 ‘예’를 클릭한 후, 설치 성공 메세지를 확인합니다.
⑧ Token 패스워드를 입력합니다.
※ Default 암호 : ucert1234@
⑨ 웹페이지 메세지에서 설치 성공 메세지를 확인합니다.
⑩ SafeNet 메세지에서 인증서를 토큰으로 가져오기가 완료되었습니다 메세지를 확인합니다.
4. 인증서의 정상 등록 여부를 확인합니다.
Safenet 프로그램을 클릭하여 Safenet Token(USB)에 아래와 같이 인증서가 추가되어있는지 확인합니다.
- 사용자 인증서 > 발급 대상의 인증서 더블클릭하여 인증서 만료일자 확인
5. 디지털 서명을 시작합니다.
(1) 서명에 필요한 SDK 설치
※ 이미 SDK를 보유하고 있는 경우, 해당 SDK는 설치하실 필요가 없습니다.
- 설치 된 SDK 폴더 위치인 “C:\Program Files (x86)\Windows Kits\8.1\bin\x64” 경로로 이동합니다.
※ 설치 위치와 버전에 따라 설치 경로가 달라질 수 있습니다.
※ “signtool.exe”파일이 존재하는 위치에 서명할 파일을 동일하게 위치시킵니다.
(2) 서명 하기
CodeSign 서명은 단독 서명 / 듀얼 서명으로 나누어지며,
Window XP SP3(최신 업데이트를 포함한 PC)까지 프로그램 배포 지원이 필요하신 경우, 듀얼 서명으로 진행하시기 바랍니다.
1] 다이제스트 알고리즘 SHA2(권장) 단독 서명하기
① 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
② 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd sha256 [서명할 파일]
③ 서명 명령어 입력 후, 메세지를 확인합니다.
④ 서명을 확인합니다.
서명된 exe 파일의 속성에서 디지털 서명 내역을 확인합니다.
⑤ 게시자를 확인합니다.
•
CHKTRUST.EXE 프로그램 다운로드 : https://www.ucert.co.kr/board/list/guide/codesign
※ CHKTRUST.EXE 프로그램의 위치와 서명된 파일이 동일한 위치에 있지 않을 경우, 경로를 지정해주셔야 합니다.
- 게시자 확인 명령어
chktrust [파일명]
2] 다이제스트 알고리즘 SHA1/SHA2 듀얼 서명하기
① 1차 서명 - 다이제스트 알고리즘 SHA1 서명하기
- 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
- 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 [서명할 파일]
- 서명 명령어 입력 후, 메세지를 확인합니다.
② 2차 서명 - 다이제스트 알고리즘 SHA2 서명하기
- 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
- 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 [서명할 파일]
- USB Token 패스워드 입력한 후, 메세지를 확인합니다.
③ 서명된 exe 파일의 속성에서 디지털 서명 내역을 확인합니다.
④ 게시자를 확인합니다.
•
CHKTRUST.EXE 프로그램 다운로드 : https://www.ucert.co.kr/board/list/guide/codesign
※ CHKTRUST.EXE 프로그램의 위치와 서명된 파일이 동일한 위치에 있지 않을 경우, 경로를 지정해주셔야 합니다.
- 게시자 확인 명령어
chktrust [파일명]
3] 드라이버 서명하기(.sys 파일 서명하기) - EV CodeSign 인증서만 가능
① 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
② 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd sha256 [서명할 파일]
③ 서명 명령어 입력 후, 메세지를 확인합니다.
④ 서명을 확인합니다.
서명된 exe 파일의 속성에서 디지털 서명 내역을 확인합니다.
⑤ 서명된 파일을 Microsoft 하드웨어 프로그램 등록을 진행합니다.
※ 드라이버 프로그램을 배포할 경우, 마이크로소프트 드라이버 서명 배포 프로세스 절차에 따라 마이크로 소프트에 서명된 파일을 제출해야 합니다.
※ 이전에 서명하여 배포된 프로그램은 영향 받지 않으며,
신규 서명시에 마이크로소프트 프로세스 절차를 확인하신 후, 진행해 주셔야 합니다
업체 등록 후, EV 코드사인으로 서명한 파일을 제출(비용 무료/ 소요시간 약 1주일 소요)
(3) CodeSign 주요 옵션 안내
Sign 명령 주요 옵션 | 설명 |
/a | 가장 적합한 서명 인증서를 자동으로 선택합니다. 서명 도구는 지정한 모든 조건을 만족하는 유효한 모든 인증서를 찾아서 최대 시간 동안 유효한 인증서를 선택합니다. 이 옵션이 없으면 서명 도구는 유효한 서명 인증서를 하나만 찾게 됩니다. |
/v | 명령이 성공적으로 실행되는지 또는 실패하는지 여부와 상관없이 자세한 정보 출력을 표시하고 경고 메시지를 표시합니다. |
/as | 이 서명을 추가합니다. 주 서명이 없으면, 이 서명이 기본 서명을 대체합니다. |
/s StoreName | 인증서를 검색할 때 열 저장소를 지정합니다. 이 옵션을 지정하지 않으면 My 저장소가 열립니다. |
/fd | 파일 서명을 만드는 데 사용할 파일 다이제스트 알고리즘을 지정합니다. 참고: 서명 중에 /fd 스위치가 제공되지 않으면 경고가 생성됩니다. 기본 알고리즘은 SHA1이지만 SHA256을 권장합니다. |
/tr URL | RFC 3161 타임스탬프 서버의 URL을 지정합니다. 이 옵션(또는 /t)이 없으면 서명 파일에 타임스탬프가 기록되지 않습니다. 타임스탬프 기록에 실패하면 경고가 생성됩니다. 이 옵션은 /t 옵션과 함께 사용할 수 없습니다. |
/td alg | /tr 옵션을 사용하여 RFC 3161 타임스탬프 서버에서 사용하는 다이제스트 알고리즘을 요청합니다.
참고: 타임스탬프 처리 중에 /td 스위치가 제공되지 않으면 경고가 생성됩니다. 기본 알고리즘은 SHA1이지만 SHA256을 권장합니다. |
/td alg | /td 스위치는 /tr 스위치 앞이 아니라 뒤에서 선언되어야 합니다. /td 스위치가 /tr 스위치 앞에서 선언되면 의도된 SHA256 알고리즘이 아닌 SHA1 알고리즘에서 타임스탬프가 반환됩니다. |
/fd certHash | 문자열 certHash 를 지정하면 서명 인증서에 사용되는 알고리즘이 기본값으로 설정됩니다. |
참고: Windows 10 키트 빌드 20236 이상에서만 사용할 수 있습니다. | |
/n SubjectName | 서명 인증서의 주체 이름을 지정합니다. 이 값은 주체의 전체 이름에서 부분 문자열이 될 수 있습니다. |
/p Password | PFX 파일을 열 때 사용할 암호를 지정합니다. (/f 옵션을 사용하여 PFX 파일을 지정합니다.) |
/u Usage | EKU(확장된 키 사용)가 서명 인증서에 있도록 지정합니다. 용도 값은 OID 또는 문자열로 지정될 수 있습니다. 기본 용도는 "코드 서명"(1.3.6.1.5.5.7.3.3)입니다. |