p080 JWT 만드는 Powershell

오늘 할 내용은 이렇습니다.

JWT가 갑자기 왜 나와요?

넵, Line SDK를 사용하는 방법중 30일 이상 사용할 수 있는 access token을 얻기 위해서입니다.
- 이건 특별한 상황의 대답이구요.
나는 누구인지(Authentication) 확인을, Persistent Storage를 사용하지 않는 방법중,
시스템에 등록된 CRT를 이용해 Sign하고, Expiry를 포함한 전달내용(Payload)의 포맷이 유연한
API 인증 매커니즘(API authentication mechanism) 이기 때문입니다.

그러니까, JWT가 뭔가요?

jwt는 bearer token입니다. 어떤 내용을 가지는 문자열이에요

bear는 곰, 아이를 낳다, 참다 이외에도 가지다, 받치다 라는 뜻도 있습니다. 즉, 여기서는 뭔가를 들고있는 것, 뭔가를 가지고 있는 것이란 의미로 사용됩니다.
가지고 있는 물건을 짐으로 표현하기도 하는데, 영어로는 payload라고 합니다.
근데 json 스트링을 가지고 있기 때문에 jason web token이라고 부릅니다.
즉, bearer token이라고 하면, 이 토큰을 해석해보면, 인증에 필요한 정보가 있다.. 라고 하는 의미가 됩니다.
특이한 것은 symmetric encryption을 사용합니다. 네. publick key, private key. 그겁니다.
서명하면, 원본 문자열과 hash키가 생성되죠? 이 두개를 묶어 base64으로 인코딩한 문자열입니다.

서명에 대한 wikipedia 이미지를 첨부합니다.

인증서 복습하기

인증서를 가끔쓰시는 분들을 위해, 자주 잊는 것 부터 복습하고 가면,
우선 GMU openssl은 다음과 같은 순서로 인증서를 만들어 store에 저장합니다.
GMU openssl과 윈도우즈의 명령어는 각각 다음과 같은 방법으로 인증서를 만듭니다.

우선 GMU openssl은

key 만들고
Subject넣어서 src만들고
인증서인 crt로 만들어서 store에 저장

반면 윈도우즈는

한 방에 crt만들어서 store에 저장하고
key가 필요하면 거꾸로 crt안에서 꺼내어 쓴다

symmetric 키는 보관 방법이 몇가지가 있는데,

우선 인증서는 private key, public key 둘 다 가지고 있을 수 있습니다.
- 둘 중 하나만 가지고 있는 경우도 있습니다.
암호화 포맷인 PKCS 포맷중에 private key, public key를 가지고 있는 포맷도 있습니다.
- 12번 포맷입니다. 확장자는 주로 .pfx를 사용합니다.
ssh-keygen 커맨드나 openssl 커맨드를 이용하면 파일로 각각 만들 수도 있습니다.
- linux 쉘 설정하다보면 로그인을 생략하기 위해 ssh-keygen 을 종종 사용하죠?
- 확장자는 public key는 .pub, private key는 .key를 주로 씁니다.

내가 가지고 있는 인증서는?

알아보는 명령어는 dir cert:\CurrentUser\My 입니다.

PS C:\Users\usr0100023\blog> dir cert:\CurrentUser\My


   PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\My

Thumbprint                                Subject
----------                                -------
AA3F29ACAB1A7F03B1A4F7A5599CAB88046190EF  CN=5b80296b-f36a-47b1-bc60-1682acc7fb79
A942CDF8EBB3253F114A232D14F0164E13F7F28D  CN=usr0100023, OU=User, OU=GMO Internet, DC=GMO, DC=LOCAL

두개가 있네요. 뭐지?

