certutil.exe 를 이용한 SSL 루트인증서 / 체인인증서 가져오기

기술자료, 설치/적용 이슈 주요 사례

다음 예제는 Windows Server 에서, 발급 받은 서버인증서에 해당하는 루트인증서 및 체인(중개)인증서를 서버의 인증서 스토어에 가져오는 방법입니다.

루트인증서 및 체인(중개)인증서 의 파일은, 인증기관 브랜드 또는 발급 시점에 따라서 첨부에 차이가 있으므로, 발급 완료시 zip 파일에 포함된 루트/체인 인증서 설명 PDF 에서 루트/체인 구조를 꼭 참조해야 합니다.

* 가져오기 하기전에 이미 인증서 스토어에 존재하는지 미리 확인하시기 바랍니다.
* IIS 에서 pfx 인증서 가져오기 시, 루트/체인도 함께 등록되므로 아래 작업은 불필요 합니다. (CSR자동생성 발급이용시)
* certutil.exe 에 대한 자세한 설명은 MS 공식 문서 를 참조하시기 바랍니다. (명령어는 관리자권한으로 실행 필요)


[루트인증서 가져오기]

C:\Windows\system32>certutil -enterprise -f -v -addstore "Root" "C:\xxxxx_Root.crt.pem"
Root "신뢰할 수 있는 루트 인증 기관"
서명이 공개 키와 일치합니다.
"AAA Certificate Services" 인증서가 저장소에 추가되었습니다.
CertUtil: -addstore 명령이 성공적으로 완료되었습니다.


[체인인증서 가져오기]

C:\Windows\system32>certutil -enterprise -f -v -addstore "CA" "C:\xxxxx_Chain1.crt.pem"
CA "중간 인증 기관"
서명이 공개 키와 일치합니다.
"USERTrust RSA Certification Authority" 인증서가 저장소에 추가되었습니다.
CertUtil: -addstore 명령이 성공적으로 완료되었습니다.

C:\Windows\system32>certutil -enterprise -f -v -addstore "CA" "C:\xxxxx_Chain2.crt.pem"
CA "중간 인증 기관"
서명이 공개 키와 일치합니다.
"Sectigo RSA Domain Validation Secure Server CA" 인증서가 저장소에 추가되었습니다.
CertUtil: -addstore 명령이 성공적으로 완료되었습니다.


[Microsoft 인증 모든 CA 가져오기]

C:\Windows\system32>Certutil -generateSSTFromWU WURoots.sst  실행하면, Microsoft 가 인증한 모든 Root CA 를 가져와서 WURoots.sst 파일에 저장합니다.

윈도우탐색기(관리자) 에서 WURoots.sst 를 실행(더블클릭) 하여, 인증서 저장소에 자동 설치하면 됩니다.  모든 Root CA 를 가져오기 때문에 불필요한 루트 까지 가져오므로, 특별한 이유가 아니면 굳이 할 필요는 없습니다.



컨텐츠의 무단 전제복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2021. All rights reserved.