SSL인증서 설치 매뉴얼 (Apache)

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "SSL인증서 설치 매뉴얼 (Apache)"

Transcription

1 SSL 인증서설치매뉴얼 (Apache) 백업된인증서설치 본문서에안내된버전이외의다른버전을사용하시는경우안내내용과차이가있을수있습니다. 본문서는기본적인참고용자료이며, 구성환경에따라안내내용과차이가있을수있습니다. 본문서는서버담당자를기준으로작성되었습니다. 웹서버인증서를설치할서버담당자에게전달하여주시기바랍니다.

2 ** 인증서설치전확인사항 ** 인증서설치시 SSL 관련설정은기존 apache 1.x 에서는 httpd.conf 파일에서해주었으나 Apache 2.x 에서는 ssl.conf, apache 2.2x 에서는 httpd-ssl.conf 파일에서설정해주시면됩니다. 참고 1. Apache 의경우기본적으로 mod_ssl 모듈이설치되어있어야합니다. 참고 2. Windows 계열의경우설치방법이상이할수있으니참고하시기바랍니다. 처음 Apache 설치 (compile) 시 mod-ssl 의활성화를위해서 (--enable-ssl ) 를추가시켜줘야합니다. Mod_SSL 설치확인 ($ /usr/local/apache/bin/httpd l) 1. 인증서파일저장 로전달된인증서파일 ( cert.pem key.pem name-chain.pem ) 을임의의폴더에저장합니다. 설정하기전기존의설정파일을반드시백업하여주시길바랍니다. 2. 설정파일수정 (httpd.conf) 설정파일을열어서다음과같이내용을수정하십시오. LoadModule ssl_module modules/mod_ssl.so --> SSL 모듈추가 (mod_ssl.c 가없을경우 ) Include conf/extra/httpd-ssl.conf --> SSL 설정파일을 include ** 주석처리가되어있다면주석제거

3 3. 설정파일수정 (ssl.conf 또는 httpd-ssl.conf) 3-1. 설정파일을열어서다음과같이 VirtualHost 의내용을수정하십시오. - Apache 1.x 는 httpd.conf - Apache 2.0 은 ssl.conf - Apache 2.2 이상은 httpd-ssl.conf - Apache 2.4 는 httpd-ssl.conf ** Tomcat, Weblogic 등의 WAS 연동시해당 Module 부분을추가설정해주셔야합니다. Listen 443 <VirtualHost _default_:443> DocumentRoot /xxx/html ServerName ServerAdmin SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH SSLCertificateFile /usr/local/apache/conf/ssl/cert.pem ( 인증서파일 ) SSLCertificateKeyFile /usr/local/apache/conf/ssl/key.pem ( 키파일 ) SSLCACertificateFile /usr/local/apache/conf/ssl/name-chain.pem ( 체인인증서파일 ) 체인인증서파일명은첨부해드리는파일명으로수정하여적용부탁드립니다 아파치재구동 $./apachectl startssl(apache 2.2 는./apachectl start)

4 4. 설정파일수정 ( 다수인증서설정 ) 4-1. 환경설정 (Ex. login.test.com ) Listen 443 Listen 444 Listen 포트추가설정 <VirtualHost IP:443> DocumentRoot /xxx/1.html ServerName ServerAdmin SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH SSLCertificateFile /usr/local/apache/conf/ssl1/cert.pem ( 인증서파일 ) SSLCertificateKeyFile /usr/local/apache/conf/ssl1/key.pem ( 키파일 ) SSLCACertificateFile /usr/local/apache/conf/ssl1/name-chain.pem ( 체인인증서파일 ) <VirtualHost IP:444> DocumentRoot /xxx/2.html ServerName login.test.com ServerAdmin SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH SSLCertificateFile /usr/local/apache/conf/ssl2/cert.pem ( 인증서파일 ) SSLCertificateKeyFile /usr/local/apache/conf/ssl2/key.pem ( 키파일 ) SSLCACertificateFile /usr/local/apache/conf/ssl2/name-chain.pem ( 체인인증서파일 ) 4-2. 아파치재구동 $./apachectl startssl(apache 2.2 는./apachectl start) ** 각도메인별로발급된싱글도메인인증서는단일 IP 환경에서같은포트를사용할수없습니다. ( 멀티인증서, Wildcard 인증서는동일한포트로설정가능합니다.)

