S/MIME을 사용하여 발신 이메일 서명하기
Tier: Free, Premium, Ultimate
Offering: Self-Managed
GitLab에서 보내는 알림 이메일은 보안이 강화되도록 S/MIME으로 서명될 수 있습니다.
S/MIME 인증서와 TLS/SSL 인증서는 동일하지 않으며 각각 다른 목적으로 사용됩니다: TLS는 안전한 채널을 생성하는 반면, S/MIME은 메시지 자체를 서명하거나 암호화합니다.
S/MIME 서명 활성화
이 설정은 명시적으로 활성화되어야 하며 하나의 키와 인증서 파일 쌍이 제공되어야 합니다:
- 두 파일 모두 PEM으로 인코딩되어야 합니다.
- 키 파일은 암호화되지 않아야 하며 GitLab이 사용자의 개입 없이 읽을 수 있어야 합니다.
- RSA 키만 지원됩니다.
선택적으로 각 서명에 포함될 CA 인증서 번들(PET로 인코딩)을 제공할 수도 있습니다. 이는 일반적으로 중간 CA입니다.
개인 키의 액세스 수준과 제삼자의 가시성을 유의해야 합니다.
Linux 패키지 설치의 경우:
-
/etc/gitlab/gitlab.rb를 편집하고 파일 경로를 수정합니다:gitlab_rails['gitlab_email_smime_enabled'] = true gitlab_rails['gitlab_email_smime_key_file'] = '/etc/gitlab/ssl/gitlab_smime.key' gitlab_rails['gitlab_email_smime_cert_file'] = '/etc/gitlab/ssl/gitlab_smime.crt' # 선택 사항 gitlab_rails['gitlab_email_smime_ca_certs_file'] = '/etc/gitlab/ssl/gitlab_smime_cas.crt' -
파일을 저장하고 변경 사항이 적용되도록 GitLab을 재구성합니다.
키는 GitLab 시스템 사용자 (git 기본)에 의해 읽을 수 있어야 합니다.
자체 컴파일된 설치의 경우:
-
config/gitlab.yml을 편집합니다:email_smime: # 필요 시 S/MIME 서명을 활성화하려면 주석 처리하여 true로 설정합니다 (기본: false) enabled: true # PEM 형식의 S/MIME 개인 키 파일, 암호화되지 않음 # 기본값: Rails 루트(즉, GitLab 앱의 루트)의 '.gitlab_smime_key' key_file: /etc/pki/smime/private/gitlab.key # PEM 형식의 S/MIME 공개 인증서 키, 서명된 메시지에 첨부될 것입니다 # 기본값: Rails 루트(즉, GitLab 앱의 루트)의 '.gitlab_smime_cert' cert_file: /etc/pki/smime/certs/gitlab.crt # PEM 형식의 추가 S/MIME CA 공개 인증서, 서명된 메시지에 첨부될 것입니다 # 선택 사항 ca_certs_file: /etc/pki/smime/certs/gitlab_cas.crt -
파일을 저장하고 변경 사항이 적용되도록 GitLab을 다시 시작합니다.
키는 GitLab 시스템 사용자 (git 기본)에 의해 읽을 수 있어야 합니다.
S/MIME PKCS #12 형식을 PEM 인코딩으로 변환하는 방법
일반적으로 S/MIME 인증서는 이진 공개 키 암호화 표준 (PKCS) #12 형식(.pfx 또는 .p12 확장자)으로 처리되며, 단일 암호화된 파일에 다음이 포함됩니다:
- 공개 인증서
- 중간 인증서 (있는 경우)
- 개인 키
필요한 파일을 PKCS #12 파일에서 PEM 인코딩으로 내보내려면 openssl 명령을 사용할 수 있습니다:
#-- 비밀번호 없이(암호화되지 않게) PEM 인코딩된 개인 키 추출
$ openssl pkcs12 -in gitlab.p12 -nocerts -nodes -out gitlab.key
#-- PEM 인코딩된(중간 CA 포함한 전체 인증서 체인) 인증서 추출
$ openssl pkcs12 -in gitlab.p12 -nokeys -out gitlab.crt
도움말