목 차
|
|
- 우리 간
- 5 years ago
- Views:
Transcription
1 2018 년보안서버구축가이드 OPA
2 < 목차 > I. 보안서버의정의 1 1. 보안서버구축의필요성 1 2. 보안서버관련법률 4 3. 보안서버적용범위 5 II. 보안서버구축방법 6 1. 보안서버구축절차 7 2. 웹서버별개인키및 CSR 생성가이드 Apache 개인키및 CSR 생성가이드 IIS6 개인키및 CSR 생성가이드 IIS7 개인키및 CSR 생성가이드 Iplanet 개인키및 CSR 생성가이드 Lighttpd 개인키및 CSR 생성가이드 OHS 개인키및 CSR 생성가이드 Resin 개인키및 CSR 생성가이드 Tomcat 개인키및 CSR 생성가이드 Webtob 개인키및 CSR 생성가이드 Weblogic 개인키및 CSR 생성가이드 웹서버별보안서버설치가이드 Apache( 싱글도메인 ) SSL 인증서신규설치가이드 (Package Version) Apache( 싱글도메인 ) SSL 인증서갱신설치가이드 (Package Version) Apache( 멀티도메인 ) SSL 인증서신규설치가이드 (Package Version) Apache( 멀티도메인 ) SSL 인증서갱신설치가이드 (Package Version) Apache( 싱글도메인 ) SSL 인증서갱신설치가이드 (Source Version) Apache( 싱글도메인 ) SSL 인증서신규설치가이드 (Source Version) Apache( 멀티도메인 ) SSL인증서신규설치가이드 (Source Version) Apache( 멀티도메인 )SSL 인증서갱신설치가이드 (Source Version) IHS( 싱글도메인 ) SSL 인증서신규설치가이드 IHS( 싱글도메인 ) SSL 인증서갱신설치가이드 Jboss( 싱글 & 멀티도메인 ) SSL 인증서신규 & 갱신설치가이드 Lighttpd( 싱글도메인 ) SSL 인증서신규설치가이드 Lighttpd( 멀티도메인 ) SSL 인증서신규설치가이드 Nginx( 싱글도메인 ) SSL 인증서신규설치가이드 Nginx( 싱글도메인 ) SSL 인증서갱신설치가이드 122
3 3.16 Nginx( 멀티도메인 ) SSL 인증서신규설치가이드 Nginx( 멀티도메인 ) SSL 인증서갱신설치가이드 Oracle HTTP Server ( 싱글도메인 ) SSL 인증서신규설치가이드 Oracle HTTP Server ( 싱글도메인 ) SSL 인증서갱신설치가이드 Oracle HTTP Server ( 멀티도메인 ) SSL 인증서신규설치가이드 Oracle HTTP Server ( 멀티도메인 ) SSL 인증서갱신설치가이드 Resin( 싱글도메인 ) SSL 인증서신규설치가이드 Resin( 싱글도메인 ) SSL 인증서갱신설치가이드 Webtob( 싱글도메인 ) SSL 인증서신규설치가이드 Webtob( 싱글도메인 ) SSL 인증서갱신설치가이드 Webtob( 멀티도메인 ) SSL 인증서신규설치가이드 Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드 Tomcat6( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 Tomcat6( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 Tomcat8.0X( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 Tomcat8.5X( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 Tomcat8.0X( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 Tomcat8.5X( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 Tomcat9( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 Tomcat9( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 Iplanet 7( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 Weblogic 11( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 Weblogic 12( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 Windows Server 2003 IIS6( 싱글도메인 ) SSL 인증서설치가이드 Windows Server 2003 IIS6( 멀티도메인 ) SSL 인증서설치가이드 Windows Server 2008 IIS7( 싱글도메인 ) SSL 인증서설치가이드 Windows Server 2008 IIS7( 멀티도메인 ) SSL 인증서설치가이드 Windows Server 2012 IIS8( 싱글도메인 ) SSL 인증서설치가이드 Windows Server 2012 IIS8( 멀티도메인 ) SSL 인증서설치가이드 247 III. 웹페이지암호화통신소스수정방법및적용확인방법 전체페이지암호화하기 페이지별암호화하기 프레임별암호화하기 보안서버암호화통신확인방법 259 IV. 오류발생시대처방법 인증서오류관련 웹페이지오류관련 웹서버오류관련 266
4 V. 웹사이트운영 관리상유의사항 인증서의유효성확보 보안경고창발생 SSL Ciphersuite 취약성해결방안 Apache SSL Protocol 및 cipher 설정 IHS SSL Protocol 및 cipher 설정 IHS 2.0 SSL Protocol 및 cipher 설정 Nginx SSL Protocol 및 cipher 설정 Nginx 2.0 SSL Protocol 및 cipher 설정 Tomcat SSL Protocol 및 cipher 설정 Weblogic SSL Protocol 및 cipher 설정 OHS SSL Protocol 및 cipher 설정 IIS SSL Protocol 및 cipher 설정 300
5 I. 보안서버의정의 1. 보안서버구축의필요성 2. 보안서버관련법률 3. 보안서버적용범위
6 Ⅰ. 보안서버의정의 보안서버란인터넷상에서주고받는정보를암호화하여통신하는기능이구축된웹사이트를의미합니다. 보안서버는독립적인하드웨어를별도로설치하는것이아니라이미사용하고있는웹서버에 SSL(Secure Sockets Layer) 인증서나암호화소프트웨어를설치하여암호화통신을지원하는것을의미합니다. SSL인증서의경우해당전자상거래업체의실존을증명하는과정을거쳐발급되기때문에웹사이트에대한인증기능도일부가지고있습니다. 인터넷상에서송수신되는개인정보의대표적인예로는로그인시 ID, 패스워드, 회원가입시이름, 전화번호, 인터넷뱅킹이용시계좌번호, 계좌패스워드등이있습니다. 암호화되지않은개인정보는해킹 ( 공격 ) 을통해유출될경우심각한피해를초래할수있습니다. 보안서버는이러한위협을방지하기위한방법중하나로, 개인정보를암호화하여송수신함으로써개인정보의노출을막습니다. 그러나보안서버의구축및운영방법은업체에따라많은차이점이있으며, 잘못된보안서버의구축및운영은개인정보의유출을초래할수있습니다. 인터넷상에서암호화되지않은개인정보는가로채기등의해킹을통해해커 ( 공격자 ) 에게 쉽게노출될수있으나, 웹서버에보안서버솔루션을설치하면해커가중간에데이터를가 로채도암호화되어있어개인정보가노출되지않게됩니다. 1. 보안서버구축의필요성 인터넷환경은개방되어있습니다. 인터넷을이용하는이용자, 사업자및컴퓨터의신원정 보 (Identity) 를확인하는것은어렵지않습니다. 송수신되는모든정보는도청자 ( 공격자 ) 가 중간에가로채어수정할수있는위험에노출되어있습니다. 인터넷통신은종종전통적인우편시스템에서우편엽서의사용과비유되곤합니다. 만일공격자가적시에적절한장소에있다면, 공격자는 - 당신의우편엽서를읽고정보를훔칠수있으며,( 스니핑 ) - 당신의우편엽서를수정하여대화내용을뒤엎을수있으며,( 데이터변조 ) - 당신또는대화대상자에게또다른우편엽서를송부하여, 양당사자를흉내낼수있습니다.( 피싱 ) 비록그러한위협은일반적으로드물고수행하기어렵지만, 인터넷에서전송되는정보의가치및민감정도는잠재적이득을원하는자에게동기를부여할수있습니다. 실제로인터넷패킷 ( 전송되는데이터 ) 을캡쳐하는프로그램을이용하면내가속한네트워크를지나가는대부분의패킷내용을쉽게열어볼수있습니다. 이러한문제점을해결하기위한보안서버는네트워크응용프로그램간의통신에대하여프 라이버시, 인증, 신뢰를보장해주는것을목표로하고있습니다. 이를위한 SSL 프로토콜은 - 1 -
7 어떤 TCP/IP 기반의통신에도유용하게적용될수있으나, HTTP( 웹사이트트래픽 ) 를보호하는데특히많이사용되고있습니다. SSL기반의통신은개인적으로이루어집니다. 암호화는도청자에대하여통신을안전하게보호해줍니다. 그리고통신하는양자가신뢰기반의구조를공유하여인증이될수있습니다. 보안서버는네트워크통신에서다음의장점을제공합니다. 1.1 정보노출방지 (Sniffing Prevention) 스니핑이란네트워크통신구간의중간에서전송되는데이터 ( 정보 ) 를훔쳐보는것 ( 도청 ) 을의미합니다. 공격자가악의적인목적으로설치한스니핑프로그램을통해기업의대외비정보, 개인의금융및로그인접속정보일경우공격을당한이는치명적일수있습니다. 일반적인웹사이트에로그인할때아이디와비밀번호가평문형태로전송됩니다. 이를다른사람이중간에서훔쳐볼수있는스니핑툴 (Sniffing Tool) 은인터넷에서손쉽게구할수있습니다. 학교, PC방, 회사등의공용네트워크에서는스니핑툴을이용하여타인의개인정보를쉽게수집할수있는데웹사이트에보안서버가구축된경우에는개인정보가암호화되어전송되므로이러한노출위협으로부터안심할수있습니다. 따라서보안서버구축은개인정보보호를위한필수적이며기본적인수단이다. 1.2 데이터변조방지 (Data Modulation Prevention) 각종통신환경을이용하여컴퓨터내의정보또는데이터의전송결과를임의로변조하는범죄의일종으로제 3자의악의적인개입으로인하여데이터값이변조될가능성이농후합니다. 직장내급여변경, 온라인이체시금액변조, 학생의성적기록등이있는데이러한악의적인데이터의변조는보안서버구축을통해해소할수있습니다
8 1.3 위조사이트방지 (Phishing Prevention) 피싱 (Phishing) 이란개인정보 (Private Data) 와낚시 (Fishing) 를합성한조어입니다. 이는인터넷이용자에게이메일이나링크를전송하여금융기관이나합법적인기관으로가장한허위웹사이트로접속하게한후, 이용자가입력한비밀번호나개인정보를추출하여금융사기등으로악용하는사기기법입니다. 현재피싱수법이더욱교묘해져가고피해자가속출하고있는상황으로사용자가개인정보를입력시해당페이지가신뢰할수있는인증서가설치되어있는지확인하는등의사용자의주의가필요합니다. 보안서버를구축하기위해서는공인된인증기관으로부터 SSL인증서를발급받아야합니다. 발급받기위해서는도메인정보등을제공해야하며, 발급받은인증서에는도메인정보가포함되어있습니다. 평상시접속하는웹페이지에서자물쇠이미지를확인하거나개인정보입력시암호화호출 ( 암호화모듈로딩화면등을확인하였다면유사하게구성된피싱사이트를쉽게구별할수있습니다. 따라서해커등의제3자가유사사이트를만들어피싱을시도하더라도 SSL인증서가진짜사이트임을증명하므로피싱으로인한피해를줄일수있습니다. 1.4 기업의신뢰도향상 (Improved Business Confidence) 사회에대해서도깊은관심과책임감을가져야한다는사회책임경영의중요성이나날이커져나가고있습니다. 사회책임경영은기업의사회적책임감을의미하는것으로기업의존재기반인사회에대해서도깊은관심과책임감을가져야한다는기업경영의화두입니다. 이에대한관심이점차높아지고있으며, 많은기업들이이미적극적으로사회책임경영에입각한경영을펼치고있습니다. 보안서버의설치는고객에게 고객의개인정보를안전하고소중히다루는기업 이라는이미지를부각시켜사회책임경영기업에한걸음더다가갈수있습니다. 보안서버인증마크또한개인정보보호의신뢰성을사용자에게보여줄수있으며, 가시적인홍보효과인해또한얻을수있습니다
9 2. 보안서버관련법률 2012년 8월 18일정보통신망법개정으로개인정보를취급하는모든웹사이트의보안서버구축이의무화되었습니다. 위반시최대 3천만원의과태료가부과되므로반드시인증서를구축이필요합니다. 보안서버의무화관련법령은아래와같습니다. 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) 6. " 개인정보 " 란생존하는개인에관한정보로서성명 / 주민등록번호등에의하여특정한개인을알아볼수있는부호, 문자, 음성, 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. 제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실ㆍ도난ㆍ누출ㆍ변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 / 관리적조치를하여야한다. 4. 개인정보를안전하게저장ㆍ전송할수있는암호화기술등을이용한보안조치제76조 ( 과태료 ) 1 다음각호의어느하나에해당하는자와제7호부터제11호까지의경우에해당하는행위를하도록한자에게는 3천만원이하의과태료를부과한다. 3. 제28조제1항 ( 제67조에따라준용되는경우를포함한다 ) 에따른기술적ㆍ관리적조치를하지아니한자 정보통신망이용촉진및정보보호등에관한법률시행령제15조 ( 개인정보의보호조치 ) 4 법제28조제1항제4호에따라정보통신서비스제공자등은개인정보가안전하게저장ㆍ전송될수있도록다음각호의보안조치를하여야한다. 3. 정보통신망을통하여이용자의개인정보및인증정보를송신ㆍ수신하는경우보안서버구축등의조치 개인정보의기술적 / 관리적보호조치기준 [ 방송통신위원회고시제 호 ] 제6조 ( 개인정보의암호화 ) 3 정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송 / 수신할때에는안전한보안서버구축등의조치를통해이를암호화해야한다. 보안서버는다음각호중하나의기능을갖추어야한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를설치하여전송하는정보를암호화하여송 / 수신하는기능 2. 웹서버에암호화응용프로그램을설치하여전송하는정보를암호화하여송 / 수신하는기능 - 4 -
10 3. 보안서버적용범위일반적으로 개인정보 라함은생존하는개인에관한정보로서성명, 주민등록번호등에의하여당해개인을알아볼수있는부호 문자 음성 음향및영상등의정보를말합니다. 인터넷에서사용되는대표적인개인정보의예로는로그인시 ID, Password, 회원가입시주민등록번호, 인터넷뱅킹시계좌번호, 계좌 Password 등이해당됩니다. 또게시판등에서사용하는성명, 이메일, 연락처등도개인을식별할수있는정보로서개인정보에해당합니다. 이러한개인정보를안전하게관리하기위해서는해당개인정보를포함하고있는웹페이지 에대해암호화통신을적용해야합니다. 조사결과로그인과정과신원확인과정의보안서버적용비율이높은데비해회원가입, 분실ID찾기, 회원정보수정등의경우보안서버적용비율이낮은것으로확인되었습니다. 이처럼보안서버를구축하고있어도암호화통신을하지않으면개인정보유출될수있습니다. 그러므로웹사이트에서제공하는서비스중개인정보를포함하고있는서비스에대해서는보안서버의적용이반드시이루어져야합니다
11 II. 보안서버구축방법 1. 보안서버구축절차 2. 개인키및 CSR 생성가이드 3. 웹서버종류별보안서버설치가이드 - 6 -
12 1. 보안서버구축절차 SSL보안서버를사용하기위해서는운영하고있는웹서버종류를파악한후해당웹서버에맞는 SSL보안서버인증서를발급받고, SSL보안서버인증서발급후에는웹서버에 SSL보안서버인증서를설치해야합니다. 마지막으로 SSL보안서버설치후에는반드시웹페이지에서 HTTPS통신으로접속되도록설정해야합니다. SSL 보안서버구축기본절차는다음과같습니다. <SSL 보안서버구축절차 > 사용하는웹서버종류확인 (Apache, IIS, Tomcat, Nginx, Webtob 등 ) CSR(Certificate Signing Request) 및 개인키 (Private key) 생성 CSR 정보인증기관에접수및 SSL 인증서발급 SSL 인증서, Root 인증서, Chain 인증서설정 웹페이지 HTTPS 접속설정 웹페이지 SSL 인증서정상설치확인 - 7 -
13 2. 웹서버별개인키및 CSR 생성가이드 2.1 Apache 개인키및 CSR 생성가이드 1) 개인키 (Private key) 생성 명령어형식 : openssl genrsa -des3 -out [ 생성할키이름 ] 2048 [root@mailcsr]# openssl genrsa -des3 -out GeneratingRSAprivatekey,2048bitlongmodulus eis65537(0x10001) Enterpassphraseforwww.opa.or.kr.key: [ 패스워드입력 ] Verifying-Enterpassphraseforwww.opa.or.kr.key: [ 패스워드입력확인 ] [root@mailcsr]#ls 설명 : 개인키생성명령어를입력후개인키패스워드를입력합니다. 2) 공개키 (CSR) 생성 명령어형식 : openssl req -new -key [ 키파일 ] -out [ 생성할 CSR 키파일명 ] [root@mailcsr]# openssl req -new -key -out Enterpassphraseforwww.opa.or.kr.key: [ 패스워드입력 ] Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest. WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN. Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter'.',thefieldwillbeleftblank CountryName(2lettercode)[AU]:KR [ 국가코드 ] StateorProvinceName(fullname)[Some-State]:Seoul [ 도 / 시 ] LocalityName(eg,city)[]:Seocho-gu [ 시 / 구 / 군 ] OrganizationName(eg,company)[InternetWidgitsPtyLtd]: Korea Online Privacy Association [ 회사명 ] OrganizationalUnitName(eg,section)[]:Dev Team [ 부서명 ] CommonName(eg,YOURname)[]: [ 도메인 ] Address[]: Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]: [Enter] Anoptionalcompanyname[]: [Enter] [root@mailcsr]#ls [root@mailcsr]# 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력후공개키 (CSR) 생성정보를입력하여생성합니다
14 3) 공개키 (CSR) 전달 csr]# cat BEGINCERTIFICATEREQUEST----- MIIC7zCCAdcCAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIDAVTZW91bDESMBAG A1UEBwwJU2VvY2hvLWd1MSMwIQYDVQQKDBpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1 cml0eteomawga1uecwwfvunfulqxgdawbgnvbammd3d3dy51y2vydc5jby5rcjcc ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKMVGkya5m+jZIUym6z/akHr Wr6/CUyWzdQV501PEXHN6xVPWaLCQF/kLMPo854ebMbIsg3E323oicmL5PLFLLUU vm+tiij5asl+tqgqfvv4jsdb1jzt2hiyei3kfwsav1blctpvp1xg7tu8kpbyunep p3gzpl3k3m+nhqz/af2um1f3p8bb1yernso9c/+olcgkkbedxnzmb72suxht9gbs FfaGvtmAOa91rBiZBY9V/ws8VjXa9H7I/i2f9ZB8++k7uNWOBmRrGKrXBENgOBLo Ad3dBK7isrrfyvu3bxMCdXvGuVDJr0b7Jy7Pzk25oQHlth0YLAl5boMX6MY/NDEC AwEAAaApMCcGCSqGSIb3DQEJDjEaMBgwCQYDVR0TBAIwADALBgNVHQ8EBAMCBeAw DQYJKoZIhvcNAQEFBQADggEBAGSvSeLd7+YjNgeIszugewKARoszSJoiFsFLGyvM 4zz3x85eNwIc6tCIvuf2bc+DUtstqE4m4WQJy1tbIMuFTk3HSq8sdwjuKuJhJIyO Kskqly1lCxfV1uayOmqJN7V+jCCz3Jf2UvMPHIClpGa+pNBOk9drzOtZPUqMTIRa rltpqjnaiotqav3t27rwtlyc3z3pfe+i0eyynto1smhubqim/hdkf/idyfgbgq6w Gbb89uTBMK4msKqmJCGadQkaE2s8LyotPoHQBGRQAIXN5MAOo/eS2IaY0ZfaZUmp tqb6it/i4jjgdfuke6oli7zdu+t46fynn/bgyx9odxoccqq= -----ENDCERTIFICATEREQUEST----- 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
15 2.2 IIS6 개인키및 CSR 생성가이드 1) IIS 를실행 SSL 보안서버인증서를적용할사이트우클릭 속성 을클릭합니다
16 2) 디렉터리보안탭을선택한후 서버인증서 를클릭합니다. 3) 다음 을클릭합니다
17 4) 새인증서를만듭니다 선택후다음을클릭합니다. 5) 요청을지금준비하지만나중에보냅니다. 를선택후다음을클릭합니다
18 6) 비트길이를 2048 로선택후다음을클릭합니다. 7) 조직 (O) 에영문회사명을입력하고조직구성단위 (U) 에부서명을입력합니다
19 8) 일반이름 (C) 에도메인주소를입력합니다. 9) 국가지역 (C) 를 KR( 대한민국 ) 으로선택후시 / 도 (S) 와구 / 군 / 시 (L) 에주소를입력합니다
20 10) CSR 값을저장해야하는위치를선택한후다음을클릭합니다. 11) 저장한위치의파일을 notepad 로열고 CSR 을복사후인증기관에전달합니다
21 2.3 IIS7 개인키및 CSR 생성가이드 1) [ 시작 ] [ 프로그램 ] [ 관리도구 ] 인터넷정보서비스 (IIS) 관리자 를선택합니다. 2) 인증서를설치할서버이름을선택하고, 오른쪽의 서버인증서 를선택합니다. 3) 작업 메뉴에서 인증서요청만들기 를선택합니다. 4) 다음과같이 CSR 생성에필요한정보를입력합니다
22 5) 암호화서비스공급자속성 에서 Microsoft RSA SChannel Cryptographic Provider 및 2048 bit 로선택합니다. 6) CSR 파일을저장할경로를지정합니다
23 (C:\Users\Administrator\Documents\ ) 7) 저장한위치의파일을 notepad 로열고 CSR 을복사후인증기관에전달합니다
24 2.4 Iplanet 개인키및 CSR 생성가이드 1) 서버환경확인 ( 도메인설정확인 ) - 해당서버선택후서버설정 일반탭에서호스트명과도메인주소확인 2) 해당가상서버에 SSL 포트추가를위한 HTTP Listener 를새로만듭니다
25 3) 추가할 SSL 포트를입력하고서버이름을입력합니다. 4) 다음 마침후다사서버설정 일반으로이동후 HTTP Listener 에추가합니다
26 - 21 -
27 5) PKCS11 토큰생성하기 ( 인증서 DB 생성하기 ) - 서버설정에서인증서 -> PKCS11 토큰으로이동합니다. 그후 internel 를선택합니다. 6) 토큰상태 에서사용가능체크후원하는패스워드를입력합니다. - 인스턴스시작시패스워드입력창을나타내지않게하기위해서는아래와같이체크
28 7) 보류중인배포 를클릭하여배포합니다
29 8) CSR 생성하기 - 서버설정에서 [ 인증서 ] -> [ 서버인증서 ] -> [ 요청 ] 을클릭합니다. 9) 서버인증서요청마법사가실행되면비밀번호입력후다음을클릭합니다
30 10) CSR 생성정보를입력합니다. 11) 키유형에서 RSA -> 2048 bit 를선택합니다
31 12) CA 서명이있는인증서를선택합니다. 13) 정보를확인후 마침 을클릭합니다
32 14) 생성된 CSR 코드를마우스로드래그하여복사한후메모장에복사합니다. 15) 복사한 CSR 코드값에서공백을제거하여인증서발급업체로전달합니다
33 2.5 Lighttpd 개인키및 CSR 생성가이드 1) 개인키 ( 사설키 ) 생성 명령어형식 : openssl genrsa -des3 -out [ 생성할키이름 ] 2048 [root@mailcsr]#openssl genrsa -des3 -out GeneratingRSAprivatekey,2048bitlongmodulus eis65537(0x10001) Enterpassphraseforwww.opa.or.kr.key:[ 패스워드입력 ] Verifying-Enterpassphraseforwww.opa.or.kr.key: [ 패스워드입력확인 ] [root@mailcsr]#ls 설명 : 개인키생성명령어를입력후개인키패스워드를입력합니다. 2) 개인키 ( 사설키 ) 생성 명령어형식 : openssl req -new -key [ 키파일 ] -out [ 생성할 CSR 키파일명 ] [root@mailcsr]#openssl req -new -key -out Enterpassphraseforwww.opa.or.kr.key:[ 패스워드입력 ] Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest. WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN. Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter'.',thefieldwillbeleftblank Country Name (2 letter code) [AU]:KR [ 국가코드 ] StateorProvinceName(fullname)[Some-State]:Seoul [ 도 / 시 ] LocalityName(eg,city)[]:Seocho-gu [ 시 / 구 / 군 ] OrganizationName(eg,company)[InternetWidgitsPtyLtd]: Korea Online Privacy Association [ 회사명 ] OrganizationalUnitName(eg,section)[]:Dev Team [ 부서명 ] CommonName(eg,YOURname)[]: [ 도메인 ] Address[]: Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]:[Enter] Anoptionalcompanyname[]:[Enter] [root@mailcsr]#ls 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력후공개키 (CSR) 생성정보를입력하여생성합니다
34 3) 공개키 (CSR) 전달 csr]# cat BEGINCERTIFICATEREQUEST----- MIIC7zCCAdcCAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIDAVTZW91bDESMBAG A1UEBwwJU2VvY2hvLWd1MSMwIQYDVQQKDBpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1 cml0eteomawga1uecwwfvunfulqxgdawbgnvbammd3d3dy51y2vydc5jby5rcjcc ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKMVGkya5m+jZIUym6z/akHr Wr6/CUyWzdQV501PEXHN6xVPWaLCQF/kLMPo854ebMbIsg3E323oicmL5PLFLLUU vm+tiij5asl+tqgqfvv4jsdb1jzt2hiyei3kfwsav1blctpvp1xg7tu8kpbyunep p3gzpl3k3m+nhqz/af2um1f3p8bb1yernso9c/+olcgkkbedxnzmb72suxht9gbs FfaGvtmAOa91rBiZBY9V/ws8VjXa9H7I/i2f9ZB8++k7uNWOBmRrGKrXBENgOBLo Ad3dBK7isrrfyvu3bxMCdXvGuVDJr0b7Jy7Pzk25oQHlth0YLAl5boMX6MY/NDEC AwEAAaApMCcGCSqGSIb3DQEJDjEaMBgwCQYDVR0TBAIwADALBgNVHQ8EBAMCBeAw DQYJKoZIhvcNAQEFBQADggEBAGSvSeLd7+YjNgeIszugewKARoszSJoiFsFLGyvM 4zz3x85eNwIc6tCIvuf2bc+DUtstqE4m4WQJy1tbIMuFTk3HSq8sdwjuKuJhJIyO Kskqly1lCxfV1uayOmqJN7V+jCCz3Jf2UvMPHIClpGa+pNBOk9drzOtZPUqMTIRa rltpqjnaiotqav3t27rwtlyc3z3pfe+i0eyynto1smhubqim/hdkf/idyfgbgq6w Gbb89uTBMK4msKqmJCGadQkaE2s8LyotPoHQBGRQAIXN5MAOo/eS2IaY0ZfaZUmp tqb6it/i4jjgdfuke6oli7zdu+t46fynn/bgyx9odxoccqq= -----ENDCERTIFICATEREQUEST----- 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
35 2.6 OHS 개인키및 CSR 생성가이드 1) 새로생성아이콘을클릭합니다. 2) 인증서생성암호를입력합니다
36 3) 인증서생성암호를입력합니다. 4) 생성정보를입력후확인을클릭합니다. ( 키크기 : 2048bit) 5) 확인을클릭합니다
37 6) 아래와같이 CSR 정보를처음부터끝까지복사한뒤인증서발급업체로전달합니다. 7) 생성완료후인증키를안전한장소에저장합니다. 8) 확인을클릭하여종료합니다
38 2.7 Resin 개인키및 CSR 생성가이드 1) KeyStore 생성 명령어형식 : keytool -genkey -alias [ 별칭 ] -keyalg RSA -keysize keystore [ 생성할키스토어명 ] [root@mailcsr]#keytool -genkey -alias opa -keyalg RSA -keysize keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] 새암호를다시입력하십시오 : [ 패스워드입력확인 ] 이름과성을입력하십시오. [Unknown]: [ 도메인 ] 조직단위이름을입력하십시오. [Unknown]:Dev Team [ 부서명 ] 조직이름을입력하십시오. [Unknown]:Korea Online Privacy Association [ 회사명 ] 구 / 군 / 시이름을입력하십시오. [Unknown]:Seocho-gu [ 구 / 군 / 시 ] 시 / 도이름을입력하십시오. [Unknown]:Seoul [ 시 / 도 ] 이조직의두자리국가코드를입력하십시오. [Unknown]:KR [ 국가코드 ] CN= Korea Online Privacy Association, L=Seocho-gu, ST=Seoul, C=KR 이 ( 가 ) 맞습니까? [ 아니오 ]: y <opa> 에대한키암호를입력하십시오. (keystore 암호와같은경우 Enter 를누르십시오 ): [root@mailcsr]# [root@mailcsr]#ls 설명 : 임의별칭명으로생성하실 keystore 정보를입력합니다. 2) 공개키 (CSR) 생성 명령어형식 : keytool -certreq -alias [ 별칭 ] -file [ 생성할 CSR 파일명 ] -keystore [ 키스토어명 ] [root@mailcsr]#keytool -certreq -alias opa -file -keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] [root@mailcsr]#ls [root@mailcsr]# 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력하여공개키 (CSR) 를생성합니다