5 5. 인증서 Port LISTEN 확인 6. 웹페이지에서인증서설치확인 - 로확인 포트를제외한다른포트로설정하였을경우 포트로확인 7. 인증서관리 인증서파일을분실하거나비밀번호를잊어버릴경우인증서파일을재발급받아야합니다. 재발급시재품에따라재발급되는시간이 3일이상걸릴수도있으니인증서파일과관련된정보를관리하시길바랍니다.

6 *** SSL 인증서적용방법 *** 기본적으로 SSL 적용방법은소스코드에서액션을취하는 Page( 링크걸린페이지주소 ) 를 에서 로바꿔주어야합니다. ( 로통신시에만 SSL 암호화적용 ) 이와같이적용시절대경로로 를호출해와야하며, 이하소스상에있는파일들은절대경로 (or 상대경로 ) 로주셔도상관없습니다. ( 로그인, 회원가입, 아이디찾기, 회원정보수정등등개인정보가들어가는 Page 에적용 ) Ex)

7 *** SSL 인증서적용방법 *** 1. 보안 Page 에 SSL 적용하기 ( 부분적용예시 ) - 전체 Page 적용방법의경우, 약간의속도저하또는 로의소스변경의불편함이있으므로개인정보가들어가는 Page(ex. 로그인, 회원가입 ) 에서만적용시키시길권장해드립니다. - 로그인 Page 구성파일에아래와같이수정 ( 예시 1) 이와같이개인정보입력 Page(ex. 로그인, 회원가입등 ) 에서 Action 시 가호출되게수정하면사용자의 ID, PW 등이보안통신적용됩니다. 로그인이완료된후, 메인 Page 로돌아올때는 로적용해주셔도됩니다. ( 개인정보필요한 Page 만적용 ) 참고 1. 로그인입력 Page 에서부터 로적용해주셔도상관없습니다.( 자물쇠표시확인가능 ) 참고 2. 경고창 발생시 보안경고메시지해결방법매뉴얼 을참조해주시기바랍니다.

8 *** SSL 인증서적용방법 *** 2. 전체 Page 에 SSL 적용하기 ( 전체적용예시 ) 위와같이전체 Page 에적용시 로바로리다이렉션되며, 이후 Page 가상대경로로되있을경우계속해서 보안통신이적용됩니다. 참고 1. 전체 Page 를 로적용시약간 ( 약 5% 정도 ) 의속도저하가있을수있습니다. 참고 2. 보안된항목과보안되지않는항목을... 의경고창이뜰수있습니다. - 이경우는메인 Page 에 와 가공존하기때문에모두 로소스변경 - 자바스크립트, 플래쉬등의데이터도모두 로변경

9 *** 보안경고메시지해결방법 *** 1. 보안정보 ( 경고 ) 창 2. 보안정보 ( 리디렉션 ) 창

10 *** 보안경고메시지해결방법 *** 3. 인증서발급주소와실제접속 site 주소가상이한경우 4. 인증서가유효하지않은경우

11 *** 보안경고메시지해결방법 *** 3. 인증서발급주소와실제접속 site 주소가상이한경우

12 *** 인증서설치후오류발생시확인사항 *** 1. 웹방화벽또는장비에인증서설치여부확인 - 기존에설치된인증서가만료되어새로운인증서로갱신하였으나웹서버나로컬에서는인증서가교체된것으로확인되지만, 외부에서접속하였을때기존의인증서로보이는경우확인필요 2. 웹방화벽또는장비에설정포트오픈여부확인 - 서버에서 443 포트가 Listen 되고외부에서 로접속시통신이되지않을경우웹방화벽이나장비의설정포트오픈여부를확인 3. load balancing 일경우해당모든서버에인증서설치여부확인 4. 사용자들의시스템날짜를체크 - 대다수의사용자들은정상적으로접속이되나일부사용자에게서보안경고가발생할경우확인필요 한국전자인증기술지원팀 Tel : (3) / Fax : e- Mail :