첫번째는

PS C:\Users\usr0100023\blog> (dir cert:\CurrentUser\My)[0] | fl *


PSPath                   : Microsoft.PowerShell.Security\Certificate::CurrentUser\My\AA3F29ACAB1A7F03B1A4
                           F7A5599CAB88046190EF
PSParentPath             : Microsoft.PowerShell.Security\Certificate::CurrentUser\My
PSChildName              : AA3F29ACAB1A7F03B1A4F7A5599CAB88046190EF
PSDrive                  : Cert
PSProvider               : Microsoft.PowerShell.Security\Certificate
PSIsContainer            : False
EnhancedKeyUsageList     : {クライアント認証 (1.3.6.1.5.5.7.3.2)}
DnsNameList              : {5b80296b-f36a-47b1-bc60-1682acc7fb79}
SendAsTrustedIssuer      : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId                 :
Archived                 : False
Extensions               : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Se
                           curity.Cryptography.Oid, System.Security.Cryptography.Oid...}
FriendlyName             :
IssuerName               : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter                 : 2030/11/18 21:39:51
NotBefore                : 2020/11/18 21:09:51
HasPrivateKey            : True
PrivateKey               :
PublicKey                : System.Security.Cryptography.X509Certificates.PublicKey
RawData                  : {48, 130, 3, 242...}
SerialNumber             : 71383B952949ED8A46E1F5E62B4C14F8
SubjectName              : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm       : System.Security.Cryptography.Oid
Thumbprint               : AA3F29ACAB1A7F03B1A4F7A5599CAB88046190EF
Version                  : 3
Handle                   : 1664150703360
Issuer                   : DC=net + DC=windows + CN=MS-Organization-Access + OU=82dbaca4-3e81-46ca-9c73-0
                           950c1eaca97
Subject                  : CN=5b80296b-f36a-47b1-bc60-1682acc7fb79

작년 11월에 만든건데 2년짜리이고,… Sharepoint에 접속하기 위한 건가요?? PrivateKey가 없어요.

두번째는?

PS C:\Users\usr0100023\blog> (dir cert:\CurrentUser\My)[1] | fl *


PSPath                   : Microsoft.PowerShell.Security\Certificate::CurrentUser\My\A942CDF8EBB3253F114A
                           232D14F0164E13F7F28D
PSParentPath             : Microsoft.PowerShell.Security\Certificate::CurrentUser\My
PSChildName              : A942CDF8EBB3253F114A232D14F0164E13F7F28D
PSDrive                  : Cert
PSProvider               : Microsoft.PowerShell.Security\Certificate
PSIsContainer            : False
EnhancedKeyUsageList     : {クライアント認証 (1.3.6.1.5.5.7.3.2), 電子メールの保護 (1.3.6.1.5.5.7.3.4),
                           暗号化ファイル システム (1.3.6.1.4.1.311.10.3.4)}
DnsNameList              : {usr0100023}
SendAsTrustedIssuer      : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId                 : {2CB84403-A3E8-4CEE-989D-EB2DA05F8586}
Archived                 : False
Extensions               : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Se
                           curity.Cryptography.Oid, System.Security.Cryptography.Oid...}
FriendlyName             :
IssuerName               : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter                 : 2022/11/10 13:31:33
NotBefore                : 2020/11/10 13:21:33
HasPrivateKey            : True
PrivateKey               : System.Security.Cryptography.RSACryptoServiceProvider
PublicKey                : System.Security.Cryptography.X509Certificates.PublicKey
RawData                  : {48, 130, 7, 197...}
SerialNumber             : 13000022798A2F44AE4D65CAC9000000002279
SubjectName              : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm       : System.Security.Cryptography.Oid
Thumbprint               : A942CDF8EBB3253F114A232D14F0164E13F7F28D
Version                  : 3
Handle                   : 1664152461536
Issuer                   : CN=GMOEPCA01-CA, DC=GMO, DC=LOCAL
Subject                  : CN=usr0100023, OU=User, OU=GMO Internet, DC=GMO, DC=LOCAL

이건 PrivateKey가 있네요. 이걸로 JWT를 만들 수 있을 것 같습니다.