39 3) 공개키 (CSR) 전달 csr]# cat BEGINNEWCERTIFICATEREQUEST----- MIICxjCCAa4CAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIEwVTZW91bDESMBAGA1UEB xmju2vv Y2hvLWd1MSMwIQYDVQQKExpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1cml0eTEOMAwGA1UECxM FVUNF UlQxGDAWBgNVBAMTD3d3dy51Y2VydC5jby5rcjCCASIwDQYJKoZIhvcNAQEBBQADggEPADC CAQoC ggebalnbkcck2/q9xq8iqfzhoj8+phqn1dzs6se7ffqm2f51opf88qdkbiwbdsbzxtbrske81cb 3 /gyoh7fm+cpnvzfsar0tlrbg25fpavfzy65l7uvctzycy3cori3c26nx65pt5mzgtztzyn/dxaka sdsosfjhcyu4zfo7j4sustqxoljt+mlf8gmufobq5973bcz7lkarv/e3ws0ig4huql58jur4te19 +Lv7BLicXowht3H/S5VYYFS/uHzB8MTB+gVNoCp8QIOzlQPhEugzh589B1tHNHZJcST6Kvg02gB q kt3hrdefcbqaof25oy9sjlvpmb587qgrdzdpjqpiagecaweaaaaama0gcsqgsib3dqebbqu AA4IB AQAP8MEPlhBDs/mJjX82AGz5bi2B7/Ie30it9bDnj0x21y3ReQNrM4+P0W7gfO3haAPXiRynRm4 + 8tnHgJnH3mSpOKSCbDqTmAXx8uaLXJbQXlk/KvnK906jl9tsyXKk0zzdUsw3E+CFjT6CSEcOM6Fz J0SBzMRqQitPeX7Rv0vPoXL8yG+hR/QIfBU3KhD9tUP28a3tqDeE04W+iZ8EXACqbssJKMhVwp6 S vjtxzth1euxryjiwk27beknft6sc2r5dtaq0fnylkaglsqsn197pebacr+51d3g6lkuo7hfjcb0k F7W7p6EB5SNt1yiDuqq37ASJhIzkbhT2aN8aUMcc -----ENDNEWCERTIFICATEREQUEST----- [root@mailcsr]# 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
40 2.8 Tomcat 개인키및 CSR 생성가이드 1) KeyStore 생성 명령어형식 : keytool -genkey -alias [ 별칭 ] -keyalg RSA -keysize keystore [ 생성할키스토어명 ] [root@mailcsr]#keytool -genkey -alias opa -keyalg RSA -keysize keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] 새암호를다시입력하십시오 : [ 패스워드입력확인 ] 이름과성을입력하십시오. [Unknown]: [ 도메인 ] 조직단위이름을입력하십시오. [Unknown]:Dev Team [ 부서명 ] 조직이름을입력하십시오. [Unknown]:Korea Online Privacy Association [ 회사명 ] 구 / 군 / 시이름을입력하십시오. [Unknown]:Seocho-gu [ 구 / 군 / 시 ] 시 / 도이름을입력하십시오. [Unknown]:Seoul [ 시 / 도 ] 이조직의두자리국가코드를입력하십시오. [Unknown]:KR [ 국가코드 ] CN= Korea Online Privacy Association, L=Seocho-gu, ST=Seoul, C=KR 이 ( 가 ) 맞습니까? [ 아니오 ]: y <opa> 에대한키암호를입력하십시오. (keystore 암호와같은경우 Enter 를누르십시오 ): [root@mailcsr]# [root@mailcsr]#ls 설명 : 임의별칭명으로생성하실 keystore 정보를입력합니다. 2) 공개키 (CSR) 생성 명령어형식 : keytool -certreq -alias [ 별칭 ] -file [ 생성할 CSR 파일명 ] -keystore [ 키스토어명 ] [root@mailcsr]#keytool -certreq -alias opa -file -keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] [root@mailcsr]#ls [root@mailcsr]# 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력하여공개키 (CSR) 를생성합니다
41 3) 공개키 (CSR) 전달 csr]# cat BEGINNEWCERTIFICATEREQUEST----- MIICxjCCAa4CAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIEwVTZW91bDESMBAGA1UEB xmju2vv Y2hvLWd1MSMwIQYDVQQKExpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1cml0eTEOMAwGA1UECxM FVUNF UlQxGDAWBgNVBAMTD3d3dy51Y2VydC5jby5rcjCCASIwDQYJKoZIhvcNAQEBBQADggEPADC CAQoC ggebalnbkcck2/q9xq8iqfzhoj8+phqn1dzs6se7ffqm2f51opf88qdkbiwbdsbzxtbrske81cb 3 /gyoh7fm+cpnvzfsar0tlrbg25fpavfzy65l7uvctzycy3cori3c26nx65pt5mzgtztzyn/dxaka sdsosfjhcyu4zfo7j4sustqxoljt+mlf8gmufobq5973bcz7lkarv/e3ws0ig4huql58jur4te19 +Lv7BLicXowht3H/S5VYYFS/uHzB8MTB+gVNoCp8QIOzlQPhEugzh589B1tHNHZJcST6Kvg02gB q kt3hrdefcbqaof25oy9sjlvpmb587qgrdzdpjqpiagecaweaaaaama0gcsqgsib3dqebbqu AA4IB AQAP8MEPlhBDs/mJjX82AGz5bi2B7/Ie30it9bDnj0x21y3ReQNrM4+P0W7gfO3haAPXiRynRm4 + 8tnHgJnH3mSpOKSCbDqTmAXx8uaLXJbQXlk/KvnK906jl9tsyXKk0zzdUsw3E+CFjT6CSEcOM6Fz J0SBzMRqQitPeX7Rv0vPoXL8yG+hR/QIfBU3KhD9tUP28a3tqDeE04W+iZ8EXACqbssJKMhVwp6 S vjtxzth1euxryjiwk27beknft6sc2r5dtaq0fnylkaglsqsn197pebacr+51d3g6lkuo7hfjcb0k F7W7p6EB5SNt1yiDuqq37ASJhIzkbhT2aN8aUMcc -----ENDNEWCERTIFICATEREQUEST----- [root@mailcsr]# 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
42 2.9 Webtob 개인키및 CSR 생성가이드 1) 개인키 ( 사설키 ) 생성 명령어형식 : openssl genrsa -des3 -out [ 생성할키이름 ] 2048 [root@mailcsr]#openssl genrsa -des3 -out GeneratingRSAprivatekey,2048bitlongmodulus eis65537(0x10001) Enterpassphraseforwww.opa.or.kr.key:[ 패스워드입력 ] Verifying-Enterpassphraseforwww.opa.or.kr.key:[ 패스워드입력확인 ] [root@mailcsr]#ls 설명 : 개인키생성명령어를입력후개인키패스워드를입력합니다. 2) 개인키 ( 사설키 ) 생성 명령어형식 : openssl req -new -key [ 키파일 ] -out [ 생성할 CSR 키파일명 ] [root@mailcsr]#openssl req -new -key -out Enterpassphraseforwww.ucert.co.kr.key:[ 패스워드입력 ] Youareabouttobeaskedtoenterinformationthatwillbeincorporated intoyourcertificaterequest. WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN. Therearequiteafewfieldsbutyoucanleavesomeblank Forsomefieldstherewillbeadefaultvalue, Ifyouenter'.',thefieldwillbeleftblank CountryName(2lettercode)[AU]:KR [ 국가코드 ] StateorProvinceName(fullname)[Some-State]:Seoul [ 도 / 시 ] LocalityName(eg,city)[]:Seocho-gu [ 시 / 구 / 군 ] OrganizationName(eg,company)[InternetWidgitsPtyLtd]: Korea Online Privacy Association [ 회사명 ] OrganizationalUnitName(eg,section)[]:UCERT [ 부서명 ] CommonName(eg,YOURname)[]: [ 도메인 ] Address[]: Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]:[Enter] Anoptionalcompanyname[]:[Enter] [root@mailcsr]#ls 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력후공개키 (CSR) 생성정보를입력하여생성합니다
43 3) 공개키 (CSR) 전달 csr]# cat BEGINCERTIFICATEREQUEST----- MIIC7zCCAdcCAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIDAVTZW91bDESMBAG A1UEBwwJU2VvY2hvLWd1MSMwIQYDVQQKDBpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1 cml0eteomawga1uecwwfvunfulqxgdawbgnvbammd3d3dy51y2vydc5jby5rcjcc ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKMVGkya5m+jZIUym6z/akHr Wr6/CUyWzdQV501PEXHN6xVPWaLCQF/kLMPo854ebMbIsg3E323oicmL5PLFLLUU vm+tiij5asl+tqgqfvv4jsdb1jzt2hiyei3kfwsav1blctpvp1xg7tu8kpbyunep p3gzpl3k3m+nhqz/af2um1f3p8bb1yernso9c/+olcgkkbedxnzmb72suxht9gbs FfaGvtmAOa91rBiZBY9V/ws8VjXa9H7I/i2f9ZB8++k7uNWOBmRrGKrXBENgOBLo Ad3dBK7isrrfyvu3bxMCdXvGuVDJr0b7Jy7Pzk25oQHlth0YLAl5boMX6MY/NDEC AwEAAaApMCcGCSqGSIb3DQEJDjEaMBgwCQYDVR0TBAIwADALBgNVHQ8EBAMCBeAw DQYJKoZIhvcNAQEFBQADggEBAGSvSeLd7+YjNgeIszugewKARoszSJoiFsFLGyvM 4zz3x85eNwIc6tCIvuf2bc+DUtstqE4m4WQJy1tbIMuFTk3HSq8sdwjuKuJhJIyO Kskqly1lCxfV1uayOmqJN7V+jCCz3Jf2UvMPHIClpGa+pNBOk9drzOtZPUqMTIRa rltpqjnaiotqav3t27rwtlyc3z3pfe+i0eyynto1smhubqim/hdkf/idyfgbgq6w Gbb89uTBMK4msKqmJCGadQkaE2s8LyotPoHQBGRQAIXN5MAOo/eS2IaY0ZfaZUmp tqb6it/i4jjgdfuke6oli7zdu+t46fynn/bgyx9odxoccqq= -----ENDCERTIFICATEREQUEST----- 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
44 2.10 Weblogic 개인키및 CSR 생성가이드 1) KeyStore 생성 명령어형식 : keytool -genkey -alias [ 별칭 ] -keyalg RSA -keysize keystore [ 생성할키스토어명 ] [root@mailcsr]#keytool -genkey -alias opa -keyalg RSA -keysize keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] 새암호를다시입력하십시오 : [ 패스워드입력확인 ] 이름과성을입력하십시오. [Unknown]: [ 도메인 ] 조직단위이름을입력하십시오. [Unknown]:Dev Team [ 부서명 ] 조직이름을입력하십시오. [Unknown]:Korea Online Privacy Association [ 회사명 ] 구 / 군 / 시이름을입력하십시오. [Unknown]:Seocho-gu [ 구 / 군 / 시 ] 시 / 도이름을입력하십시오. [Unknown]:Seoul [ 시 / 도 ] 이조직의두자리국가코드를입력하십시오. [Unknown]:KR [ 국가코드 ] CN= Korea Online Privacy Association, L=Seocho-gu, ST=Seoul, C=KR 이 ( 가 ) 맞습니까? [ 아니오 ]: y <opa> 에대한키암호를입력하십시오. (keystore 암호와같은경우 Enter 를누르십시오 ): [root@mailcsr]# [root@mailcsr]#ls 설명 : 임의별칭명으로생성하실 keystore 정보를입력합니다. 2) 공개키 (CSR) 생성 명령어형식 : keytool -certreq -alias [ 별칭 ] -file [ 생성할 CSR 파일명 ] -keystore [ 키스토어명 ] [root@mailcsr]#keytool -certreq -alias opa -file -keystore keystore 암호를입력하십시오 : [ 패스워드입력 ] [root@mailcsr]#ls [root@mailcsr]# 설명 : 1 번을 ( 개인키생성 ) 을진행하셨을때입력했던패스워드를입력하여공개키 (CSR) 를생성합니다
45 3) 공개키 (CSR) 전달 csr]# cat BEGINNEWCERTIFICATEREQUEST----- MIICxjCCAa4CAQAwgYAxCzAJBgNVBAYTAktSMQ4wDAYDVQQIEwVTZW91bDESMBAGA1UEB xmju2vv Y2hvLWd1MSMwIQYDVQQKExpLb3JlYSBDb3Jwb3JhdGlvbiBTZWN1cml0eTEOMAwGA1UECxM FVUNF UlQxGDAWBgNVBAMTD3d3dy51Y2VydC5jby5rcjCCASIwDQYJKoZIhvcNAQEBBQADggEPADC CAQoC ggebalnbkcck2/q9xq8iqfzhoj8+phqn1dzs6se7ffqm2f51opf88qdkbiwbdsbzxtbrske81cb 3 /gyoh7fm+cpnvzfsar0tlrbg25fpavfzy65l7uvctzycy3cori3c26nx65pt5mzgtztzyn/dxaka sdsosfjhcyu4zfo7j4sustqxoljt+mlf8gmufobq5973bcz7lkarv/e3ws0ig4huql58jur4te19 +Lv7BLicXowht3H/S5VYYFS/uHzB8MTB+gVNoCp8QIOzlQPhEugzh589B1tHNHZJcST6Kvg02gB q kt3hrdefcbqaof25oy9sjlvpmb587qgrdzdpjqpiagecaweaaaaama0gcsqgsib3dqebbqu AA4IB AQAP8MEPlhBDs/mJjX82AGz5bi2B7/Ie30it9bDnj0x21y3ReQNrM4+P0W7gfO3haAPXiRynRm4 + 8tnHgJnH3mSpOKSCbDqTmAXx8uaLXJbQXlk/KvnK906jl9tsyXKk0zzdUsw3E+CFjT6CSEcOM6Fz J0SBzMRqQitPeX7Rv0vPoXL8yG+hR/QIfBU3KhD9tUP28a3tqDeE04W+iZ8EXACqbssJKMhVwp6 S vjtxzth1euxryjiwk27beknft6sc2r5dtaq0fnylkaglsqsn197pebacr+51d3g6lkuo7hfjcb0k F7W7p6EB5SNt1yiDuqq37ASJhIzkbhT2aN8aUMcc -----ENDNEWCERTIFICATEREQUEST----- [root@mailcsr]# 설명 : -----BEGIN NEW CERTIFICATE REQUEST----- 부터 -----END NEW CERTIFICATE REQUEST----- 까지복사후인증서발급업체로전달합니다. 주의사항 : 생성된파일을유출되거나분실하지않도록주의부탁드립니다
46 3. 웹서버별보안서버설치가이드 3.1 Apache( 싱글도메인 ) SSL 인증서신규설치가이드 (Package Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] -> /etc/httpd 경로에설정파일존재 2) 발급받으신인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl [root@localhost httpd]# cp conf.d/ssl [root@localhost httpd]# ls -la conf.d/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$httpd_home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost httpd_home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost httpd_home]# httpd l Compiled in modules: core.c prefork.c http_core.c
47 mod_so.c mod_ssl.c 4) ssl.conf 파일수정.( 필요한문구만을안내.) httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so * 설명 : ssl 모듈불러오는설정 Listen 443 * 설명 : 사용할 SSL 포트번호 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입. DocumentRoot "/var/www/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log
48 LogLevel warn SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
49 5) 싱글인증서 2 개이상설치를진행할경우 ssl.conf 파일수정. ( 필요한문구만을출력하여안내.) [root@localhost httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so Listen 443 Listen 444 * 설명 : 사용할포트번호추가. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> DocumentRoot "/var/www/html" ServerName ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/
50 * 설명 인증서경로설정및파일명 개인키경로설정및파일명 Chain 인증서경로설정및파일명 Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:444> * 설명 : VirtualHost 자리에사용할포트조정. DocumentRoot "/var/dev/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on * 설명 : SSL 엔진사용. SSL을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정
51 SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 인증서의경로설정및파일명 개인키경로설정및파일명 의 Chain 인증서경로설정및파일명 의 Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 6) 기존인증서파일명이 PEM 으로되어있을경우 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /etc/httpd/conf.d/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt
52 * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > cat >> cat >> 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat 명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가
53 하여생성한다.( 순서중요!) cat > cat >> cat >> cat >> 7) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost httpd]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost httpd]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 8) Shell Script 제작. Shell Script 가있으면재시작시 비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost httpd]# vi conf.d/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost httpd]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod
54 9) 아파치재시작진행 httpd]# /usr/sbin/httpd -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost httpd]# /usr/sbin/httpd -k restart [ 혹은 ] service httpd restart * 설명 : 아파치재시작. [root@localhost httpd]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd root :22 pts/1 00:00:00 grep httpd [root@localhost httpd]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN /httpd tcp 0 0 :::443 :::* LISTEN /httpd 10) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
55 3.2 Apache( 싱글도메인 ) SSL 인증서갱신설치가이드 (Package Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] -> /etc/httpd 경로에설정파일존재 2) 발급받은인증서를해당서버폴더에업로드또는저장. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl_new [root@localhost httpd]# cp conf.d/ssl_new [root@localhost httpd]# ls -la conf.d/ssl_new -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$httpd_home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost httpd_home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost httpd_home]# httpd l Compiled in modules: core.c prefork.c http_core.c mod_so.c mod_ssl.c
56 4) ssl.conf 파일수정.( 필요한문구만을안내.) httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so * 설명 : ssl 모듈불러오는설정 Listen 443 * 설명 : 사용할 SSL 포트번호 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입. DocumentRoot "/var/www/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on
57 * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 5) 싱글인증서 2개이상설치를진행할경우 ssl.conf 파일수정. ( 필요한문구만을출력하여안내.) [root@localhost httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so Listen 443 Listen 444 * 설명 : 사용할포트번호추가
58 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> DocumentRoot "/var/www/html" ServerName ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 인증서경로설정및파일명 개인키경로설정및파일명 Chain 인증서경로설정및파일명 Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$">
59 SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:444> * 설명 : VirtualHost 자리에사용할포트조정. DocumentRoot "/var/dev/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/
60 * 설명 인증서의경로설정및파일명 개인키경로설정및파일명 의 Chain 인증서경로설정및파일명 의 Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 6) 지정되어있는기존인증서경로에신규인증서업로드 [root@localhost httpd]# ls -al /etc/httpd/conf.d/ssl -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 비밀번호.txt * 설명 : 해당위치에인증서가있는지확인. [root@localhost httpd]# mkdir /etc/httpd/conf.d/ssl/ssl_old [root@localhost httpd]# cp /etc/httpd/conf.d/ssl/ /etc/httpd/conf.d/ssl_old [root@localhost httpd]# ls -al /etc/httpd/conf.d/ssl/ssl_old -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:
61 -rw-r--r--. 1 root root 1931 Feb 22 00:00 * 설명 : ssl 디렉토리의인증서를 디렉토리에백업을진행하고백업을확인. [root@localhost httpd]# cp conf.d/ssl_new/ cp conf.d/ssl/ * 설명 : 신규업데이트한인증서파일을기존인증서폴더에저장. 7) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /etc/httpd/conf.d/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt
62 * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > cat >> cat >> 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > cat >> cat >> cat >> 8) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost httpd]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost httpd]# openssl rsa -in -passout pass:'test1234' -out -des3-57 -
63 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 9) Shell Script 제작. Shell Script 가있으면재시작시 비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost httpd]# vi conf.d/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost httpd]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod ) 아파치재시작진행 [root@localhost httpd]# /usr/sbin/httpd -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost httpd]# /usr/sbin/httpd -k restart [ 혹은 ] service httpd restart * 설명 : 아파치재시작. [root@localhost httpd]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd root :22 pts/1 00:00:00 grep httpd [root@localhost httpd]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN /httpd tcp 0 0 :::443 :::* LISTEN /httpd
64 11) 서버내에서인증서설치확인 ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
