Search

[eToken] GlobalSign 일반/EV CodeSign USBToken 서명 가이드 (갱신-인스톨 미진행)

Tags
SSL
TLS
SSL인증서
SSL보안서버
보안서버 인증서
HTTPS
UCERT
유서트
CodeSign
코드싸인
EV
EV CodeSign

토큰 패스워드 주의사항

Safenet eToken 5110cc의 토큰은 인증을 위해 다양한 비밀번호를 사용합니다.
관리자 암호 또는 PUK를 5회 잘못 입력하면 eToken이 영구적으로 잠기게 되며 사용할 수 없습니다.
관리자 암호, PUK 암호 분실 및 잠김으로 인해 토큰 사용을 못하게 되는 경우, 새로운 토큰을 구매해야 함을 안내 드립니다.

참고 사항

- 토큰 암호

: eToken 인증서 저장소에 액세스하는 데에 사용됩니다. (패스워드 분실 시, 재설정 가능)

- 관리자 암호

: eToken을 관리하기 위해 사용합니다. (패스워드 분실 시, 토큰 사용 불가)

- PUK (Personal Unlocking Key)

: 기본 PUK 패스워드 000000 (패스워드 분실 시, 토큰 사용 불가)

진행 과정

1. USBeToken에 인증서를 Import합니다.

① 인증기관에서 발송한 인증서 다운로드 링크를 복사하여 익스플로러(IE)에서 연결합니다.
※ Edge, Chrome, FireFox 브라우저 사용 불가
발신자
ucert@ucert.co.kr
메일 제목
Certificate Download Ready - [오더번호]: Code Signing Certificate for [업체명]
Pick-Up 링크 (본문 내용 中)
메일 제목 예시
Pick-up 링크 예시
② 임시 패스워드 ucert1234 입력 후 ‘다음’을 클릭합니다.
③ 웹 액세스 확인 창에서 ‘예’를 클릭합니다.
④ 암호화 서비스 제공자(eToken Base Cryptographic Provider) 선택 및 약관 동의 후 다음을 클릭합니다.
⑤ 다음의 화면이 나타날 때까지 기다려 주세요. 응답이 조금 느릴 수 있습니다.
※ 익스플로러를 끄거나 새로고침 하지 마세요! 인증서 재발급이 필요할 수 있습니다.
⑥ ‘내 인증서 설치’ 전, ‘예’ 및 ‘내 인증서 설치’를 클릭합니다.
⑦ 웹 액세스 확인 창에서 ‘예’를 클릭한 후, 설치 성공 메세지를 확인합니다.
⑧ Token 패스워드를 입력합니다.
※ Default 암호 : ucert1234@
⑨ 웹페이지 메세지에서 설치 성공 메세지를 확인합니다.
⑩ SafeNet 메세지에서 인증서를 토큰으로 가져오기가 완료되었습니다 메세지를 확인합니다.

2. 인증서의 정상 등록 여부를 확인합니다.

Safenet 프로그램을 클릭하여 Safenet Token(USB)에 아래와 같이 인증서가 추가되어있는지 확인합니다.
- 사용자 인증서 > 발급 대상의 인증서 더블클릭하여 인증서 만료일자 확인

3. 디지털 서명을 시작합니다.

(1) 서명에 필요한 SDK 설치

- 설치 된 SDK 폴더 위치인 “C:\Program Files (x86)\Windows Kits\8.1\bin\x64” 경로로 이동합니다.
※ 설치 위치와 버전에 따라 설치 경로가 달라질 수 있습니다.
※ “signtool.exe”파일이 존재하는 위치에 서명할 파일을 동일하게 위치시킵니다.