JWT 모듈을 설치합니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
PS C:\Users\usr0100023\blog> install-module jwt

信頼されていないリポジトリ
信頼されていないリポジトリからモジュールをインストールしようとしています。このリポジトリを信頼する場合は
、Set-PSRepository コマンドレットを実行して、リポジトリの InstallationPolicy
の値を変更してください。'PSGallery' からモジュールをインストールしますか?
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)  [?] ヘルプ
(既定値は "N"):Y
PS C:\Users\usr0100023\blog> gcm -module jwt

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Alias           Verify-JwtSignature                                1.9.0      jwt
Function        ConvertFrom-Base64UrlString                        1.9.0      jwt
Function        ConvertTo-Base64UrlString                          1.9.0      jwt
Function        Get-JwtHeader                                      1.9.0      jwt
Function        Get-JwtPayload                                     1.9.0      jwt
Function        New-Jwt                                            1.9.0      jwt
Function        Test-Jwt                                           1.9.0      jwt


PS C:\Users\usr0100023\blog> 

해볼까요?

PrivateKey없는 Crt로 서명하려들면 에러납니다. 서명이란 PrivateKey로 Hash를 만드는 것이거든요

$cert = (dir cert:\CurrentUser\My)[0]
New-Jwt -Cert $cert -PayloadJson ‘{“token1”:“value1”,“token2”:“value2”}’

PS C:\Users\usr0100023\blog> $cert = (dir cert:\CurrentUser\My)[0]
PS C:\Users\usr0100023\blog> New-Jwt -Cert $cert -PayloadJson '{"token1":"value1","token2":"value2"}' -verbose
詳細: Payload to sign: {"token1":"value1","token2":"value2"}
詳細: Algorithm: RS256
詳細: Signing certificate: CN=5b80296b-f36a-47b1-bc60-1682acc7fb79
There's no private key in the supplied certificate - cannot sign
発生場所 C:\Program Files\WindowsPowerShell\Modules\jwt\1.9.0\JWT.psm1:277 文字:17
+ ...             throw "There's no private key in the supplied certificate ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (There's no priv...e - cannot sign:String) [], RuntimeEx 
   ception
    + FullyQualifiedErrorId : There's no private key in the supplied certificate - cannot sign

그럼 PrivateKey있는 Crt로 만들면?

$cert = (dir cert:\CurrentUser\My)[1]
New-Jwt -Cert $cert -PayloadJson ‘{“token1”:“value1”,“token2”:“value2”}’ -verbose

PS C:\Users\usr0100023\blog> $cert = (dir cert:\CurrentUser\My)[1]
PS C:\Users\usr0100023\blog> New-Jwt -Cert $cert -PayloadJson '{"token1":"value1","token2":"value2"}' -verbose
詳細: Payload to sign: {"token1":"value1","token2":"value2"}
詳細: Algorithm: RS256
詳細: Signing certificate: CN=usr0100023, OU=User, OU=GMO Internet, DC=GMO, DC=LOCAL
Signing with SHA256 and Pkcs1 padding failed using private key System.Security.Cryptography.RSACryptoServ
iceProvider
発生場所 C:\Program Files\WindowsPowerShell\Modules\jwt\1.9.0\JWT.psm1:282 文字:25
+ ...     catch { throw "Signing with SHA256 and Pkcs1 padding failed using ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (Signing with SH...ServiceProvider:String) [], RuntimeEx 
   ception
    + FullyQualifiedErrorId : Signing with SHA256 and Pkcs1 padding failed using private key System.Secu 
   rity.Cryptography.RSACryptoServiceProvider
 
PS C:\Users\usr0100023\blog>

실패하네요. 왜 안되지? 서명용이 아니어서 그런가?

서명용으로 인증서를 새로 만들어서 해볼까요?