65 3.3 Apache( 멀티도메인 ) SSL 인증서신규설치가이드 (Package Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] -> /etc/httpd 경로에설정파일존재 2) 발급받은인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl [root@localhost httpd]# cp conf.d/ssl [root@localhost httpd]# ls -la conf.d/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$httpd_home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost httpd_home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.s mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost httpd_home]# httpd l Compiled in modules: core.c prefork.c http_core.c mod_so.c
66 mod_ssl.c 4) ssl.conf 파일확인. ( 필요한문구만을안내 / 2 개의도메인설정.) [root@localhost httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so * 설명 : ssl 모듈불러오는설정 Listen 443 * 설명 : 사용할 SSL 포트번호 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입. DocumentRoot "/var/www/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log
67 LogLevel warn SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
68 <VirtualHost *:443> * 설명 : SSL 설정 DocumentRoot "/var/dev/html" ServerName * 설명 : eprivacy 도메인이름을기입 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서위치는 도메인과동일한위치로지정. <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
69 5) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /etc/httpd/conf.d/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > cat >> cat >> 아래와같이 1 가지형식으로있을경우
70 SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > cat >> cat >> cat >> 5) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost httpd]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost httpd]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료
71 6) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost httpd]# vi conf.d/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost httpd]# chmod a+x paas.sh * 설명 : root만권한준다면 chmod 700 7) 아파치재시작진행 [root@localhost httpd]# /usr/sbin/httpd -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost httpd]# /usr/sbin/httpd -k restart [ 혹은 ] service httpd restart * 설명 : 아파치재시작. [root@localhost httpd]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd root :22 pts/1 00:00:00 grep httpd [root@localhost httpd]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN /httpd tcp 0 0 :::443 :::* LISTEN /httpd 8) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
72 3.4 Apache( 멀티도메인 ) SSL 인증서갱신설치가이드 (Package Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] -> /etc/httpd 경로에설정파일존재 2) 발급받은인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl_new [root@localhost httpd]# cp conf.d/ssl _new [root@localhost httpd]# ls -la conf.d/ssl_new -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$httpd_home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost httpd_home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost httpd_home]# httpd l Compiled in modules: core.c prefork.c http_core.c mod_so.c mod_ssl.c
73 4) ssl.conf 파일확인. ( 필요한문구만을안내 / 2 개의도메인설정.) [root@localhost httpd]# vi conf.d/ssl.conf LoadModule ssl_module modules/mod_ssl.so * 설명 : ssl 모듈불러오는설정 Listen 443 * 설명 : 사용할 SSL 포트번호 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin ## ## SSL Virtual Host Context ## <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입. DocumentRoot "/var/www/html" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on
74 * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:443> * 설명 : SSL 설정 DocumentRoot "/var/dev/html" ServerName -
75 * 설명 : eprivacy 도메인이름을기입 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /etc/httpd/conf.d/ssl/ SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ SSLCertificateChainFile /etc/httpd/conf.d/ssl/ SSLCACertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서위치는 도메인과동일한위치로지정. <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
76 5) 기존인증서백업후지정되어있는경로에신규인증서업로드 httpd]# mkdir conf.d/ssl_old httpd]# cp conf.d/ssl/ 비밀번호.txt conf.d/ssl_old httpd]# ls -al /etc/httpd/conf.d/ssl_old -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 비밀번호.txt * 설명 : ssl 디렉토리의인증서를 ssl_old 디렉토리에백업후확인. [root@localhost httpd]# cp conf.d/ssl_new/ cp conf.d/ssl/ * 설명 : 신규업데이트한인증서파일을기존인증서폴더에저장한다. 6) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /etc/httpd/conf.d/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명
77 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > cat >> cat >> 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/ * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > cat >> cat >> cat >>
78 7) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost httpd]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost httpd]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 8) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost httpd]# vi conf.d/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost httpd]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod 700 9) 아파치재시작진행 [root@localhost httpd]# /usr/sbin/httpd -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요
79 httpd]# /usr/sbin/httpd -k restart [ 혹은 ] service httpd restart * 설명 : 아파치재시작. [root@localhost httpd]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd daemon Feb20 00:00:00 /usr/sbin/httpd root :22 pts/1 00:00:00 grep httpd [root@localhost httpd]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN /httpd tcp 0 0 :::443 :::* LISTEN /httpd 10) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
80 3.5 Apache( 싱글도메인 ) SSL 인증서갱신설치가이드 (Source Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep Apache -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] ->/etc/apache 경로에설정파일존재 2) 발급받으신인증서를해당서버폴더에업로드또는저장. 설명 : [$Apache_Home] = Apache 디렉토리 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]# cp conf/ssl [root@localhost Apache]# ls -la conf/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$Apache_Home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost Apache_Home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost Apache_Home]# Apache l Compiled in modules: core.c prefork.c http_core.c mod_so.c mod_ssl.c
81 4) httpd.conf 파일수정. 모듈및설정파일활성화. ( 필요한문구만을출력하여나타내었습니다.) [root@localhost Apache]# vi conf/httpd.conf Listen 80 # Dynamic Shared Object (DSO) Support # # Example: # LoadModule foo_module modules/mod_foo.so # #LoadModule mpm_event_module modules/mod_mpm_event.so #LoadModule mpm_prefork_module modules/mod_mpm_prefork.so #LoadModule mpm_worker_module modules/mod_mpm_worker.so #LoadModule authn_file_module modules/mod_authn_file.so #LoadModule authz_dbd_module modules/mod_authz_dbd.so LoadModule ssl_module modules/mod_ssl.so * 설명 : 위와같은 ssl 모듈을찾아서주석을제거하여활성화한다. <IfModule proxy_html_module> #Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : 위와같은 ssl 설정파일을찾아서주석을제거하여활성화한다. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 5) httpd-ssl.conf 파일수정.( 필요한문구만을안내.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf
82 Listen 443 * 설명 : 사용할 SSL 포트번호 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/usr/local/apache/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)" <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입 DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈d 디렉토리설정. ServerName * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명
83 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 6) 싱글인증서 2 개이상설치를진행할경우 httpd-ssl.conf 파일수정. ( 필요한문구만을출력하여안내.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf LoadModule ssl_module modules/mod_ssl.so Listen 443 Listen 444 * 설명 : 사용할포트번호추가. SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec: :/usr/local/apache/conf/pass.sh SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
84 SSLSessionCacheTimeout 300 <VirtualHost *:443> DocumentRoot "/usr/local/apache/www" ServerName ServerAdmin ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 인증서경로설정및파일명 개인키경로설정및파일명 Chain 인증서경로설정및파일명 Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> </Files> SSLOptions +StdEnvVars <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
85 </VirtualHost> <VirtualHost *:444> * 설명 : VirtualHost 자리에사용할포트조정. DocumentRoot "/usr/local/apache/ep" * 설명 : 도메인홈디렉토리설정. ServerName * 설명 : 도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLProtocol all -SSLv2 * 설명 : SSL 프로토콜설정. SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 인증서의경로설정및파일명 개인키경로설정및파일명 의 Chain 인증서경로설정및파일명 의 Root 인증서경로설정및파일명 <FilesMatch "\.(cgi shtml phtml php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory "/usr/local/apache/cgi-bin"> SSLOptions +StdEnvVars </Directory>
86 BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 7) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt
87 * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem cat >> newreq.pem 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > newreq.pem cat >> newreq.pem cat >> newreq.pem cat >> newreq.pem 8) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost Apache]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가
88 Apache]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 9) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost Apache]# vi conf/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost Apache]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod ) 아파치재시작진행 [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost Apache]# bin/apachectl stop ß아파치 2.0.X 이하버전 [root@localhost Apache]# bin/apachectl startssl or [root@localhost Apache]# bin/apachectl restart ß아파치 2.0.X 이상버전 * 설명 : 아파치재시작. [root@localhost Apache]# ps -ef grep Apache * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/local/apache/bin/apache -k
89 start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start root :22 pts/1 00:00:00 grep Apache [root@localhost Apache]# netstat -nlp grep Apache * 설명 : SSL 443 포트확인 tcp 0 0 :::80 :::* LISTEN /Apache tcp 0 0 :::443 :::* LISTEN /Apache 11) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
90 3.6 Apache( 싱글도메인 ) SSL 인증서신규설치가이드 (Source Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep Apache -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] ->/etc/apache 경로에설정파일존재 2) 발급받으신인증서를해당서버폴더에업로드또는저장. 설명 : [$Apache_Home] = Apache 디렉토리 [root@localhost Apache]# mkdir conf/ssl_new [root@localhost Apache]# cp conf/ssl_new [root@localhost Apache]# ls -la conf/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) 기존인증서의시작일과만료일확인. [root@localhost Apache_Home]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN /httpd tcp 0 0 :::443 :::* LISTEN /httpd * 설명 : 기존 SSL 사용중인포트확인.( 포트번호는 443 이아닐수도있음 ) [root@localhost Apache_Home]# echo "" openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 기존인증서시작일및만료일확인. notbefore=jan 30 11:16: GMT notafter=jan 31 10:58: GMT 인증서시작일 인증서만료일
91 * 명령어형식 : echo "" openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates 4) httpd.conf 파일확인. # Various default settings #Include conf/extra/httpd-default.conf <IfModule proxy_html_module> Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : SSL 설정파일위치확인. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 5) httpd-ssl.conf 파일확인.( 필요한문구만을안내.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf Listen 443 * 설명 : 사용할 SSL 포트번호 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/usr/local/apache/pass.sh
92 * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)" <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입 DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈d 디렉토리설정. ServerName * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \
93 "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 6) 기존인증서파일명이 PEM 으로되어있을경우 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat 명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성
94 cat > newreq.pem cat >> newreq.pem cat >> newreq.pem 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > newreq.pem cat >> newreq.pem cat >> newreq.pemcat >> newreq.pem 7) 지정되어있는기존인증서경로에신규인증서업로드 [root@localhost Apache]# mkdir /usr/local/apache/conf/ssl/ssl_old [root@localhost Apache]# cp /conf/ssl/ /conf/ssl/ssl_old [root@localhost Apache]# ls -al /usr/local/apache/conf/ssl/ssl_old -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 * 설명 : ssl 디렉토리의인증서를 ssl_old 디렉토리에백업을진행하고백업을확인한다. [root@localhost Apache]# cp /conf/ssl_new/ /usr/local/apache/conf/ssl * 설명 : 신규업데이트한인증서파일을기존인증서폴더에저장한다
95 8) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost Apache]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost Apache]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 9) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost Apache]# vi conf/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost Apache]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod ) 아파치재시작진행 [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인
96 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. Apache]# bin/apachectl stop ß아파치 2.0.X 이하버전 Apache]# bin/apachectl startssl or Apache]# bin/apachectl restart ß아파치 2.0.X 이상버전 * 설명 : 아파치재시작. [root@localhost Apache]# ps -ef grep Apache * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start root :22 pts/1 00:00:00 grep Apache [root@localhost Apache]# netstat -nlp grep Apache * 설명 : SSL 443 포트확인 tcp 0 0 :::80 :::* LISTEN /Apache tcp 0 0 :::443 :::* LISTEN /Apache 11) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
97 3.7 Apache( 멀티도메인 ) SSL 인증서신규설치가이드 (Source Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep Apache -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] ->/etc/apache 경로에설정파일존재 2) 발급받으신인증서를해당서버폴더에업로드또는저장. 설명 : [$Apache_Home] = Apache 디렉토리 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]# cp conf/ssl [root@localhost Apache]# ls -la conf/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$Apache_Home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost Apache_Home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost Apache_Home]# Apache l Compiled in modules: core.c prefork.c http_core.c mod_so.c mod_ssl.c
98 4) httpd.conf 파일수정. 모듈및설정파일활성화.( 필요한문구만을출력.) Apache]# vi conf/httpd.conf Listen 80 # Dynamic Shared Object (DSO) Support # # Example: # LoadModule foo_module modules/mod_foo.so # #LoadModule mpm_event_module modules/mod_mpm_event.so #LoadModule mpm_prefork_module modules/mod_mpm_prefork.so #LoadModule mpm_worker_module modules/mod_mpm_worker.so #LoadModule authn_file_module modules/mod_authn_file.so #LoadModule authz_dbd_module modules/mod_authz_dbd.so LoadModule ssl_module modules/mod_ssl.so * 설명 : 위와같은 ssl 모듈을찾아서주석을제거하여활성화한다. <IfModule proxy_html_module> #Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : 위와같은 ssl 설정파일을찾아서주석을제거하여활성화한다. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 5) httpd-ssl.conf 파일수정.( 필요한문구만을안내.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf Listen
99 * 설명 : 사용할 SSL 포트번호 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/usr/local/apache/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)" <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입 DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈d 디렉토리설정. ServerName * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명
100 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:443> * 설명 : aka.ucert.co.kr SSL 설정 DocumentRoot "/usr/local/apache/ep" * 설명 :aka 홈디렉토리설정. ServerName * 설명 : www가아닌 aka 도메인이름을기입 ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 : 인증서위치는 도메인과동일한위치로지정토록한다. <FilesMatch "\.(cgi shtml phtml php)$"> SSLOptions +StdEnvVars </FilesMatch>
