S/MIME을 사용하여 발신 이메일에 서명하기
GitLab에서 보내는 알림 이메일은 보안을 강화하기 위해 S/MIME로 서명될 수 있습니다.
S/MIME 인증서와 TLS/SSL 인증서가 같지 않으며 서로 다른 목적으로 사용됩니다: TLS는 안전한 채널을 생성하는 반면, S/MIME은 메시지 자체를 서명하거나 암호화합니다.
S/MIME 서명 활성화
이 설정은 명시적으로 활성화되어야 하며 키 한 쌍과 인증서 파일이 제공되어야 합니다:
- 두 파일 모두 PEM으로 인코딩되어야 합니다.
- 키 파일은 암호화되어 있어서는 안 되며 GitLab이 사용자 개입 없이 읽을 수 있어야 합니다.
- RSA 키만 지원됩니다.
옵션으로 각 서명에 포함될 CA 인증서 번들(PER 인코딩)을 제공할 수도 있습니다. 일반적으로 중간 CA입니다.
경고: 개인 키의 접근 수준과 제삼자의 가시성을 신중하게 고려하십시오.
Linux 패키지 설치의 경우:
-
/etc/gitlab/gitlab.rb를 편집하고 파일 경로를 조정합니다:gitlab_rails['gitlab_email_smime_enabled'] = true gitlab_rails['gitlab_email_smime_key_file'] = '/etc/gitlab/ssl/gitlab_smime.key' gitlab_rails['gitlab_email_smime_cert_file'] = '/etc/gitlab/ssl/gitlab_smime.crt' # 선택 사항 gitlab_rails['gitlab_email_smime_ca_certs_file'] = '/etc/gitlab/ssl/gitlab_smime_cas.crt' -
파일을 저장하고 변경 사항이 적용되려면 GitLab을 다시 구성하십시오.
키는 GitLab 시스템 사용자(git 기본값)에 의해 읽을 수 있어야 합니다.
자체 컴파일된 설치의 경우:
-
config/gitlab.yml을 편집합니다:email_smime: # 이메일 S/MIME 서명을 활성화해야 하는 경우 주석 처리 해제 및 true로 설정 (기본값: false) enabled: true # PEM 형식의 S/MIME 개인 키 파일, 암호화되지 않음 # 기본값은 Rails.root(즉, GitLab 앱의 루트)에 상대적인 '.gitlab_smime_key'입니다. key_file: /etc/pki/smime/private/gitlab.key # PEM 형식의 S/MIME 공용 인증서 키, 서명된 메시지에 첨부됩니다 # 기본값은 Rails.root(즉, GitLab 앱의 루트)에 상대적인 '.gitlab_smime_cert'입니다. cert_file: /etc/pki/smime/certs/gitlab.crt # PEM 형식의 S/MIME 추가 CA 공용 인증서, 서명된 메시지에 첨부됩니다 # 선택 사항 ca_certs_file: /etc/pki/smime/certs/gitlab_cas.crt -
파일을 저장하고 변경 사항이 적용되려면 GitLab을 다시 시작하십시오.
키는 GitLab 시스템 사용자(git 기본값)에 의해 읽을 수 있어야 합니다.
S/MIME PKCS #12 형식을 PEM 인코딩으로 변환하는 방법
일반적으로 S/MIME 인증서는 이진 Public Key Cryptography Standards (PKCS) #12 형식(.pfx 또는 .p12 확장자)으로 처리되며, 단일 암호화된 파일에 다음을 포함합니다:
- 공용 인증서
- 중간 인증서(있는 경우)
- 개인 키
필요한 파일을 PKCS #12 파일에서 PEM 인코딩으로 내보내려면 openssl 명령을 사용할 수 있습니다:
#-- 비밀번호 없이 PEM 인코딩된 개인 키 추출
$ openssl pkcs12 -in gitlab.p12 -nocerts -nodes -out gitlab.key
#-- PEM 인코딩된 인증서 추출 (CA 포함한 전체 인증서 체인)
$ openssl pkcs12 -in gitlab.p12 -nokeys -out gitlab.crt
도움말