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
PS C:\Users\usr0100023\blog> New-SelfSignedCertificate -CertStoreLocation cert:\currentuser\my `
>> -Subject "CN=Local Code Signing" `
>> -KeyAlgorithm RSA `
>> -KeyLength 2048 `
>> -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
>> -KeyExportPolicy Exportable `
>> -KeyUsage DigitalSignature `
>> -Type CodeSigningCert


   PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\my

Thumbprint                                Subject
----------                                -------
9F9E54C1E3F7E8F4025E9D6FBDF4F2FEC065AD7D  CN=Local Code Signing


PS C:\Users\usr0100023\blog>
PS C:\Users\usr0100023\blog> $cert = (dir cert:\CurrentUser\My)[2]
PS C:\Users\usr0100023\blog> $cert


   PSParentPath: Microsoft.PowerShell.Security\Certificate::CurrentUser\My

Thumbprint                                Subject
----------                                -------
9F9E54C1E3F7E8F4025E9D6FBDF4F2FEC065AD7D  CN=Local Code Signing


PS C:\Users\usr0100023\blog> $cert | fl *


PSPath                   : Microsoft.PowerShell.Security\Certificate::CurrentUser\My\9F9E54C1E3F7E8F4025E
                           9D6FBDF4F2FEC065AD7D
PSParentPath             : Microsoft.PowerShell.Security\Certificate::CurrentUser\My
PSChildName              : 9F9E54C1E3F7E8F4025E9D6FBDF4F2FEC065AD7D
PSDrive                  : Cert
PSProvider               : Microsoft.PowerShell.Security\Certificate
PSIsContainer            : False
EnhancedKeyUsageList     : {コード署名 (1.3.6.1.5.5.7.3.3)}
DnsNameList              : {Local Code Signing}
SendAsTrustedIssuer      : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId                 :
Archived                 : False
Extensions               : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Se
                           curity.Cryptography.Oid}
FriendlyName             :
IssuerName               : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter                 : 2022/03/01 23:43:14
NotBefore                : 2021/03/01 23:23:14
HasPrivateKey            : True
PrivateKey               : System.Security.Cryptography.RSACryptoServiceProvider
PublicKey                : System.Security.Cryptography.X509Certificates.PublicKey
RawData                  : {48, 130, 3, 10...}
SerialNumber             : 77A29ED5202143864D262A071647AA9F
SubjectName              : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm       : System.Security.Cryptography.Oid
Thumbprint               : 9F9E54C1E3F7E8F4025E9D6FBDF4F2FEC065AD7D
Version                  : 3
Handle                   : 1664143480000
Issuer                   : CN=Local Code Signing
Subject                  : CN=Local Code Signing



PS C:\Users\usr0100023\blog> New-Jwt -Cert $cert -PayloadJson '{"token1":"value1","token2":"value2"}' -verbose
詳細: Payload to sign: {"token1":"value1","token2":"value2"}
詳細: Algorithm: RS256
詳細: Signing certificate: CN=Local Code Signing
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbjEiOiJ2YWx1ZTEiLCJ0b2tlbjIiOiJ2YWx1ZTIifQ.Bhy6UuowRaC3-KJ4XqtnnTuLxMi4VdygRomQf4T3vy1r5ILNJhnTI14L5DoWIlYihQBFxn0hMU1UHY_xMEpQ90qCA63nn3lL8UHRGQ32_U9zFH_GHuRLHmd6VuyN-ozwe8BRCmyDnFsotki8HJxCdsc-0nYJKYrwCGj5j77sEZMftsiXz6Og_M09ECcoN3dHoaI3mQ91rNIOLX42urFhfIXYGx2qKxcMgElgSlO7zvGi_gNewBJkvNK2Poozj4BNkcVHMd5R1a4EaO9SdS_HBxrGzRWpx6k69m9Tmt1nCVvkJFrSKeEGmZQki1CE4MmkMCOTGfC_wRZmx_YCkv_WOA

넵 성공했습니다.

Private Key, Public Key 둘 다 가지고 있는 포맷이 유명한 것이 하나 있죠? PKCS 12번 포맷 (.pfx 파일확장자)
openssl로 하는 경우에는 어떻게 하는 지도 다음에 다루어 보면 좋겠습니다.