(2) 서명 하기

CodeSign 서명은 단독 서명 / 듀얼 서명으로 나누어지며,
Window XP SP3(최신 업데이트를 포함한 PC)까지 프로그램 배포 지원이 필요하신 경우, 듀얼 서명으로 진행하시기 바랍니다.
1] 다이제스트 알고리즘 SHA2(권장) 단독 서명하기
① 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
② 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd sha256 [서명할 파일]
③ 서명 명령어 입력 후, 메세지를 확인합니다.
2] 다이제스트 알고리즘 SHA1/SHA2 듀얼 서명하기
① 1차 서명 - 다이제스트 알고리즘 SHA1 서명하기
- 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
- 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 [서명할 파일]
- 서명 명령어 입력 후, 메세지를 확인합니다.
② 2차 서명 - 다이제스트 알고리즘 SHA2 서명하기
- 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
- 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 [서명할 파일]
- USB Token 패스워드 입력한 후, 메세지를 확인합니다.
③ 서명된 exe 파일의 속성에서 디지털 서명 내역을 확인합니다.
④ 게시자를 확인합니다.
CHKTRUST.EXE 프로그램 다운로드 : https://www.ucert.co.kr/board/list/guide/codesign
※ CHKTRUST.EXE 프로그램의 위치와 서명된 파일이 동일한 위치에 있지 않을 경우, 경로를 지정해주셔야 합니다.
- 게시자 확인 명령어
chktrust [파일명]
3] 드라이버 서명하기(.sys 파일 서명하기) - EV CodeSign 인증서만 가능
① 명령 프롬프트창(cmd : 관리자권한으로 실행 권장)에서 signtool 이 있는 경로로 이동합니다.
② 서명 명령어를 입력합니다.
signtool sign /a /v /tr http://timestamp.globalsign.com/tsa/r6advanced1 /td SHA256 /fd sha256 [서명할 파일]
③ 서명 명령어 입력 후, 메세지를 확인합니다.
④ 서명을 확인합니다.
서명된 exe 파일의 속성에서 디지털 서명 내역을 확인합니다.
⑤ 서명된 파일을 Microsoft 하드웨어 프로그램 등록을 진행합니다.
※ 드라이버 프로그램을 배포할 경우, 마이크로소프트 드라이버 서명 배포 프로세스 절차에 따라 마이크로 소프트에 서명된 파일을 제출해야 합니다.
※ 이전에 서명하여 배포된 프로그램은 영향 받지 않으며, 신규 서명시에 마이크로소프트 프로세스 절차를 확인하신 후, 진행해 주셔야 합니다
업체 등록 후, EV 코드사인으로 서명한 파일을 제출(비용 무료/ 소요시간 약 1주일 소요)

(3) CodeSign 주요 옵션 안내

Sign 명령 주요 옵션
설명
/a
가장 적합한 서명 인증서를 자동으로 선택합니다. 서명 도구는 지정한 모든 조건을 만족하는 유효한 모든 인증서를 찾아서 최대 시간 동안 유효한 인증서를 선택합니다. 이 옵션이 없으면 서명 도구는 유효한 서명 인증서를 하나만 찾게 됩니다.
/v
명령이 성공적으로 실행되는지 또는 실패하는지 여부와 상관없이 자세한 정보 출력을 표시하고 경고 메시지를 표시합니다.
/as
이 서명을 추가합니다. 주 서명이 없으면, 이 서명이 기본 서명을 대체합니다.
/s StoreName
인증서를 검색할 때 열 저장소를 지정합니다. 이 옵션을 지정하지 않으면 My 저장소가 열립니다.
/fd
파일 서명을 만드는 데 사용할 파일 다이제스트 알고리즘을 지정합니다. 참고: 서명 중에 /fd 스위치가 제공되지 않으면 경고가 생성됩니다. 기본 알고리즘은 SHA1이지만 SHA256을 권장합니다.
/tr URL
RFC 3161 타임스탬프 서버의 URL을 지정합니다. 이 옵션(또는 /t)이 없으면 서명 파일에 타임스탬프가 기록되지 않습니다. 타임스탬프 기록에 실패하면 경고가 생성됩니다. 이 옵션은 /t 옵션과 함께 사용할 수 없습니다.
/td alg
/tr 옵션을 사용하여 RFC 3161 타임스탬프 서버에서 사용하는 다이제스트 알고리즘을 요청합니다. 참고: 타임스탬프 처리 중에 /td 스위치가 제공되지 않으면 경고가 생성됩니다. 기본 알고리즘은 SHA1이지만 SHA256을 권장합니다.
/td alg
/td 스위치는 /tr 스위치 앞이 아니라 뒤에서 선언되어야 합니다. /td 스위치가 /tr 스위치 앞에서 선언되면 의도된 SHA256 알고리즘이 아닌 SHA1 알고리즘에서 타임스탬프가 반환됩니다.
/fd certHash
문자열 certHash 를 지정하면 서명 인증서에 사용되는 알고리즘이 기본값으로 설정됩니다.
/fd certHash
참고: Windows 10 키트 빌드 20236 이상에서만 사용할 수 있습니다.
/n SubjectName
서명 인증서의 주체 이름을 지정합니다. 이 값은 주체의 전체 이름에서 부분 문자열이 될 수 있습니다.
/p Password
PFX 파일을 열 때 사용할 암호를 지정합니다. (/f 옵션을 사용하여 PFX 파일을 지정합니다.)
/u Usage
EKU(확장된 키 사용)가 서명 인증서에 있도록 지정합니다. 용도 값은 OID 또는 문자열로 지정될 수 있습니다. 기본 용도는 "코드 서명"(1.3.6.1.5.5.7.3.3)입니다.

관련된 자료가 더 필요하신가요?