101 <Directory "/usr/local/apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 6) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명
102 SSLCertificateKeyFile /usr/local/apache/conf/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem cat >> newreq.pem 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > newreq.pem cat >> newreq.pem cat >> newreq.pem cat >> newreq.pem 7) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost Apache]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ]
103 * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost Apache]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 8) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost Apache]# vi conf/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost Apache]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod 700 9) 아파치재시작진행 [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost Apache]# bin/apachectl stop ß아파치 2.0.X 이하버전 [root@localhost Apache]# bin/apachectl startssl or [root@localhost Apache]# bin/apachectl restart ß아파치 2.0.X 이상버전 * 설명 : 아파치재시작
104 Apache]# ps -ef grep Apache * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start root :22 pts/1 00:00:00 grep Apache [root@localhost Apache]# netstat -nlp grep Apache * 설명 : SSL 443 포트확인 tcp 0 0 :::80 :::* LISTEN /Apache tcp 0 0 :::443 :::* LISTEN /Apache 10) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
105 3.8 Apache( 멀티도메인 )SSL 인증서갱신설치가이드 (Source Version) 1) Apache source 및 package 구분 아파치경로확인명령어 : ps ef grep Apache -source: /usr/local/apache [ 경로및 apache이름상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름상이할수있음 ] ->/etc/apache 경로에설정파일존재 2) 발급받으신인증서를해당서버폴더에업로드또는저장. 설명 : [$Apache_Home] = Apache 디렉토리 [root@localhost Apache]# mkdir conf/ssl_new [root@localhost Apache]# cp conf/ssl_new [root@localhost Apache]# ls -la conf/ssl_new -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 3) [$Apache_Home]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost Apache_Home]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost Apache_Home]# Apache l Compiled in modules: core.c prefork.c http_core.c mod_so.c mod_ssl.c
106 4) httpd.conf 파일확인. # Various default settings #Include conf/extra/httpd-default.conf <IfModule proxy_html_module> Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : SSL 설정파일위치확인. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 5) httpd-ssl.conf 파일확인.( 필요한문구만을안내.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf Listen 443 * 설명 : 사용할 SSL 포트번호 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/usr/local/apache/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
107 <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입 DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈d 디렉토리설정. ServerName * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Chain 인증서경로설정및파일명 -Root 인증서경로설정및파일명 <Files ~ "\.(cgi shtml phtml php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
108 <VirtualHost *:443> * 설명 : SSL 설정 DocumentRoot "/usr/local/apache/ep" * 설명 : 홈디렉토리설정. ServerName * 설명 : 가아닌 도메인이름을기입 ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile /usr/local/apache/conf/ssl/ SSLCertificateKeyFile /usr/local/apache/conf/ssl/ SSLCertificateChainFile /usr/local/apache/conf/ssl/ SSLCACertificateFile /usr/local/apache/conf/ssl/ * 설명 : 인증서위치는 도메인과동일한위치로지정토록한다. <FilesMatch "\.(cgi shtml phtml php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory "/usr/local/apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>
109 6) 기존인증서파일명이 PEM 으로되어있을경우. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! -cat명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem -cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > chain.pem cat >> chain.pem 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/ * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 순서중요! cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성. cat > newreq.pem cat >> newreq.pem cat >> newreq.pem
110 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /usr/local/apache/conf/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /usr/local/apache/conf/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /usr/local/apache/conf/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat > newreq.pem cat >> newreq.pem cat >> newreq.pem cat >> newreq.pem 7) 지정되어있는기존인증서경로에신규인증서업로드 [root@localhost Apache]# mkdir /usr/local/apache/conf/ssl/ssl_old [root@localhost Apache]# cp conf/ssl/ conf/ssl/ssl_old [root@localhost Apache]# ls -al /usr/local/apache/conf/ssl/ssl_old -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1744 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 -rw-r--r--. 1 root root 1931 Feb 22 00:00 * 설명 : ssl 디렉토리의인증서를 ssl_old 디렉토리에백업을진행하고백업을확인한다. [root@localhost Apache]# cp conf/ssl_new/mdc.ucert.co.kr.* cp conf/ssl/ * 설명 : 신규업데이트한인증서파일을기존인증서폴더에저장한다
111 8) KEY 파일비밀번호제거및추가하는방법. - 비밀번호제거 [root@localhost Apache]# openssl rsa -in -out Enter pass phrase for [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. - 비밀번호추가 [root@localhost Apache]# openssl rsa -in -passout pass:'test1234' -out -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 9) Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없음. ( 인증서비밀번호가없다면불필요함.) [root@localhost Apache]# vi conf/pass.sh #!/bin/sh echo 패스워드 :wq [root@localhost Apache]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod ) 아파치재시작진행 [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인
112 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. Apache]# bin/apachectl stop ß아파치 2.0.X 이하버전 Apache]# bin/apachectl startssl or Apache]# bin/apachectl restart ß아파치 2.0.X 이상버전 * 설명 : 아파치재시작. [root@localhost Apache]# ps -ef grep Apache * 설명 : 아파치데몬확인진행 root Feb20 00:00:03 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start daemon Feb20 00:00:00 /usr/local/apache/bin/apache -k start root :22 pts/1 00:00:00 grep Apache [root@localhost Apache]# netstat -nlp grep Apache * 설명 : SSL 443 포트확인 tcp 0 0 :::80 :::* LISTEN /Apache tcp 0 0 :::443 :::* LISTEN /Apache 11) 서버내에서인증서설치확인 [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT # 인증서시작일 notafter=dec 31 :38: GMT # 인증서만료일 * 명령어형식 : openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates
113 3.9 IHS( 싱글도메인 ) SSL 인증서신규설치가이드 1) [$HTTPSever]/conf/ httpd.conf 파일을확인합니다. # Uncomment the following line to load the IBM SSL module. # Note: You must have installed the corresponding IBM SSL support for this to work LoadModule ibm_ssl_module modules/mod_ibm_ssl.so // 주석처리되어있을시주석제거. Listen 443 <VirtualHost *:443> SSLEnable SSLClientAuth None SSLCRLHostname SSLCRLPort 443 </VirtualHost> kdb 파일위치를지정. SSLDisable Keyfile "C:/Program Files/IBM/HTTPServer/ssl/ SSLV2Timeout 100 SSLV3Timeout 1000 :wq // 저장후종료. 2) SSL 인증서파일업로드작업. 1. 지정한인증서의위치로파일명을맞추어서진행. ex) 발급받은인증서를해당위치에업로드. 3. 업로드후 httpd.conf 환경파일에설정되어있는이름과동일하게세팅
114 3) IHS 웹서버재시작 HTTPServer]# bin/apachectl stop HTTPServer]# bin/apachectl star 4) SSL 포트확인 ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN 5) 인증서확인 [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -noout dates // 위의명령어를입력하여인증서만료날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일
115 3.10 IHS( 싱글도메인 ) SSL 인증서갱신설치가이드 1) [$HTTPSever]/conf/ httpd.conf 파일을확인합니다. # Uncomment the following line to load the IBM SSL module. # Note: You must have installed the corresponding IBM SSL support for this to work LoadModule ibm_ssl_module modules/mod_ibm_ssl.so // 주석처리되어있을시주석제거. Listen 443 <VirtualHost *:443> SSLEnable SSLClientAuth None SSLCRLHostname SSLCRLPort 443 </VirtualHost> kdb 파일위치를지정. SSLDisable Keyfile "C:/Program Files/IBM/HTTPServer/ssl/ SSLV2Timeout 100 SSLV3Timeout 1000 :wq // 저장후종료. 2) SSL 인증서파일교체작업. 1. 기존인증서위치에서인증서백업 [root@localhost HTTPServer/ssl]#mkdir ssl_old [root@localhost HTTPServer/ssl]#cp ssl_old 2. 발급받은인증서를해당위치에업로드. (sth 파일은기존인증서패스워드와동일할경우업로드하지않아도무관.) 3. 업로드후 httpd.conf 환경파일에설정되어있는이름과동일하게세팅
116 3) IHS 웹서버재시작. HTTPServer]# bin/apachectl stop HTTPServer]# bin/apachectl start 4) SSL 포트확인. ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN 5) 인증서확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -noout dates // 위의명령어를입력하여인증서만료날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일
117 3.11 Jboss( 싱글 & 멀티도메인 ) SSL 인증서신규 & 갱신설치가이드 JBoss 의웹컨테이너는 Jakarta Tomcat 으로 Jboss_home/server/default/deply/jbossweb.deployer/server.xml 파일을살펴보면 tomcat 의 SSL 설정과동일. 1) Server.xml 설정파일에서 SSL 설정. [ 일반설정 ] <Connector protocol="org.apache.coyote.http11.http11protocol" port="443" minsparethreads="5" maxsparethreads="75" // SSL 기본포트 443 설정. [default 는 8443] enablelookups="true" disableuploadtimeout="true" acceptcount="100" maxthreads="200" scheme="https" secure="true" S S L E n a b l e d = " t r u e " keystorefile="${jboss_home}/conf/ssl/ // 인증서위치 keystorepass="changeit" // 인증서패스워드 clientauth="false" sslprotocol="tls"/> :wq // 저장후종료 2) 서버재시작진행. 3) 웹페이지에서의인증서확인방법 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
118 3.12 Lighttpd( 싱글도메인 ) SSL 인증서신규설치가이드 1) 인증서만들기 [root@localhost ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장. 2) SSL 환경설정. [root@localhost lighttpd]# vi lighttpd.conf // 설명 : lighttpd 환경파일수정 $HTTP["host"]=~" { server.document-root = "/srv/www/htdocs" index-file.names += ( "index.html", "index.xhtml", "index.htm", "default.htm", "index.php" ) } #### CGI module #cgi.assign = ( ".pl" => "/usr/bin/perl", # ".cgi" => "/usr/bin/perl" ) # #### SSL engine $SERVER["socket"] == ":443" { // 설명 : SSL 서비스포트설정 ssl.engine = "enable" // 설명 : SSL 서비스활성화설정 ssl.pemfile = "/usr/local/lighttpd/conf/ssl/ ssl.ca-file = "/usr/local/lighttpd/conf/ssl/ // 설명 : 인증서 + 개인키경로설정 // 설명 : CA 인증서경로설정 server.name = // 설명 : 도메인명 server.document-root = "/srv/www/vhosts/opa/" index-file.names += ( "index.html", "index.xhtml", "index.htm", "default.htm", "index.php" ) // 설명 : 홈디렉토리 }
119 3) Lighttpd 재시작. conf]# /etc/rc.d/init.d/lighttpd restart lighttpd 를정지중 : [ OK ] lighttpd ( 을 ) 를시작중 : Enter PEM pass phrase: [ 개인키패스워드입력 ] [ OK ] 4) 인증서만료일확인. [root@localhost ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN 19301/lighttpd tcp 0 0 :::443 :::* LISTEN 19301/lighttpd // 설명 : 443포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@mail ~]# openssl s_client -connect localhost:443 openssl x509 -noout -enddate notafter=jan 01 21:38: GMT // 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접 속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가 ) 되어있는지확인. 5) 웹브라우저에서인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
120 3.13 Lighttpd( 멀티도메인 ) SSL 인증서신규설치가이드 1) 인증서만들기 [root@localhost ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장. 2) SSL 환경설정 [root@localhost lighttpd]# vi lighttpd.conf // 설명 : lighttpd 환경파일수정 $HTTP["host"]=~" { server.document-root = "/srv/www/htdocs" index-file.names += ( "index.html", "index.xhtml", "index.htm", "default.htm", "index.php" ) } #### CGI module #cgi.assign = ( ".pl" => "/usr/bin/perl", # ".cgi" => "/usr/bin/perl" ) # #### SSL engine $SERVER["socket"] == ":443" { // 설명 : SSL 서비스포트설정 ssl.engine = "enable" // 설명 : SSL 서비스활성화설정 ssl.pemfile = "/usr/local/lighttpd/conf/ssl/ ssl.ca-file = "/usr/local/lighttpd/conf/ssl/ // 설명 : 인증서 + 개인키경로설정 // 설명 : CA 인증서경로설정 server.name = // 설명 : 도메인명 server.document-root = "/srv/www/vhosts/opa/" index-file.names += ( "index.html", "index.xhtml", "index.htm", "default.htm", "index.php" ) // 설명 : 홈디렉토리 }
121 #### SSL engine // 설명 : 같은설정을진행. $SERVER["socket"] == ":443" { // 설명 : SSL 서비스포트설정 ssl.engine = "enable" // 설명 : SSL 서비스활성화설정 ssl.pemfile = "/usr/local/lighttpd/conf/ssl/ ssl.ca-file = "/usr/local/lighttpd/conf/ssl/ // 설명 : 인증서 + 개인키경로설정 // 설명 : CA 인증서경로설정 server.document-root = "/usr/local/lighttpd/eprivacy/" // 설명 : 홈디렉토리설정 3) Lighttpd 재시작 [root@localhost conf]# /etc/rc.d/init.d/lighttpd restart lighttpd 를정지중 : [ OK ] lighttpd ( 을 ) 를시작중 : Enter PEM pass phrase: [ 개인키패스워드입력 ] [ OK ] 4) 인증서만료일확인 [root@localhost ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN 19301/lighttpd tcp 0 0 :::443 :::* LISTEN 19301/lighttpd // 설명 : 443포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@mail ~]# openssl s_client -connect localhost:443 openssl x509 -noout -enddate notafter=jan 01 21:38: GMT // 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접 속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가 ) 되어있는지확인
122 5) 웹브라우저에서인증서확인방법 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
123 3.14 Nginx( 싱글도메인 ) SSL 인증서신규설치가이드 1) [ 도메인 ].pem 파일구성하기 - 파일업로드전에파일을.pem 파일을생성. - 위의내용을차례대로도메인.crt, ca.crt, root.crt 순으로내용을복사
124 2) 위의내용을차례대로도메인.crt, ca.crt, root.crt 순으로내용을복사. 3) 인증서를해당 SSL 폴더에업로드또는저장. New]$ cp /Nginx/ssl New]$ cd /Nginx/ssl ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt
125 4) [$Nginx_Home]/conf/nginx.conf 파일을열어 SSL 환경설정을합니다. 설명 : [$Nginx_Home] = Nginx 디렉토리 # HTTPS server // 설명 : 아래에주석을해제하여 SSL 을사용설정토록한다. server { listen 443 ; // 설명 : 포트번호설정. server_name // 설명 : 서버네임을기입한다. ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게설정 // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; } location / { root html; index index.html index.htm; } 5) Nginx 재시작 [root@localhost nginx]# cd sbin/ [root@localhost sbin]# ll total rwxr-xr-x. 1 root root Jan 1 19:36 nginx // 설명 : 실행파일확인완료 -rwxr-xr-x. 1 root root Jan 1 19:10 nginx.old [root@localhost sbin]#./nginx -s stop [root@localhost sbin]#./nginx start
126 6) Nginx 포트확인. ~]# netstat -nlp grep nginx tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN - 설정하신 SSL 포트가 Listen 상태인지확인합니다. - 웹브라우져주소창에 도메인 :SSL 포트 를입력하여접속이되는지확인. -SSL 기본포트인 443 포트로설정하셨다면 도메인 으로접속확인. 7) 서버내에서인증서확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -out -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 8) 웹브라우저에서인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
127 3.15 Nginx( 싱글도메인 ) SSL 인증서갱신설치가이드 1) [ 도메인 ].pem 파일구성하기 - 파일업로드전에파일을.pem 파일을생성. - 위의내용을차례대로도메인.crt, ca.crt, root.crt 순으로내용을복사
128 2) 확장자명을도메인.pem 파일로저장. 3) [$Nginx_Home]/conf/nginx.conf 파일을열어 SSL 환경설정을확인합니다. 설명 : [$Nginx_Home] = Nginx 디렉토리 # HTTPS server // 설명 : 아래에주석을해제하여 SSL 을사용설정토록한다. server {
129 listen 443 ; // 설명 : 포트번호설정. server_name // 설명 : 서버네임을기입한다. ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게설정 // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; } location / { root html; index index.html index.htm; } 4) 인증서를해당 SSL 폴더에업로드또는저장. [ 기존인증서는백업진행 ] [root@localhost ssl]$mkdir ssl_old [root@localhost ssl]$cp ssl_old [root@localhost New]$ cp /Nginx/ssl [root@localhost New]$ cd /Nginx/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 5) Nginx 재시작 [root@localhost nginx]# cd sbin/ [root@localhost sbin]# ll total rwxr-xr-x. 1 root root Jan 1 19:36 nginx // 설명 : 실행파일확인완료 -rwxr-xr-x. 1 root root Jan 1 19:10 nginx.old
130 sbin]#./nginx -s stop sbin]#./nginx start 6) 포트확인. ~]# netstat -nlp grep nginx tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN - 설정하신 SSL 포트가 Listen 상태인지확인합니다. - 웹브라우져주소창에 도메인 :SSL 포트 를입력하여접속이되는지확인. -SSL 기본포트인 443 포트로설정하셨다면 도메인 으로접속확인. 7) 서버내에서인증서확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -out -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 8) 웹브라우저에서인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
131 3.16 Nginx( 멀티도메인 ) SSL 인증서신규설치가이드 멀티인증서와와일드카드인증서는중복포트사용이가능하다. ( 동일한 443포트설정가능 ) 1) [ 도메인 ].pem 파일구성하기 - 파일업로드전에파일을.pem 파일을생성. - 위의내용을차례대로도메인.crt, ca.crt, root.crt 순으로내용을복사
