RootCA 인증서 설치 방법 (JAVA) : xpay-gateway.tosspayments.com 을 이용시

업데이트 대상 인증서(cacerts) 위치 확인

XpayClient 의 결제모듈 설정폴더에서 mall.conf 를 확인합니다.
mall.conf 내에 아래의 내용이 있는지 확인합니다.

;인증서위치 (고객사의 인증서 위치에 맞게 수정이 필요합니다.아래 경로는 임의의 경로입니다.)
keystore_cacerts_dir=C:\\lgdacom\\conf\\cacerts

⇒ mall.conf 내에 keystore_cacerts_dir 항목이 있을경우 : 해당위치의 cacerts 파일에 대해 인증서 갱신작업을 합니다.

⇒ mall.conf 내에 keystore_cacerts_dir 항목이 없거나 주석처리가 된 경우 :

웹서버 또는 WAS 에서 지정한 위치의 cacerts 파일에 대해 인증서 갱신작업을 합니다.
웹서버 또는 WAS 에서 별도로 cacerts 위치를 지정하지 않았다면 , 대부분은 JAVA_HOME/jre/lib/security/cacerts 파일이 인증서 갱신작업 대상입니다.

업데이트 대상 인증서 체크

첨부 파일의 인증서를 다운로드 및 압축해제 부탁드립니다. (tosspayments-root-certificates.zip) 전체 파일 목록은 아래와 같습니다.

tosspayments-root-certificates.zip

➜ ls
AmazonRootCA1.pem
AmazonRootCA2.pem
AmazonRootCA3.pem
AmazonRootCA4.pem
SFSRootCAG2.pem
R46RootCA.crt
USERTrustRootCA.crt

1 에서 업데이트 대상 cacerts 위치를 확인했다면, 해당 파일을 아래 명령어를 통해 기존에 설치가 되어 있는지 확인합니다.

ex) 업데이트 대상 cacerts의 경로가 /usr/temp 폴더 내에 있을경우

keytool -list -keystore /usr/temp/cacerts -storepass changeit | grep -iE "AmazonRootCA1|AmazonRootCA2|AmazonRootCA3|AmazonRootCA4|SFSRootCAG2|USERTrustRootCA|R46RootCA"

실행결과가 아래와 같이 출력되는데, 이중 trustedCertEntry 로 표기되는 인증서는 이미 설치가 된 것으로 , 추가로 갱신할 필요는 없습니다.

amazonrootca4, 2026. 1. 16, trustedCertEntry,
인증서 지문(SHA1): F6:10:84:07:D6:F8:BB:67:98:0C:C2:E2:44:C2:EB:AE:1C:EF:63:BE
amazonrootca3, 2026. 1. 16, trustedCertEntry,
인증서 지문(SHA1): 0D:44:DD:8C:3C:8C:1A:1A:58:75:64:81:E9:0F:2E:2A:FF:B3:D2:6E
amazonrootca2, 2026. 1. 16, trustedCertEntry,
인증서 지문(SHA1): 5A:8C:EF:45:D7:A6:98:59:76:7A:8C:8B:44:96:B5:78:CF:47:4B:1A
amazonrootca1, 2026. 1. 16, trustedCertEntry,
인증서 지문(SHA1): 8D:A7:F9:65:EC:5E:FC:37:91:0F:1C:6E:59:FD:C1:CC:6A:6E:DE:16
usertrusteccca [jdk], 2016. 8. 26, trustedCertEntry,
인증서 지문(SHA1): D1:CB:CA:5D:B2:D5:2A:7F:69:3B:67:4D:E5:F0:5A:1D:0C:95:7D:F0
r46rootca, 2026. 1. 16, trustedCertEntry,
인증서 지문(SHA1): AD:98:F9:F3:E4:7D:75:3B:65:D4:82:B3:A4:52:17:BB:6E:F5:E4:38
starfieldrootg2ca [jdk], 2016. 8. 26, trustedCertEntry,
인증서 지문(SHA1): B5:1C:06:7C:EE:2B:0C:3D:F8:55:AB:2D:92:F4:FE:39:D4:E7:0F:0E

trustedCertEntry 가 표기되지 않은 인증서에 대해 추가 작업을 진행합니다. 아래는 java program인 경우 예시입니다.

ex) 업데이트 대상 cacerts 의 위치가 /path/to/cacerts 에 위치하고 있고, 압축을 해제한 인증서 파일의 설치경로가 /home/workuser/temp/ 폴더일 경우

keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias AmazonRootCA1 -file /home/workuser/temp/AmazonRootCA1.pem
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias AmazonRootCA2 -file /home/workuser/temp/AmazonRootCA2.pem
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias AmazonRootCA3 -file /home/workuser/temp/AmazonRootCA3.pem
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias AmazonRootCA4 -file /home/workuser/temp/AmazonRootCA4.pem
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias SFSRootCAG2 -file /home/workuser/temp/SFSRootCAG2.pem
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias USERTrustRootCA -file /home/workuser/temp/USERTrustRootCA.crt
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias R46RootCA -file /home/workuser/temp/R46RootCA.crt

ex) R46RootCA , SFSRootCAG2 가 trustedCertEntry 항목으로 표기되지 않거나 리스트에서 조회되지 않을경우 : 표기되지 않은 인증서만 설치 진행

keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias R46RootCA -file /home/workuser/temp/R46RootCA.crt
keytool -importcert -trustcacerts -keystore /path/to/cacerts -storepass changeit -noprompt -alias SFSRootCAG2 -file /home/workuser/temp/SFSRootCAG2.pem

갱신 완료 후 아래 명령어를 통해 기존에 설치가 되어 있는지 확인합니다.