Keystore와 Truststore

study/보안

Keystore와 Truststore

dddzr 2025. 4. 10. 21:26

📌 1. Keystore와 Truststore

SSL/TLS의 주요 구성 요소이며 ssl 인증서와 key 저장하는 저장소이다.

*SSL 인증서

서버의 신원을 증명하며, CA(Certificate Authority)에서 발급받는다.
인증서에는 서버의 공개키, 도메인 이름, 만료 날짜 등이 포함된다.
🔗Ssl 개념 & 인증서 발급

✅1-1. Keystore

인증서와 개인 키(Private Key)를 저장하는 저장소.
서버나 클라이언트가 자신을 증명할 때 사용.
역할:
- 서버 측에서 클라이언트에게 자신의 신원을 증명하기 위해 사용.
- 클라이언트 측에서 서버로 자신을 인증해야 하는 경우(예: 양방향 SSL).
형식: 일반적으로 .jks, .p12, 또는 .pem.

✅1-2. Truststore

신뢰할 수 있는 상대방의 공개 키 인증서(Certificate)를 저장하는 저장소.
서버나 클라이언트가 상대방을 인증할 때 사용.
역할:
- 클라이언트 측에서 서버의 인증서를 확인하고 신뢰할 수 있는지 판단.
- 서버 측에서 신뢰할 수 있는 클라이언트 인증서를 확인할 때 (예: 양방향 SSL).
형식: 일반적으로 .jks 또는 .pem.

🔥1-3. keystore vs truststore

역할	Keystore	Truststore
내용	본인의 인증서 + 개인 키	상대방의 인증서(또는 CA 인증서)
발급 주체	본인 또는 인증 기관	상대방(통신 대상) 또는 CA
용도	내 신원을 증명	상대방의 신원을 검증
통신 흐름	내가 서버 역할일 때 사용됨	내가 클라이언트 역할일 때 사용됨

📌 2. Keystore와 Truststore 설정이 필요한 경우

🎯 요약

단방향 SSL: 일반적으로 truststore만 설정하면 충분.
양방향 SSL: keystore와 truststore를 모두 설정해야함.

✅2-1. 클라이언트에서 서버로 단방향 SSL (기본 설정)

서버 인증서를 클라이언트가 검증할 수 있어야 한다.

🔹방법

Elasticsearch 서버 인증서를 클라이언트의 truststore에 추가.
클라이언트가 이 인증서를 신뢰할 수 있도록 truststore 경로를 설정.

✅2-2. 클라이언트와 서버 간 양방향 SSL (Mutual SSL)

클라이언트와 서버 모두 서로의 신원을 검증한다.

🔹방법

클라이언트는 자신의 인증서를 keystore에 저장하고 서버에 제공.
서버는 클라이언트 인증서를 신뢰할 수 있도록 truststore에 추가.

📌 3. Spring Boot에서 SSL 설정 방법

✅3-1. Keystore와 Truststore 파일 준비

1️⃣인증서를 다운로드 (예시: Elasticsearch)
curl -k -XGET https://<elasticsearch-host>:9200 -o elasticsearch.crt

2️⃣클라이언트 truststore에 추가
keytool -import -trustcacerts -alias elasticsearch -file elasticsearch.crt -keystore truststore.jks -storepass <password>

✅3-2. Application 설정

Spring Boot 애플리케이션의 application.yml 또는 application.properties 파일에서 SSL 설정을 추가.

📖 application.yml

spring:
  elasticsearch:
    rest:
      uris: https://<elasticsearch-host>:9200
      ssl:
        keystore:
          location: classpath:keystore.jks
          password: <keystore-password>
        truststore:
          location: classpath:truststore.jks
          password: <truststore-password>

📖 application.properties

spring.elasticsearch.rest.uris=https://<elasticsearch-host>:9200
spring.elasticsearch.rest.ssl.keystore.location=classpath:keystore.jks
spring.elasticsearch.rest.ssl.keystore.password=<keystore-password>
spring.elasticsearch.rest.ssl.truststore.location=classpath:truststore.jks
spring.elasticsearch.rest.ssl.truststore.password=<truststore-password>