132 2) 확장자명을도메인.pem 파일로저장. 3) 인증서를해당 SSL 폴더에업로드또는저장 New]$ cp /Nginx/ssl New]$ cd /Nginx/ssl ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt
133 4) [$Nginx_Home]/conf/nginx.conf 파일을열어 SSL 환경설정을합니다. 설명 : [$Nginx_Home] = Nginx 디렉토리 # HTTPS server // 설명 : 아래에주석을해제하여 SSL 을사용설정토록한다. server { listen 443 ; // 설명 : 포트번호설정. server_name // 설명 : 서버네임을기입한다. ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게설정 // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; } location / { root html; index index.html index.htm; } server { listen 443 ; // 설명 : 동일한포트번호설정. server_name // 설명 : 서버네임을기입한다. } ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게한다. // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on;
134 } location / { root html; index index.html index.htm; } 5) Nginx 재시작 [root@localhost nginx]# cd sbin/ [root@localhost sbin]# ll total rwxr-xr-x. 1 root root Jan 1 19:36 nginx // 설명 : 실행파일확인완료 -rwxr-xr-x. 1 root root Jan 1 19:10 nginx.old [root@localhost sbin]#./nginx -s stop [root@localhost sbin]#./nginx start 6) 포트확인. [root@localhost ~]# netstat -nlp grep nginx tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN - 설정하신 SSL 포트가 Listen 상태인지확인합니다. - 웹브라우져주소창에 도메인 :SSL 포트 를입력하여접속이되는지확인. -SSL 기본포트인 443 포트로설정하셨다면 도메인 으로접속확인. 7) 서버내에서인증서확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -out -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일
135 8) 웹브라우저에서인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
136 3.17 Nginx( 멀티도메인 ) SSL 인증서갱신설치가이드 멀티인증서와와일드카드인증서는중복포트사용이가능하다. ( 동일한 443포트설정가능 ) 1) [ 도메인 ].pem 파일구성하기 - 파일업로드전에파일을.pem 파일을생성. - 위의내용을차례대로도메인.crt, ca.crt, root.crt 순으로내용을복사
137 2) 확장자명을도메인.pem 파일로저장. 3) [$Nginx_Home]/conf/nginx.conf 파일을열어 SSL 환경설정확인. 설명 : [$Nginx_Home] = Nginx 디렉토리 # HTTPS server // 설명 : 아래에주석을해제하여 SSL 을사용설정토록한다. server {
138 listen 443 ; // 설명 : 포트번호설정. server_name // 설명 : 서버네임을기입한다. ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게설정 // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; } location / { root html; index index.html index.htm; } server { listen 443 ; // 설명 : 동일한포트번호설정. server_name // 설명 : 서버네임을기입한다. } ssl on; ssl_certificate /usr/local/nginx/ssl/ ssl_certificate_key /usr/local/nginx/ssl/ // 설명 : 인증서위치를설정하고파일명을동일하게한다. // 설명 : 인증서키파일경로설정및파일명동일하게한다. ssl_session_cache shared:ssl:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; } location / { root html; index index.html index.htm; }
139 4) 인증서를해당 SSL 폴더에업로드또는저장. [ 기존인증서는백업후진행 ] [root@localhost ssl]$ mkdir ssl_old [root@localhost ssl]$ cp /Nginx/ssl/ssl_old [root@localhost New]$ cp /Nginx/ssl [root@localhost New]$ cd /Nginx/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 5) Nginx 재시작 [root@localhost nginx]# cd sbin/ [root@localhost sbin]# ll total rwxr-xr-x. 1 root root Jan 1 19:36 nginx // 설명 : 실행파일확인완료 -rwxr-xr-x. 1 root root Jan 1 19:10 nginx.old [root@localhost sbin]#./nginx -s stop [root@localhost sbin]#./nginx start 6) 포트확인. [root@localhost ~]# netstat -nlp grep nginx tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN - 설정하신 SSL 포트가 Listen 상태인지확인합니다. - 웹브라우져주소창에 도메인 :SSL 포트 를입력하여접속이되는지확인. -SSL 기본포트인 443 포트로설정하셨다면 도메인 으로접속확인. 7) 서버내에서인증서확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -out -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다
140 notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 8) 웹브라우저에서인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
141 3.18 Oracle HTTP Server ( 싱글도메인 ) SSL 인증서신규설치가이드 1) OHS 설치 * $ORACLE_HOME/opmn/conf/opmn.xml 파일확인. [oracle@localhost default]$ vi /App/LOCALHOST/opmn/conf/opmn.conf <ias-component id="http_server"> <process-type id="http_server" module-id="ohs"> <module-data> <category id="start-parameters"> <data id="start-mode" value="ssl-enabled"/> * 설명 : disabled 로되어있을경우 enabled 로수정합니다. </category> </module-data> <process-set id="http_server" numprocs="1"/> </process-type> </ias-component> 2) OHS 의환경파일인 httpd.conf 파일편집. [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/httpd.conf * 설명 : 주석처리되어있을경우해제 <IfDefine SSL> LoadModule ossl_module "/App/LOCALHOST/Apache/Apache/modules/mod_ossl.so" </IfDefine> # Include the SSL definitions and Virtual Host container include "/App/LOCALHOST/Apache/Apache/conf/ssl.conf" * 설명 : 참조된파일을확인합니다. 3) 인증서파일업로드 [oracle@localhost /]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ mv /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost /]$ cd /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso
142 4) SSL 환경파일인 ssl.conf 파일편집. [ 필요한구문만출력.] [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/ssl.conf <IfDefine SSL> SSLPassPhraseDialog builtin #SSLSessionCache none #SSLSessionCache dbm:/app/localhost/apache/apache/logs/ssl_scache #SSLSessionCache SSLSessionCache shmcb:/app/localhost/apache/apache/logs/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLMutex file:/app/localhost/apache/apache/logs/ssl_mutex SSLLog /App/LOCALHOST/Apache/Apache/logs/ssl_engine_log SSLLogLevel warn AddType application/x-x509-ca-cert.crt AddType application/x-pkcs7-crl.crl Listen 443 * 설명 : 서비스포트설정 <VirtualHost *:443> * 설명 : 가상호스트설정 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin you@your.address ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP # Server Wallet: # The server wallet contains the server's certificate, private key
143 # and trusted certificates. Set SSLWallet at the wallet directory # using the syntax: file: SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 인증서경로는폴더를경로로한다. SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" RewriteEngine on RewriteOptions inherit </VirtualHost> </IfDefine> 5) OHS 재시작. [oracle@localhost default]$ opmnctl stopall [oracle@localhost default]$ opmnctl startall
144 6) 인증서확인. ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 : 443 포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@localhost ~]# openssl s_client -connect localhost:443 < /dev/null 2>&1 openssl x509 -noout enddate notafter=dec 20 23:59: GMT * 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가되어있는지확인합니다. 7) 웹브라우저에서인증서확인 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
145 3.19 Oracle HTTP Server ( 싱글도메인 ) SSL 인증서갱신설치가이드 1) 인증서파일백업후업로드 [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost default]$ mkdir ssl_old [oracle@localhost default]$ cp cwallet.sso ssl_old [oracle@localhost default]$ ll ssl_old drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ cp cwallet.sso /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost /]$ cd /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso 2) SSL 환경파일인 ssl.conf 파일확인. [ 필요한구문만출력.] [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/ssl.conf <IfDefine SSL> SSLPassPhraseDialog builtin #SSLSessionCache none #SSLSessionCache dbm:/app/localhost/apache/apache/logs/ssl_scache #SSLSessionCache SSLSessionCache shmcb:/app/localhost/apache/apache/logs/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLMutex file:/app/localhost/apache/apache/logs/ssl_mutex SSLLog /App/LOCALHOST/Apache/Apache/logs/ssl_engine_log SSLLogLevel warn AddType application/x-x509-ca-cert.crt
146 AddType application/x-pkcs7-crl.crl Listen 443 * 설명 : 서비스포트설정 <VirtualHost *:443> * 설명 : 가상호스트설정 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin you@your.address ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP # Server Wallet: # The server wallet contains the server's certificate, private key # and trusted certificates. Set SSLWallet at the wallet directory # using the syntax: file: SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 인증서경로는폴더를경로로한다. SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory>
147 SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" RewriteEngine on RewriteOptions inherit </VirtualHost> </IfDefine> 3) OHS 재시작. [oracle@localhost default]$ opmnctl stopall [oracle@localhost default]$ opmnctl startall 4) 인증서확인. [root@localhost ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 : 443 포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@localhost ~]# openssl s_client -connect localhost:443 < /dev/null 2>&1 openssl x509 -noout enddate notafter=dec 20 23:59: GMT * 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가되어있는지확인합니다
148 5) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
149 3.20 Oracle HTTP Server ( 멀티도메인 ) SSL 인증서신규설치가이드 1) OHS 설치 *. $ORACLE_HOME/opmn/conf/opmn.xml 파일확인. [oracle@localhost default]$ vi /App/LOCALHOST/opmn/conf/opmn.conf <ias-component id="http_server"> <process-type id="http_server" module-id="ohs"> <module-data> <category id="start-parameters"> <data id="start-mode" value="ssl-enabled"/> * 설명 : disabled 로되어있을경우 enabled로수정합니다. </category> </module-data> <process-set id="http_server" numprocs="1"/> </process-type> </ias-component> 2) OHS 의환경파일인 httpd.conf 파일편집. [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/httpd.conf * 설명 : 주석처리되어있을경우해제 <IfDefine SSL> LoadModule ossl_module "/App/LOCALHOST/Apache/Apache/modules/mod_ossl.so" </IfDefine> # Include the SSL definitions and Virtual Host container include "/App/LOCALHOST/Apache/Apache/conf/ssl.conf" * 설명 : 참조된파일을확인합니다. 3) 인증서파일업로드. [oracle@localhost /]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ mv /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost /]$ cd /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso
150 4) SSL 환경파일인 ssl.conf 파일편집. [ 필요한구문만출력.] [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/ssl.conf <IfDefine SSL> SSLPassPhraseDialog builtin SSLSessionCache shmcb:/app/localhost/apache/apache/logs/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLMutex file:/app/localhost/apache/apache/logs/ssl_mutex SSLLog /App/LOCALHOST/Apache/Apache/logs/ssl_engine_log SSLLogLevel warn AddType application/x-x509-ca-cert.crt AddType application/x-pkcs7-crl.crl Listen 443 * 설명 : 서비스포트설정 <VirtualHost *:443> * 설명 : 가상호스트설정 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin you@your.address ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 인증서경로는폴더를경로로한다. SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars
151 </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" RewriteEngine on RewriteOptions inherit </VirtualHost> <VirtualHost *:443> * 설명 : 가상호스트설정 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin you@your.address ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 멀티인증서의경우동일경로로설정
152 SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" RewriteEngine on RewriteOptions inherit </VirtualHost> </IfDefine> 5) OHS 재시작. [oracle@localhost default]$ opmnctl stopall [oracle@localhost default]$ opmnctl startall 6) 인증서확인. [root@localhost ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN
153 tcp 0 0 :::443 :::* LISTEN * 설명 : 443 포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@localhost ~]# openssl s_client -connect localhost:443 < /dev/null 2>&1 openssl x509 -noout enddate notafter=dec 20 23:59: GMT * 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가되어있는지확인합니다. 7) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
154 3.21 Oracle HTTP Server ( 멀티도메인 ) SSL 인증서갱신설치가이드 1) 인증서파일백업후업로드. [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost default]$ mkdir ssl_old [oracle@localhost default]$ cp cwallet.sso ssl_old [oracle@localhost default]$ ll ssl_old drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso [oracle@localhost /]$ cp cwallet.sso /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost /]$ cd /App/LOCALHOST/Apache/Apache/conf/ssl.wlt/default [oracle@localhost default]$ ll drwxr-xr-x. 2 root root :03 cwallet.sso 2) SSL 환경파일인 ssl.conf 파일확인. [ 필요한구문만출력.] [oracle@localhost default]$ vi /App/LOCALHOST/Apache/Apache/conf/ssl.conf <IfDefine SSL> SSLPassPhraseDialog builtin SSLSessionCache shmcb:/app/localhost/apache/apache/logs/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLMutex file:/app/localhost/apache/apache/logs/ssl_mutex SSLLog /App/LOCALHOST/Apache/Apache/logs/ssl_engine_log SSLLogLevel warn AddType application/x-x509-ca-cert.crt AddType application/x-pkcs7-crl.crl Listen 443 * 설명 : 서비스포트설정 <VirtualHost *:443> * 설명 : 가상호스트설정
155 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 인증서경로는폴더를경로로한다. SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
156 RewriteEngine on RewriteOptions inherit </VirtualHost> <VirtualHost *:443> * 설명 : 가상호스트설정 DocumentRoot "/App/LOCALHOST/Apache/Apache/htdocs" ServerNae ServerAdmin you@your.address ErrorLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/error_ssl_log 43200" TransferLog " /App/LOCALHOST/Apache/Apache/bin/rotatelogs \ /App/LOCALHOST/Apache/Apache/logs/access_ssl_log 43200" Port 443 SSLCipherSuite ALL:!ADH:!EXPORT56:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLWallet file:/app/localhost/apache/apache/conf/ssl.wlt/default * 설명 : 인증서경로설정 * 설명 : 멀티인증서의경우동일경로로설정 SSLWalletPassword a12345 * 설명 : 인증서패스워드설정 <Files ~"\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> < D i r e c t o r y "/App/LOCALHOST/Apache/Apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a
157 # compact non-error SSL logfile on a virtual host basis. C u s t o m L o g /App/LOCALHOST/Apache/Apache/logs/ssl_request _log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" RewriteEngine on RewriteOptions inherit </VirtualHost> </IfDefine> 3) OHS 재시작. [oracle@localhost default]$ opmnctl stopall [oracle@localhost default]$ opmnctl startall 4) 인증서확인. [root@localhost ~]# netstat -nap grep httpd tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 : 443 포트 Listen 된상태에서아래의명령어를사용하여로컬에서인증서를확인합니다. 인증서만료일확인방법 [root@localhost ~]# openssl s_client -connect localhost:443 < /dev/null 2>&1 openssl x509 -noout enddate notafter=dec 20 23:59: GMT * 설명 : 로컬에서인증서출력이정상적이고외부에서 도메인 ] 으로브라우저접속시통신이되지않을경우내부방화벽 ( 예. iptables), 외부방화벽등에 SSL 포트가 Allow ( 또는웹방화벽에인증서가설치가되어있는지확인합니다. 5) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
158 3.22 Resin( 싱글도메인 ) SSL 인증서신규설치가이드 1) 인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp /Resin/keys [root@localhost New]$ cd /Resin/keys [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) conf/resin.properties.in 파일확인. #Set HTTP and HTTPS bind address http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 80 app.https : 443 web.http : 80 web.https : 443 // # 주석해제. 포트번호는디폴트로 443 설정 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_type : jks jsse_keystore_file : /usr/local/resin/keys/ jsse_keystore_password : ****** // 비밀번호기입. // # 주석을해제해주도록한다. 파일경로와확장자를기입하고설정을저장한다. 3) Resin 재시작. [root@localhost resin4]# bin/resin.sh stop //Resin 프로세스정지. [root@localhost resin4]# bin/resin.sh start-all // Resin 프로세스시작
159 4) SSL 포트확인. resin ]# netstat -nlp grep java tcp 0 0 ::ffff: :6600 :::* LISTEN 3195/java tcp 0 0 ::ffff: :6800 :::* LISTEN 3244/java tcp 0 0 :::88 :::* LISTEN 3244/java tcp 0 0 :::443 :::* LISTEN 3244/java 5) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
160 3.23 Resin( 싱글도메인 ) SSL 인증서갱신설치가이드 1) 인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp /Resin/keys [root@localhost New]$ cd /Resin/keys [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) conf/resin.properties.in 파일확인. #Set HTTP and HTTPS bind address http_address : * # Set HTTP and HTTPS ports. # Use overrides for individual server control, for example: app-0.http : 8081 app.http : 80 app.https : 443 web.http : 80 web.https : 443 // # 주석해제. 포트번호는디폴트로 443 설정 # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_type : jks jsse_keystore_file : /usr/local/resin/keys/ jsse_keystore_password : ****** // 비밀번호기입. // # 주석을해제해주도록한다. 파일경로와확장자를기입하고설정을저장한다. 3) 인증서파일확인후백업및신규인증서업로드. [root@localhost keys]# ll // 인증서목록확인. -rw-r--r--. 1 root root :20 [root@localhost keys]# mkdir ssl_old [root@localhost keys]# cp ssl_old // 인증서백업을진행토록한다
161 ssl]# cp /usr/local/resin/keys/ // 인증서파일교체. 4) Resin 재시작. Resin]# bin/resin.sh stop //Resin 프로세스정지. Resin]# bin/resin.sh start-all // Resin 프로세스시작 5) SSL 포트확인. resin ]# netstat -nlp grep java tcp 0 0 ::ffff: :6600 :::* LISTEN 3195/java tcp 0 0 ::ffff: :6800 :::* LISTEN 3244/java tcp 0 0 :::88 :::* LISTEN 3244/java tcp 0 0 :::443 :::* LISTEN 3244/java 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
162 3.24 Webtob( 싱글도메인 ) SSL 인증서신규설치가이드 1) 발급받은인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp /webtob/ssl [root@localhost New]$ cd /webtob/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) [$Webtob_Home]/config/ http.m 파일을열어 SSL 환경설정을합니다. 설명 : [$Webtob_Home] = Webtob 디렉토리 [root@localhost webtob]$ vi config/http.m 서버마다고유의 *NODE NODENAME 이존재합니다. OPA WEBTOBDIR="/usr/local/webapp/webtob ", SHMKEY = 54000, DOCROOT="/usr/local/webapp/webtob/docs/OPA/", // 기본홈디렉토리 PORT = "80", // 설명 : 기본 http 포트 HTH = 2 // 설명 : Jesus 연동 Count JSVPORT = 9900, // 설명 : Jesus 연동포트 IPCPERM = 0777, NODENAME = "$(NODENAME)", SERVICEORDER = "ext,uri", INDEXNAME = "index.jsp,index.html,index.htm", LOGGING = "log1", ERRORLOG = "log2" *VHOST OPA_ssl DOCROOT="/usr/local/webapp/webtob/docs/OPA/" // 홈디렉토리, NODENAME=OPA, PORT="443", SSLFLAG=Y, SSL 설정 SSLNAME="OPAssl", HOSTNAME = " HOSTALIAS = " ", // 대표도메인외지정하실별칭 ServiceOrder="uri,ext", LOGGING="log1_vhmytx", ERRORLOG="log2_vhmytx"
163 *SSL OPAssl CertificateFile = "/usr/local/webtob/config/ssl/ CertificateKeyFile = "/usr/local/webtob/config/ssl/ CACertificateFile = "/usr/local/webtob/config/ssl/ CertificateChainFile ="/usr/local/webtob/config/ssl/ PassPhraseDialog=" exec:/usr/local/webtob/config/ssl/pass.sh" * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Root 인증서경로설정및파일명 -Chain 인증서경로설정및파일명 -재시작시비밀번호입력없이재시작이가능하게한다 *SVRGROUP htmlg SVRTYPE = HTML jsvg SVRTYPE = JSV, VhostName = "OPA, OPA_ssl" // Servlet 호출을위한 Jeus 연동할가상호스트선언 *SERVER html SVGNAME = htmlg, MinProc = 50, MaxProc = 50, ASQCount = 1 MyGroup SVGNAME = jsvg, MinProc = 100, MaxProc = 200, VhostName = " OPA, OPA_ssl " // Servlet 호출을위한 Jeus 연동할가상호스트선언 *URI uri1 Uri = "/", Svrtype = JSV, SvrName = MyGroup 3) 패스워드쉘생성. [root@localhost ssl]$ vi pass.sh #!/bin/sh echo opa.or.kr :wq // 설명 : echo password 를입력하도록한다. [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:
164 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 4) Webtob 재시작. [root@localhost webtob]# wscfl i http.m // 설명 : 환경파일컴파일 urrent configuration: Number of client handler(hth) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Successfully created the configuration file (/root/webtob/config/wsconfig) for node OPA. The host name of the running machine is OPA. [root@localhost webtob]# wsdown Do you really want to shut down WebtoB? (y : n): y WSDOWN for node(localhost) is starting: WSDOWN: SERVER(html:1) downed: Fri Jan 1 00:00: WSDOWN: SERVER(html:0) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:11) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:21) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:20) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:10) downed: Fri Jan 1 00:00: WSDOWN: HTL downed: Fri Jan 1 00:00: WSDOWN: HTH downed: Fri Jan 1 00:00: WSDOWN: WSM downed: Fri Jan 1 00:00: WSDOWN: WebtoB is down [root@localhost webtob]# wsboot Booting WebtoB on node (OPA) Welcome to WebtoB demo system. It will expire on 2018/06/27 Today is 2018/06/07 Starting WSM at Fri Jan 1 00:00: Starting HTL at Fri Jan 1 00:00: Starting HTH at Fri Jan 1 00:00: Current WebtoB Configuration: Number of client handlers (HTH) =
165 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(cgis) at Fri Jan 1 00:00: ) 포트확인. [root@localhost ~]# netstat -nlp grep htl tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인. -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다. 6) 서버내에서인증서갱신확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -noout -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 7) 웹페이지에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
166 3.25 Webtob( 싱글도메인 ) SSL 인증서갱신설치가이드 1) 발급받은인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp /webtob/ssl [root@localhost New]$ cd /webtob/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) [$Webtob_Home]/config/ http.m 파일을열어 SSL 환경설정을합니다. 설명 : [$Webtob_Home] = Webtob 디렉토리 [root@localhost webtob]$ vi config/http.m *NODE 서버마다고유의 NODENAME 이존재합니다. OPA WEBTOBDIR="/usr/local/webapp/webtob ", SHMKEY = 54000, DOCROOT="/usr/local/webapp/webtob/docs/OPA/",// 기본홈디렉토리 PORT = "80", // 설명 : 기본 http 포트 HTH = 2 // 설명 : Jesus 연동 Count JSVPORT = 9900, // 설명 : Jesus 연동포트 IPCPERM = 0777, NODENAME = "$(NODENAME)", SERVICEORDER = "ext,uri", INDEXNAME = "index.jsp,index.html,index.htm", LOGGING = "log1", ERRORLOG = "log2" *VHOST OPA_ssl DOCROOT="/usr/local/webapp/webtob/docs/OPA/" // 홈디렉토리, NODENAME=OPA, PORT="443", SSLFLAG=Y, SSL 설정 SSLNAME="OPAssl", HOSTNAME = " HOSTALIAS = " ", // 대표도메인외지정하실별칭 ServiceOrder="uri,ext",
167 LOGGING="log1_vhmytx", ERRORLOG="log2_vhmytx" *SSL OPAssl CertificateFile = "/usr/local/webtob/config/ssl/ CertificateKeyFile = "/usr/local/webtob/config/ssl/ CACertificateFile = "/usr/local/webtob/config/ssl/ CertificateChainFile ="/usr/local/webtob/config/ssl/ PassPhraseDialog=" exec:/usr/local/webtob/config/ssl/pass.sh" * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Root 인증서경로설정및파일명 -Chain 인증서경로설정및파일명 -재시작시비밀번호입력없이재시작이가능하게한다 *SVRGROUP htmlg SVRTYPE = HTML jsvg SVRTYPE = JSV, VhostName = "OPA, OPA_ssl" // Servlet 호출을위한 Jeus 연동할가상호스트선언 *SERVER html SVGNAME = htmlg, MinProc = 50, MaxProc = 50, ASQCount = 1 MyGroup SVGNAME = jsvg, MinProc = 100, MaxProc = 200, VhostName = " OPA, OPA_ssl " // Servlet 호출을위한 Jeus 연동할가상호스트선언 *URI uri1 Uri = "/", Svrtype = JSV, SvrName = MyGroup 3) 패스워드쉘생성. [root@localhost ssl]$ vi pass.sh #!/bin/sh echo opa.or.kr :wq // 설명 : echo password 를입력하도록한다
168 ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 4) 기존인증서백업후발급받은인증서파일업로드. [root@localhost ssl]$ mkdir ssl_old [root@localhost ssl]$ cp pass.sh ssl_old [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 ssl_old -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1744 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 5) Webtob 재시작. [root@localhost webtob]# wscfl i http.m // 설명 : 환경파일컴파일 urrent configuration: Number of client handler(hth) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Successfully created the configuration file (/root/webtob/config/wsconfig) for node OPA. The host name of the running machine is OPA. [root@localhost webtob]# wsdown Do you really want to shut down WebtoB? (y : n): y WSDOWN for node(localhost) is starting: WSDOWN: SERVER(html:1) downed: Fri Jan 1 00:00:
169 WSDOWN: SERVER(html:0) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:11) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:21) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:20) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:10) downed: Fri Jan 1 00:00: WSDOWN: HTL downed: Fri Jan 1 00:00: WSDOWN: HTH downed: Fri Jan 1 00:00: WSDOWN: WSM downed: Fri Jan 1 00:00: WSDOWN: WebtoB is down [root@localhost webtob]# wsboot Booting WebtoB on node (OPA) Welcome to WebtoB demo system. It will expire on 2018/06/27 Today is 2018/06/07 Starting WSM at Fri Jan 1 00:00: Starting HTL at Fri Jan 1 00:00: Starting HTH at Fri Jan 1 00:00: Current WebtoB Configuration: Number of client handlers (HTH) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(cgis) at Fri Jan 1 00:00: ) 포트확인. [root@localhost ~]# netstat -nlp grep htl tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인. -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다
170 7) 서버내에서인증서갱신확인. ~]# openssl s_client -connect localhost:443 openssl x509 -noout -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 8) 웹페이지에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
171 3.26 Webtob( 멀티도메인 ) SSL 인증서신규설치가이드 * 멀티및와일드인증서의경우포트번호를동일하게설정이가능. (https 통신으로 443 으로통일가능 ) 1) 발급받은인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp Wildcard.opa.or.kr* /webtob/ssl [root@localhost New]$ cd /webtob/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 Wildcard.opa.or.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.root-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) [$Webtob_Home]/config/ http.m 파일을열어 SSL 환경설정을합니다. 설명 : [$Webtob_Home] = Webtob 디렉토리 [root@localhost webtob]$ vi config/http.m *NODE 서버마다고유의 NODENAME 이존재합니다. OPA WEBTOBDIR="/usr/local/webapp/webtob ", SHMKEY = 54000, DOCROOT="/usr/local/webapp/webtob/docs/OPA/",// 기본홈디렉토리 PORT = "80", // 설명 : 기본 http 포트 HTH = 2 // 설명 : Jesus 연동 Count JSVPORT = 9900, // 설명 : Jesus 연동포트 IPCPERM = 0777, NODENAME = "$(NODENAME)", SERVICEORDER = "ext,uri", INDEXNAME = "index.jsp,index.html,index.htm", LOGGING = "log1", ERRORLOG = "log2" *VHOST OPA_ssl DOCROOT="/usr/local/webapp/webtob/docs/OPA/" // 홈디렉토리, NODENAME=OPA, PORT="443", SSLFLAG=Y, SSL 설정 SSLNAME="OPAssl", HOSTNAME = "Wildcard.opa.or.kr", HOSTALIAS = " ", // 대표도메인외지정하실별칭
172 ServiceOrder="uri,ext", LOGGING="log1_vhmytx", ERRORLOG="log2_vhmytx" *SSL OPAssl CertificateFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.crt", CertificateKeyFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.key", CACertificateFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.root-bundle", CertificateChainFile ="/usr/local/webtob/config/ssl/wildcard.opa.or.kr.ca-bundle", PassPhraseDialog=" exec:/usr/local/webtob/config/ssl/pass.sh" * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Root 인증서경로설정및파일명 -Chain 인증서경로설정및파일명 -재시작시비밀번호입력없이재시작이가능하게한다 *SVRGROUP htmlg SVRTYPE = HTML jsvg SVRTYPE = JSV, VhostName = "OPA, OPA_ssl" // Servlet 호출을위한 Jeus 연동할가상호스트선언 *SERVER html SVGNAME = htmlg, MinProc = 50, MaxProc = 50, ASQCount = 1 MyGroup SVGNAME = jsvg, MinProc = 100, MaxProc = 200, VhostName = " OPA, OPA_ssl " // Servlet 호출을위한 Jeus 연동할가상호스트선언 *URI uri1 Uri = "/", Svrtype = JSV, SvrName = MyGroup 3) 패스워드쉘생성. [root@localhost ssl]$ vi pass.sh #!/bin/sh echo opa.or.kr
173 :wq // 설명 : echo password 를입력하도록한다. [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 Wildcard.opa.or.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.root-bundle -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 4) Webtob 재시작. [root@localhost webtob]# wscfl i http.m // 설명 : 환경파일컴파일 urrent configuration: Number of client handler(hth) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Successfully created the configuration file (/root/webtob/config/wsconfig) for node OPA. The host name of the running machine is OPA. [root@localhost webtob]# wsdown Do you really want to shut down WebtoB? (y : n): y WSDOWN for node(localhost) is starting: WSDOWN: SERVER(html:1) downed: Fri Jan 1 00:00: WSDOWN: SERVER(html:0) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:11) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:21) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:20) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:10) downed: Fri Jan 1 00:00: WSDOWN: HTL downed: Fri Jan 1 00:00: WSDOWN: HTH downed: Fri Jan 1 00:00: WSDOWN: WSM downed: Fri Jan 1 00:00: WSDOWN: WebtoB is down [root@localhost webtob]# wsboot Booting WebtoB on node (OPA) Welcome to WebtoB demo system. It will expire on 2018/06/
174 Today is 2018/06/07 Starting WSM at Fri Jan 1 00:00: Starting HTL at Fri Jan 1 00:00: Starting HTH at Fri Jan 1 00:00: Current WebtoB Configuration: Number of client handlers (HTH) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(cgis) at Fri Jan 1 00:00: ) 포트확인. [root@localhost ~]# netstat -nlp grep htl tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인. -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다. 6) 서버내에서인증서갱신확인. [root@localhost ~]# openssl s_client -connect localhost:443 openssl x509 -noout -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일
175 7) 웹페이지에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
176 3.27 Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드 1) 발급받은인증서를해당 SSL 폴더에업로드또는저장. [root@localhost New]$ cp Wildcard.opa.or.kr* /webtob/ssl [root@localhost New]$ cd /webtob/ssl [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 Wildcard.opa.or.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.root-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 password.txt 2) [$Webtob_Home]/config/ http.m 파일을열어 SSL 환경설정을합니다. 설명 : [$Webtob_Home] = Webtob 디렉토리 [root@localhost webtob]$ vi config/http.m 서버마다고유의 *NODE NODENAME 이존재합니다. OPA WEBTOBDIR="/usr/local/webapp/webtob ", SHMKEY = 54000, DOCROOT="/usr/local/webapp/webtob/docs/OPA/",// 기본홈디렉토리 PORT = "80", // 설명 : 기본 http 포트 HTH = 2 // 설명 : Jesus 연동 Count JSVPORT = 9900, // 설명 : Jesus 연동포트 IPCPERM = 0777, NODENAME = "$(NODENAME)", SERVICEORDER = "ext,uri", INDEXNAME = "index.jsp,index.html,index.htm", LOGGING = "log1", ERRORLOG = "log2" *VHOST OPA_ssl DOCROOT="/usr/local/webapp/webtob/docs/OPA/" // 홈디렉토리, NODENAME=OPA, PORT="443", SSLFLAG=Y, SSL 설정 SSLNAME="OPAssl", HOSTNAME = "Wildcard.opa.or.kr", HOSTALIAS = " ", // 대표도메인외지정하실별칭 ServiceOrder="uri,ext", LOGGING="log1_vhmytx",
177 ERRORLOG="log2_vhmytx" *SSL OPAssl CertificateFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.crt", CertificateKeyFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.key", CACertificateFile = "/usr/local/webtob/config/ssl/wildcard.opa.or.kr.root-bundle", CertificateChainFile ="/usr/local/webtob/config/ssl/wildcard.opa.or.kr.ca-bundle", PassPhraseDialog=" exec:/usr/local/webtob/config/ssl/pass.sh" * 설명 -인증서경로설정및파일명 -개인키경로설정및파일명 -Root 인증서경로설정및파일명 -Chain 인증서경로설정및파일명 -재시작시비밀번호입력없이재시작이가능하게한다 *SVRGROUP htmlg SVRTYPE = HTML jsvg SVRTYPE = JSV, VhostName = "OPA, OPA_ssl" // Servlet 호출을위한 Jeus 연동할가상호스트선언 *SERVER html SVGNAME = htmlg, MinProc = 50, MaxProc = 50, ASQCount = 1 MyGroup SVGNAME = jsvg, MinProc = 100, MaxProc = 200, VhostName = " OPA, OPA_ssl " // Servlet 호출을위한 Jeus 연동할가상호스트선언 *URI uri1 Uri = "/", Svrtype = JSV, SvrName = MyGroup 3) 패스워드쉘생성. [root@localhost ssl]$ vi pass.sh #!/bin/sh echo opa.or.kr :wq // 설명 : echo password 를입력하도록한다
178 ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 Wildcard.opa.or.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.root-bundle -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 4) 기존인증서백업후발급받은인증서파일업로드. [root@localhost ssl]$ mkdir ssl_old [root@localhost ssl]$ cp Wildcard.opa.or.kr* pass.sh ssl_old [root@localhost ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 00:00 ssl_old -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 Wildcard.opa.or.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 Wildcard.opa.or.kr.root-bundle -rw-r--r--. 1 root root 1931 Jan 1 00:00 pass.sh 5) Webtob 재시작. [root@localhost webtob]# wscfl i http.m // 설명 : 환경파일컴파일 urrent configuration: Number of client handler(hth) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Successfully created the configuration file (/root/webtob/config/wsconfig) for node OPA. The host name of the running machine is OPA. [root@localhost webtob]# wsdown Do you really want to shut down WebtoB? (y : n): y WSDOWN for node(localhost) is starting: WSDOWN: SERVER(html:1) downed: Fri Jan 1 00:00: WSDOWN: SERVER(html:0) downed: Fri Jan 1 00:00:
179 WSDOWN: SERVER(cgi:11) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:21) downed: Fri Jan 1 00:00: WSDOWN: SERVER(ssi:20) downed: Fri Jan 1 00:00: WSDOWN: SERVER(cgi:10) downed: Fri Jan 1 00:00: WSDOWN: HTL downed: Fri Jan 1 00:00: WSDOWN: HTH downed: Fri Jan 1 00:00: WSDOWN: WSM downed: Fri Jan 1 00:00: WSDOWN: WebtoB is down [root@localhost webtob]# wsboot Booting WebtoB on node (OPA) Welcome to WebtoB demo system. It will expire on 2018/06/27 Today is 2018/06/07 Starting WSM at Fri Jan 1 00:00: Starting HTL at Fri Jan 1 00:00: Starting HTH at Fri Jan 1 00:00: Current WebtoB Configuration: Number of client handlers (HTH) = 1 Supported maximum user per node = 4047 Supported maximum user per handler = 4047 Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(htmls) at Fri Jan 1 00:00: Starting SVR(cgis) at Fri Jan 1 00:00: ) 포트확인. [root@localhost ~]# netstat -nlp grep htl tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인. -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다
180 7) 서버내에서인증서갱신확인. ~]# openssl s_client -connect localhost:443 openssl x509 -noout -dates 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 8) 웹페이지에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
181 3.28 Tomcat6( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut로설정된경우 8443으로설정됨. 1) Server.xml 파일을확인하여 SSL 인증서설정. root@opa ssl]# vi /usr/local/tomcat/conf/server.xml <!-- <Connector port="443" protocol="http/1.1" SSLEnabled="true" maxthreads="150" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] scheme="https" secure="true" keystore File= /usr/local/tomcat/ssl/wildcard.opa.or.kr.jks // 인증서파일위치및파일 keystorepass= ****** // 인증서비밀번호 clientauth="false" sslprotocol="tls" /> --> * 설명 : 주석을제거. // <!-- : 시작 & --> : 끝 2) 발급받은인증서업로드또는저장. [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 :443 으로접속해주셔도됩니 다
182 5) 서버내에서인증서갱신을확인하도록합니다. ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
183 3.29 Tomcat6( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut 로설정된경우 8443으로설정됨. 1) Server.xml 파일을확인하여 SSL 인증서확인. root@opa ssl]# vi /usr/local/tomcat/conf/server.xml <Connector port="443" protocol="http/1.1" SSLEnabled="true" maxthreads="150" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] scheme="https" secure="true" keystore File= /usr/local/tomcat/ssl/wildcard.opa.or.kr.jks // 인증서파일위치및파일 keystorepass= ****** // 인증서비밀번호 clientauth="false" sslprotocol="tls" /> 2) 기존의인증서를백업후발급받은인증서업로드또는저장. [root@localhost /ssl]$ mkdir ssl_old [root@localhost /ssl]$ cp Wildcard.opa.or.kr.jks password ssl_old [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) 인증서확인. root@opa ssl]# ls Wildcard.opa.or.kr.jks [root@mail ssl]# keytool -list -keystore keystore 암호를입력하십시오 : Keystore 유형 : JKS Keystore 공급자 : SUN Keystore 에는 2 항목이포함되어있습니다. root, , trustedcertentry, 인증서지문 (MD5): C0:D7:AF:89:C9:CA:75:2F:F2:12:E9:60:E7:67:3D:E1 opa, , PrivateKeyEntry, 인증서지문 (MD5): F8:53:D6:B3:1B:D6:6A:F0:17:8F:BC:9E:AC:02:86:F
184 4) Tomcat 재시작진행. /bin]#./shutdown.sh /bin]#./startup.sh 5) 포트확인. ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다. 6) 서버내에서인증서갱신을확인하도록합니다. [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 7) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
185 3.30 Tomcat8.0X( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut 로설정 된경우 8443 으로설정됨. 1) Server.xml 파일을확인하여 SSL 인증서확인. root@opa ssl]# vi /usr/local/tomcat/conf/server.xml <Connector port="443" protocol="http/1.1" SSLEnabled="true" maxthreads="150" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] scheme="https" secure="true" keystore File= /usr/local/tomcat/ssl/wildcard.opa.or.kr.jks // 인증서파일위치및파일 keystorepass= ****** // 인증서비밀번호 clientauth="false" sslprotocol="tls" /> 2) 발급받은인증서업로드또는저장. [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다
186 5) 서버내에서인증서갱신을확인하도록합니다. ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
187 3.31 Tomcat8.5X( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 * 8.5.x 이상의경우아래의주의사항확인 1) 이버전의경우위 8.0.x 의버전과동일한방법으로진행을해도무방하다. 2) 톰캣재시작이후약 1분정도사이트접속이되지않는다. 이경우프로세스는가동중이지만웹에서의접속은잠시불가하다. 3) 8.5x 이상의경우 1) 로인해 SSL 설정방법이 2가지가된다. 1) Server.xml 파일을확인하여 SSL 인증서확인. [root@ucert ssl]# vi /usr/local/tomcat/conf/server.xml <Connector port="443" protocol="org.apache.coyote.http11.http11nioprotocol" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] maxthreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificatekeystorefile="/usr/local/tomcat/ssl/ certificatekeystorepassword="******" 인증서경로및패스워드확인. type="rsa" /> </SSLHostConfig> </Connector> 2) 발급받은인증서업로드또는저장. [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN
188 tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다. 5) 서버내에서인증서갱신을확인하도록합니다. [root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
189 3.32 Tomcat8.0X( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut 로설정 된경우 8443 으로설정됨. 1) Server.xml 파일을확인하여 SSL 인증서확인. root@opa ssl]# vi /usr/local/tomcat/conf/server.xml <Connector port="443" protocol="http/1.1" SSLEnabled="true" maxthreads="150" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] scheme="https" secure="true" keystore File= /usr/local/tomcat/ssl/wildcard.opa.or.kr.jks // 인증서파일위치및파일 keystorepass= ****** // 인증서비밀번호 clientauth="false" sslprotocol="tls" /> 2) 기존의인증서를백업후발급받은인증서업로드또는저장. [root@localhost /ssl]$ mkdir ssl_old [root@localhost /ssl]$ cp Wildcard.opa.or.kr.jks password ssl_old [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다
190 5) 서버내에서인증서갱신을확인하도록합니다. ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
191 3.33 Tomcat8.5X( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 * 8.5.x 이상의경우아래의주의사항확인 1) 이버전의경우위 8.0.x 의버전과동일한방법으로진행을해도무방하다. 2) 톰캣재시작이후약 1분정도사이트접속이되지않는다. 이경우프로세스는가동중이지만웹에서의접속은잠시불가하다. 3) 8.5x 이상의경우 1) 로인해 SSL 설정방법이 2가지가된다. 1) Server.xml 파일을확인하여 SSL 인증서확인. [root@ucert ssl]# vi /usr/local/tomcat/conf/server.xml <Connector port="443" protocol="org.apache.coyote.http11.http11nioprotocol" 포트번호 443으로변경시기본 https 접속이가능. [default 8443 설정 ] maxthreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificatekeystorefile="/usr/local/ssl/ certificatekeystorepassword="******" 인증서경로및패스워드확인. type="rsa" /> </SSLHostConfig> </Connector> 2) 기존의인증서를백업후발급받은인증서업로드또는저장. [root@localhost /ssl]$ mkdir ssl_old [root@localhost /ssl]$ cp Wildcard.opa.or.kr.jks password ssl_old [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java
192 tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 으로접속해주셔도됩니다. 5) 서버내에서인증서갱신을확인하도록합니다. root@localhost ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
193 3.34 Tomcat9( 싱글도메인 & 멀티도메인 ) SSL 인증서신규설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut 로설정 된경우 8443 으로설정됨. 1) Server.xml 파일을확인하여 SSL 인증서설정. root@opa ssl]# vi /usr/local/tomcat9/conf/server.xml <!-- <Connector port="443" protocol="org.apache.coyote.http11.http11nioprotocol" maxthreads="150" SSLEnabled="true"> <UpgradeProtocol classname="org.apache.coyote.http2.http2protocol" /> <SSLHostConfig> <certificate certificatekeystorefile="/usr/local/tomcat9/conf/ssl/ certificatekeystorepassword="******" # 위의두구문을추가하도록한다. type="rsa" /> </SSLHostConfig> </Connector> --> * 설명 : 주석을제거. // <!-- : 시작 & --> : 끝 2) 발급받은인증서업로드또는저장. [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN
194 * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 :443 으로접속해주셔도됩니다. 5) 서버내에서인증서갱신을확인하도록합니다. ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
195 3.35 Tomcat9( 싱글도메인 & 멀티도메인 ) SSL 인증서갱신설치가이드 * 멀티 & 와일드카드인증서의경우포트번호를동일하게설정가능하며, defalut 로설정 된경우 8443 으로설정됨. 1) Server.xml 파일을확인하여 SSL 설정확인. root@opa ssl]# vi /usr/local/tomcat9/conf/server.xml <Connector port="443" protocol="org.apache.coyote.http11.http11nioprotocol" maxthreads="150" SSLEnabled="true"> <UpgradeProtocol classname="org.apache.coyote.http2.http2protocol" /> <SSLHostConfig> <certificate certificatekeystorefile="/usr/local/tomcat9/conf/ssl/ certificatekeystorepassword="******" # 인증서위치확인및발급받은인증서비밀번호와비교확인. type="rsa" /> </SSLHostConfig> </Connector> 2) 기존인증서백업후발급받은인증서업로드또는저장. [root@localhost /ssl]$ mkdir ssl_old [root@localhost /ssl]$ cp Wildcard.opa.or.kr.jks password ssl_old [root@localhost /ssl]$ ll -rw-r--r--. 1 root root 2021 Jan 1 11:49 ssl_old -rw-r--r--. 1 root root 1931 Jan 1 11:48 Wildcard.opa.or.kr.jks -rw-r--r--. 1 root root 1744 Jan 1 11:49 password 3) Tomcat 재시작진행. [root@localhost /bin]#./shutdown.sh [root@localhost /bin]#./startup.sh 4) 포트확인. [root@localhost ~]# netstat -na grep java tcp 0 0 :::8080 :::* LISTEN tcp 0 0 :::443 :::* LISTEN
196 * 설명 -설정한 SSL 포트가 Listen 상태인지확인 -웹브라우져주소창에 도메인 :SSL포트 를입력하여접속이되는지확인합니다. -SSL기본포트인 443포트로설정하셨다면 도메인 :443 으로접속해주셔도됩니다. 5) 서버내에서인증서갱신을확인하도록합니다. ~]#openssl s_client -connect localhost:443 openssl x509 -noout dates 위의명령어를입력하여인증서갱신날짜를확인. notbefore=jan 1 00:24: GMT notafter=dec 31 :38: GMT # 인증서시작일 # 인증서만료일 6) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
197 3.36 Iplanet 7( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 1) 발급받은파일인증서를서버경로로이동후업로드합니다. ( 서버경로의 config 폴 더에업로드 ) - 기존인증서가있을시백업을진행. 파일명은 cert8.db 와 key3.db 로변경
198 2) 웹관리콘솔접속하여수정된인스턴스구성을클릭합니다. 3) 구성가져오기및배포선택후확인을클릭합니다
199 4) 서버인증서항목으로이동하여비밀번호설정을클릭합니다. 5) 발급받은인증서의패스워드입력후확인클릭후닫기를클릭합니다
200 6) 인증서의정상등록을확인합니다
201 7) 홈페이지로이동후구성편집을클릭합니다. 8) HTTP Listener 항목으로이동하고새로만들기를클릭합니다
202 9) 빈칸에정보를입력후등록된인증서를선택합니다. 10) 입력한정보가맞는지확인후마침을클릭합니다
203 11) 리스너가정상적으로등록되었는지확인합니다. 12) 가상서버항목으로이동하여인증서를적용할서버를선택합니다. 13) HTTP Listener 항목에서추가를클릭합니다
204 14) 새로생성한리스너를선택합니다. 15) 정상적으로추가된리스너를확인후저장합니다
205 16) 변경된내용을배포후서버재시작을합니다. 17) 웹브라우저에서인증서확인 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
206 3.37 Weblogic 11( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 1) 또는서버 IP):7001/console 에접속하여로그인. 2) 도메인구조창에서환경 -> 서버를선택합니다
207 3) 우측구성탭에서 이테이블사용자정의 를선택. 4) 보기열에서 SSL 사용, SSL 수신포트, SSL 수신포트사용을선택하고선택한항목
208 5) 적용되었는지확인후에아래적용클릭. 6) 서버에 SSL 사용, SSL 수신포트항목들이추가된것을확인하고해당서버관리를클릭합 니다
209 7) 구성 -> 일반으로이동하여아래에 SSL 수신포트사용에체크하고 SSL 수신포트를 입력합니다. ( 설정후저장 ) 8) 키저장소탭으로이동하여키저장소변경을클릭합니다
210 9) 사용자정의 ID 및 Java 표준보안 을선택하고저장을클릭. 10) 그림을참조하여키저장소항목에맞게세팅후저장합니다. (Java 키저장소기본 패스워드 : changeit )
211 11) SSL 란으로이동하여 ID 및보안위치가키저장소인지확인하고 ID 항목을세팅하고 저장합니다.( 개인키별칭은 keystore 생성시 alias 명 ) 12) 고급탭을활성화하여 JSSE SSL 사용체크후저장합니다
212 13) 모든변경이활성화되었습니다. 를확인합니다. 이제 https//mydomain:ssl 포트 로 접속후확인. 14) 웹페이지에서의인증서확인방법 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
213 3.38 Weblogic 12( 단일도메인 & 멀티도메인 ) SSL 인증서설치가이드 1) 또는서버 IP):7001/console 에접속하여로그인. 2) 도메인구조창에서환경 -> 서버를선택합니다
214 3) 우측구성탭에서 이테이블사용자정의 를선택. 4) 보기열에서 SSL 사용, SSL 수신포트, SSL 수신포트사용선택후선택한항목란으 로이동
215 5) 적용되었는지확인후에아래적용클릭. 6) 서버에 SSL 사용, SSL 수신포트항목란들이추가된것을확인하고해당서버관리를클릭
216 7) 구성 -> 일반으로이동하여아래에 SSL 수신포트사용에체크하고 SSL 수신포트를 입력합니다. 설정후저장을선택. 8) 키저장소탭으로이동하여키저장소변경을클릭합니다
217 9) 사용자정의 ID 및 Java 표준보안 을선택하고저장을클릭. 10) 그림을참조하여키저장소항목에맞게세팅후저장합니다.(Java 키저장소기본패 스워드 : changeit)
218 11) SSL 란으로이동하여 ID 및보안위치가키저장소인지확인하고 ID 항목을세팅하고 저장합니다.( 개인키별칭은 keystore 생성시 alias 명 ) 12) 모든변경이활성화되었습니다. 를확인합니다. 이제 https//mydomain:ssl 포트 로접속후확인. 13) 웹페이지에서의인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
219 3.39 Windows Server 2003 IIS6( 싱글도메인 ) SSL 인증서설치가이드 1) 시작 모든프로그램 관리도구 인터넷정보서비스 (IIS) 관리실행합니다. 2) SSL 인증서를적용할사이트를선택후 " 속성 " 을클릭합니다. 3) 디렉토리보안탭으로이동합니다
220 4) 보안통신의서버인증서 (S) 을클릭합니다. 5) 서버인증서마법사가실행되면다음 (N) 을클릭합니다
221 6).pfx 파일에서인증서를가져옵니다를선택후다음을클릭합니다. 7) 인증서파일위치를지정하기위해찾아보기를선택합니다
222 8) 인증서파일이있는폴더로이동하여 pfx 로된확장자의인증서를선택한후열기 를클릭합니다. 9) 백업이필요할경우를위해 " 인증서를내보낼수있도록표시 " 를선택후다음을클 릭합니다
223 10) 해당인증서의암호를입력한후다음을클릭합니다. 11) SSL 포트번호를지정한후 ( 기본 443), 다음을클릭합니다
224 12) 인증서정보가맞는지확인후다음을클릭합니다. 13) 마침을클릭합니다
225 14) 인증서보기를클릭합니다. 15) 발급대상과유효기간이올바른지확인합니다
226 16) 웹페이지에서의인증서확인방법. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
227 3.40 Windows Server 2003 IIS6( 멀티도메인 ) SSL 인증서설치가이드 1) 시작 모든프로그램 관리도구 인터넷정보서비스 (IIS) 관리실행합니다. 2) SSL 인증서를적용할사이트를선택후 " 속성 " 을클릭합니다. 3) 디렉토리보안탭으로이동합니다
228 4) 보안통신의서버인증서 (S) 을클릭합니다. 5) 서버인증서마법사가실행되면다음 (N) 을클릭합니다
229 6).pfx 파일에서인증서를가져옵니다를선택후다음을클릭합니다. 7) 인증서파일위치를지정하기위해찾아보기를선택합니다
230 8) 인증서파일이있는폴더로이동하여 pfx 로된확장자의인증서를선택한후열기 를클릭합니다. 9) 백업이필요할경우를위해 " 인증서를내보낼수있도록표시 " 를선택후다음을클 릭합니다
231 10) 해당인증서의암호를입력한후다음을클릭합니다. 11) SSL 포트번호를지정한후 ( 기본 443), 다음을클릭합니다
232 12) 인증서정보가맞는지확인후다음을클릭합니다. 13) 마침을클릭합니다. * 위과정을나머지적용하셔야할사이트도동일하게진행하시되 SSL 포트는 444, 446 등다르게세팅합니다. * 만약동일하게세팅하면포트충돌이일어나서사이트가중지되시기때문에먼저포트를나누신후 Securebinding 작업으로중복포트설정을진행합니다
233 14) 적용하실사이트와매칭되는식별자번호를확인합니다. 15) cmd 창을열어서중복포트설정을합니다. [ 명령어형식 ] cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/[ 식별자 ]/SecureBindings ":443:[ 호스트헤더값 ]" [ 참고 ] 작업진행하시기전에메모장에위명령어를복사하셔서적용하실사이트들와식 별자를입력후 복사하셔서 cmd 창에서한번에적용하시는것을추천드립니다. 예 ) cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/ /securebindings ":443: cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/ /securebindings ":443: 모두복사후 cmd 창에서붙여넣기하여적용. C:\Documents and Settings\Ucert>cd \ C:\> cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/ /securebindings ":443: Microsoft (R) Windows Script Host 버전
234 Copyright (C) Microsoft Corporation All rights reserved. SecureBindings : (LIST) ":443: C:\> cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/ /securebindings ":443: Microsoft (R) Windows Script Host 버전 5.6 Copyright (C) Microsoft Corporation All rights reserved. SecureBindings : (LIST) ":443: 16) IIS 에서웹사이트선택후새로고침하여중복포트설정이되었는지확인합니다. 17) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
235 3.41 Windows Server 2008 IIS7( 싱글도메인 ) SSL 인증서설치가이드 1) [ 시작 ] > [ 관리도구 ] > [IIS( 인터넷정보서비스 ) 관리자 ] 를실행합니다.( 서버클릭 ) 2) 서버인증서를더블클릭 > 마우스오른쪽 > 가져오기를선택합니다
236 3) 인증서파일을찾은후암호를입력합니다
237 4) 다음과같이인증서가추가된내용을확인합니다. 5) SSL 인증서를설치할웹사이트목록의마우스오른쪽을클릭후바인딩편집을선택합 니다
238 6) 추가를클릭하여 SSL 서비스를클릭합니다. 7) https 선택 -> 인증서를선택합니다. 8) 추가된설정확인후닫기를클릭합니다
239 9) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
240 3.42 Windows Server 2008 IIS7( 멀티도메인 ) SSL 인증서설치가이드 1) [ 시작 ] > [ 관리도구 ] > [IIS( 인터넷정보서비스 ) 관리자 ] 를실행합니다.( 서버클릭 ) 2) 서버인증서를더블클릭 > 마우스오른쪽 > 가져오기를선택합니다
241 3) 인증서파일을찾은후암호를입력합니다
242 4) 다음과같이인증서가추가된내용을확인합니다. 5) SSL 인증서를설치할웹사이트목록의마우스오른쪽을클릭후바인딩편집을선택합 니다
243 6) 추가를클릭하여 SSL 서비스를클릭합니다. 7) https 선택 -> 인증서를선택합니다. 8) 추가된설정확인후닫기를클릭합니다
244 9) 추가도메인에포트가중복되지않게임의의포트로인증서바인딩합니다. 10) 관리자권한으로 CMD 창실행 - 명령어를통하여시큐어바인딩실행. - C:\Windows\System32\inetsrv 이동 - 명령어형식 appcmd set site /site.name:" 이름 " /+bindings.[protocol='https',bindinginformation='*:443: 도메인 ']
245 11) 443 포트로바인딩완료. 12) 바인딩메뉴에서임의포트제거
246 13) 처음세팅한도메인의 443 포트의경우아래와같이남게해야합니다. 14) 작업후사이트목록. 15) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
247 3.43 Windows Server 2012 IIS8( 싱글도메인 ) SSL 인증서설치가이드 1) 시작 -> 앱 -> 관리도구 -> IIS 관리자를실행후서버를클릭합니다. 2) 서버인증서가져오기를선택합니다
248 3) 인증서파일경로를지정한후암호를입력합니다. 4) 다음과같이인증서가추가된내용을확인합니다
249 5) 작업할도메인클릭후바인딩선택. 6) 추가클릭
250 7) 설정및포트확인. 8) 보기로인증서확인
251 9) 확인을누르고포트확인. 10) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
252 3.44 Windows Server 2012 IIS8( 멀티도메인 ) SSL 인증서설치가이드 1) 시작 -> 앱 -> 관리도구 -> IIS 관리자를실행후서버를클릭합니다. 2) 서버인증서가져오기를선택합니다
253 3) 인증서파일경로를지정한후암호를입력합니다. 4) 다음과같이인증서가추가된내용을확인합니다
254 5) 작업할도메인클릭후바인딩선택. 6) 추가클릭
255 7) 설정및포트확인. * 멀티인증서는호스트이름과서버이름표시필요를체크해야함 8) 보기로인증서확인
256 9) 확인을누르고포트확인. 10) 임의의작업할도메인클릭후바인딩선택. ( 위방법과동일하게진행.)
257 11) 웹브라우저에서인증서확인. 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다
258 III. 웹페이지암호화통신소스수정방법및 적용확인방법 1. 전체페이지암호화하기 2. 페이지별암호화하기 3. 프레임별암호화하기 4. 보안서버암호화통신확인방법
259 III. 웹페이지암호화통신소스수정방법및적용확인방법 본절에서는인증서발급과설치완료후, 웹사이트의개인정보를취급하는부분인게시판, 회원가입, 로그인, 회원정보페이지등의웹사이트전체혹은일부를암호화방법을소개하겠 습니다. 암호화통신을하기위해보안프로토콜을호출하는방법은공통으로 HTML 언어를사용하 기때문에암호화통신에있어서특정 OS 나특정 Program 언어에의존하지않습니다. 1. 전체페이지암호화하기 전체페이지암호화는 https 프로토콜 URL으로페이지가열리도록 https 프로토콜호출하는방법과리다이랙션 (Redirection) 설정하는방법이있습니다. 전체페이지암호화방식은간단한소스수정을통해적용이가능하나암호화적용이필요없는부분까지암호화되기때문에암호화방식에비해서버에부하를줄수있습니다. 1) https 프로토콜호출하기 페이지를호출하는구간을 에서 로수정해주면됩니다. Html 의기본태그인 a 태그의속성중하나인연결속성 href 를사용하여 hrrps:// 로통신하는방법은닫음과같습니다. [ 수정전 ] <a href= ></a> [ 수정후 ] <a href= ></a> 2) 리다이렉션 (Redirection) 설정 암호화통신을위해서는 통신이필요하기때문에강제로주소를변경해야합니다. 리다이렉션이란사용자의위치를지정한위치로이동시키는기능을말하며, 또는 ucert.co.kr 로접근하였을경우웹브라우저는 또는 로통신할수있습니다
260 [Apache] <VirtualHost test.co.kr:80> ServerName test.co.kr DocumentRoot /home/test.co.kr ServerAlias Redirect / </VirtualHost> 3) Meta tag 를이용한방법 Meta tag 를사용하면 OS 나 Program 언어의종류에상관없이적용가능합니다. http-equiv 에서자원하는 refresh 속성을이용하여페이지를설정한 URL 로새로고침, 이동할수있습니다. <meta http-equiv- refresh content- 0; url- target- _top > 해당태그를사이트접속첫페에지에작성하면사용자가 를입력하지않아도 로 리다이렉션됩니다
261 2. 페이지별암호화하기 현재위치한페이지에서다른페이지로이동할경우, 함께전달할정보를암호화하여전당할것인지아니면일반적으로전달을할것인지선택하여암호화할수있다. 각페이지별적용이가능하고, 전체암호화와달리원하는페이지만적용할수있어, 서버의부하를줄일수있으며, 기존소스에참조되어있는 연결오류를최소화할수있습니다. 아래의소스를통해버튼을클릭하는액션후페이지가암호화되어이동하는방법을알아 보겠습니다. <script> function isubmit(){ myform.action = " return true; } </script> <button onclick="isubmit();"> 확인 </button> 위에서설명한전체암호화를하면발생할수있는오류를보여드리겠습니다
262 해당오류를개발자페이지에서확인가능하며, 에서넘어온정보를처리후 로통신하면해당오류가사라지는것을확인할수있습니다. 위오류는홈페이지작동에치명적인위험이되는오류는아니나, 간혹브라우저에따라오류메시지를보여주는곳이있으니, 로참조된링크가많은경우페이지별암호화가효과적입니다. 만일외부페이지를참조하는것이아닌해당사이트내의링크를참조한다면상대경로를 통해작성한다면해당오류는나타나지않습니다. 상대경로와절대경로예시 1) 상대경로작업디렉토리를기준으로상대적인위치를가리키는경로. <script> function isubmit(){ myform.action = "../index.html"; return true; } </script> 2) 절대경로작업중인디렉토리와관계없이절대적인위치를가리키는경로. <script> function isubmit(){ myform.action = " return true; } </script>
263 3. 프레임별암호화하기 HTML 문서내에다른 HTML 문서를보여주는내부프레임 (inline frame) 태그. 즉웹문서 중간에다른웹문서나텍스트파일과같은내용을원하는크기로불러들여보여주는태그입 니다. 에서작성된페이지는 프레임을호출할수없으며, 단순히 에서 로변경하여암호화할수없습니다. 홈페이지에서 프레임을연결했을경우 <!DOCTYPE html> <html> <body> <iframe width="560" height="315" src=" frameborder="0" allowfullscreen> </iframe> </body> </html> 홈페이지에서 프레임을연결했을경우 <!DOCTYPE html> <html> <body> <iframe width="560" height="315" src=" frameborder="0" allowfullscreen> </iframe> </body> </html>
264 4. 보안서버암호화통신확인방법 1) 패킷확인패킷이란데이터를전송하는단위로분할된패킷에는목적지의인터넷주소가기록됩니다. 패킷의정보를확인하여암호화통신의유무를알수있습니다. 암호화통신을하고있지않은경우다음과같이전달하는정보가그대로노출되는것을확인할수있습니다. [HTTP 통신 ] [HTTS 통신 ]
265 2) 웹페이지속성확인웹페이지의속성을확인하면암호화통신여부를알수있습니다. 인증서가적용된경우주소가 로보여지며, 인증서버튼을클릭하여인증서정보를확인할수있습니다. [ 익스플로러속성확인방법 : 마우스오른쪽버튼 > 속성 ] [ 크롬속성확인방법 : 개발자도구 (f12 또는마우스오른쪽버튼 > 검사 ) 에서 Security 선택 ]
266 IV. 오류발생시대처방법 1. 인증서오류관련 2. 웹페이지오류관련 3. 웹서버오류관련
267 1. 인증서오류관련 1) 인증서를발급받은웹사이트주소와실제로접속한사이트주소가다른경우 보안서버인증서의경우도메인주소기준으로인증서를발급받게됩니다. 해당오류는 인증서를발급받은도메인주소와구축한도메인주소가다르거나실제보안서버가구 축된주소와실제로접속한주소가다른경우에해당오류가발생합니다. 2) 인증서가유효하지않은경우 - 인증서가만료되었을경우 ( 인증서갱신필요 ) - 사용자 PC 의날짜가잘못설정되어있는경우 (PC 시간을표준시간으로설정 )
268 3) 브라우저가웹서버인증서를신뢰할수없는경우 보안서버인증서를발급한 CA( 인증기관 ) 의중개인증서를웹브라우저가인식하지못하면서나타나는경우이며, 일반적으로브라우저에는기본적으로신뢰할수있는인증기관의중개인증서가내장되어있지만개인 PC문제로삭제되었거나또는웹서버에서자체적으로생성한사설인증서를사용하는경우가장많이발생하는문제입니다
269 2. 웹페이지오류관련 1) 보안된항목 https 와보안되지않은항목 http 를모두포함하는경우 Https와 http를모두포함하고있어나타나는문제입니다. 를이용해서암호화통신을하고자하는페이지의소스에 를이용하여호출하는이미지등이존재할때보안경고창이나타나며, 만일외부페이지를참조하는것이아닌해당사이트내의링크를참조한다면상대경로를통해작성하여해당오류를해결할수있습니다. 상대경로와절대경로예시 1) 상대경로작업디렉토리를기준으로상대적인위치를가리키는경로. <script> function isubmit(){ myform.action = "../index.html"; return true; } </script> 2) 절대경로작업중인디렉토리와관계없이절대적인위치를가리키는경로. <script> function isubmit(){ myform.action = " return true; } </script> 2) 개인정보를취급하는구간에보안서버를구축했음에도경고창이발생하는경우 구글 (Google) 크롬 (Chrome) 과모질라 (Mozilla) 파이어폭스 (Firefox) 는 2017년부터 HTTPS 암호화통신을적용하지않는웹사이트페이지에경고메시지를띄운다. 최근배포된크롬56 및파이어폭스51에적용된변화다. 크롬 56과파이어폭스51 브라우저는이제 HTTPS 암호화접속을기본으로간주해이를적용하지않는웹사이트에대해서더이상보안에대해중립적으로표시하지않습니다. 비보안 (HTTP) 연결상태에서크롬은 Not Secure 문구가추가되고파이어폭스는자물쇠아이콘과함께경고메시지를나타냅니다
270 이전과는달리평범한웹사이트라할지라도 HTTPS를적용하지않으면브라우저상에경고메시지가표시되어방문자들은불안을느낄수밖에없다. 이러한방문자들의불안심리는온라인사업자에게있어매출에큰영향을끼치는중대한문제가된다. 이제는시각적으로웹사이트의안전성을표기하기때문에방문자들의이탈을방지하기위해선 HTTPS 적용이필수가될전망입니다. 위와같이 안전하지않음 표시가나타납니다. 개인정보가포함되지않은 HTTP 페이지에도 i 를클릭할경우 이사이트에대한연결은 안전하지않습니다. 경고창발생 기존에일부개인정보를취급하는구간에만 HTTPS통신을적용하던웹사이트의경우접속과동시에모든페이지에서 HTTPS통신을할수있도록웹서버상에서리다이렉션 (HTTP로접속시->HTTPS로연결 ) 처리또는도메인포워딩서비스신청필요함. 개인정보를전혀취급하지않는웹사이트도 HTTPS통신이가능하도록설치필요함
271 3. 웹서버오류관련 1) 운영중인웹서버를같은기종으로변경하는경우 기존에사용하던개인키와인증서를복사하여재설치가가능합니다. 만약기존에사용 하던개인키및인증서분실시에는보안서버인증서발급업체에문의하여재발급받은 뒤교체작업을진행하면됩니다. 2) 운영중인웹서버를다른기종으로변경하는경우 기존에사용하던개인키와인증서를변경되는웹서버에서호환하는확장자형태로변환하여사용이가능하며, 직접변환이어려울때는보안서버인증서발급업체에요청하여변경되는웹서버에호환되는확장자형태로전달받아교체작업을진행하시면됩니다. 3) 운영중인웹서버에서취약한프로토콜을사용하는경우 주요브라우저에서보안이취약한 SSL3 프로토콜을더이상지원하지않거나경고창을 나타내게되면서취약한프로콜로통신하는웹서버는아래와같이접속오류가발생함. 해당문제는취약한프로토콜로통신이되지않도록웹서버상에서취약한프로토콜을 차단하여해결가능함
272 V. 웹사이트운영 관리상유의사항 1. 인증서의유효성확보 2. 보안경고창발생 3. SSL Ciphersuite 취약성해결방안
273 1. 인증서유효성의확보 SSL보안서버인증서는설치오류, 인증서유효기간의적정성, 인증서발급대상의일치성등에문제가있을때브라우저에서사용자들에게 해당웹사이트의보안인증서에문제가있음 을경고하며, 사용자들에게사용하는웹사이트가안전하지않다는심리적불안감을주어신뢰도를하락시키게됩니다. 따라서보안서버를구축하고관리할때아래 3가지문제로인해경고창이발생하지않도록각별히신경써야합니다. 1) 인증서발급기관의신뢰성여부 브라우저에해당인증기관의중개인증서가저장되어있지않아서이를발급한인증기관 을신뢰할수없는경우 2) 인증서유효기간의적정성여부 발급된인증서의유효기간이만료되었거나아직유효하지않은경우 3) 인증서발급대상과설치된웹사이트와의일치성여부 인증서에명시된발급대상도메인과실제로설치된웹사이트도메인이일치하지않는 경우 4) 해결방안 SSL 인증서발급시다음사항을점검한다. 1주요웹브라우저에서신뢰기관으로등록된인증기관에서발급된인증서인지여부 2 SSL 인증서내도메인명과웹사이트명이일치하는지여부 3 SSL 인증서내유효기간이정확한지여부 보안서버구축후다음사항을점검한다. 1 내 외부네트워크에서웹사이트를접속하여보안경고창이발생하는지확인한다. 2 IE, 파이어폭스, 사파리등주요웹브라우저에서보안경고창이발생하는지확인한다
274 2. 보안경고창발생 해커가사용자 PC와보안서버의중간에서프록시서버를통해 MITM(Man in the Middle) 공격을할경우, 임의로발급한 SSL 인증서를사용함으로사용자 PC에보안경고창이발생하게됩니다. 따라서보안경고창은사용자가해킹을인지할수있는수단으로널리인지되어있으며, 사용자가웹사이트이용시정보보호를위한기본적으로확인해야하는사항입니다. 특히아래경고문구가발생되고있지않은지필수적으로확인이필요합니다
275 3. SSL Ciphersuite 취약성해결방안 현재대부분의브라우저에서는 TLS 프로토콜사용을권장하고있으며, SSL3 이하의프로토 콜을사용할경우브라우저에서접속을차단하여웹사이트에접속시오류경고창을나타 내고있습니다. 이러한브라우저정책과보안적이슈에대응하기위해지금부터웹서버상에서취약한프 로토콜을차단하는방법을웹서버종류별로안내드리겠습니다. 3.1 Apache SSL Protocol 및 cipher 설정 1) ($HOME_BASE/conf/httpd-ssl.conf 를열어아래와같이설정. SSLProtocol ALL -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.1 +TLSv1 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES 256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256: kedh+aesgcm:ecdhe-rsa-aes128-sha256:ecdhe-ecdsa-aes128-sha256:ecdhe-rsa -AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AE S256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SH A256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AE S256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aE CDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RS A-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DH E-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMEL LIA128-SHA:!DHE-RSA-CAMELLIA256-SHA
276 SSLProtocol ALL -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.1 +TLSv1 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES 256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256: kedh+aesgcm:ecdhe-rsa-aes128-sha256:ecdhe-ecdsa-aes128-sha256:ecdhe-rsa -AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AE S256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SH A256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AE S256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aE CDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RS A-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DH E-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMEL LIA128-SHA:!DHE-RSA-CAMELLIA256-SHA 2) Apache 프로세스재시작. 3) 재시작후프로토콜활성화확인. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 -> tls1.0 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1_1 -> tls1.1 프로토콜통신 확인
277 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
278 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
279 3.2 IHS SSL Protocol 및 cipher 설정 1) $HOME_BASE/conf/httpd.conf 를열어아래와같이설정. SSLEnable SSLProtocolDisable SSLv2 SSLv3 SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA SSLCipherSpec SSL_RSA_WITH_DES_CBC_SHA 2) IHS 를재기동합니다. 3) 서버재구동후프로토콜활성화를확인합니다. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 -> tls1.0 프로토콜통신 확인
280 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1_1 -> tls1.1 프로토콜통신 확인 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
281 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
282
283 3.3 IHS 2.0 SSL Protocol 및 cipher 설정 1) $HOME_BASE/conf/httpd.conf 를열어아래와같이설정. SSLEnable SSLProtocolDisable SSLv2 SSLv3 SSLFIPSEnable SSLFIPSEnable 지시문은 FIPS(Federal Information Processing Standards) 를 사용가능하게합니다. HTTP 서버에따라사용가능한알고리즘을제약합니다. 2) IHS 를재기동합니다. 3) 서버재구동후프로토콜활성화를확인합니다. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 -> tls1.0 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1_1 -> tls1.1 프로토콜통신 확인 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl
284 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
285 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
286 3.4 Nginx SSL Protocol 및 cipher 설정 1) $HOME_BASE/conf/nginx.conf 를열어아래와같이설정. ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA +SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+ arsa+aesgcm:edh+arsa+sha256:edh+arsa:eecdh:!anull:!enull:!medium:!low:!3 DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED"; 2) Nginx 를재기동합니다. 3) 서버재구동후프로토콜활성화를확인합니다. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 -> tls1.0 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1_1 -> tls1.1 프로토콜통신 확인 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl
287 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
288 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
289 3.5 Nginx 2.0 SSL Protocol 및 cipher 설정 1) ($HOME_BASE/conf/nginx.conf 를열어아래와같이설정. ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA +SHA256: RSA+3DES:RSA+AES256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+ SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!ME DIUM:!LOW:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED"; 2) Nginx 를재기동합니다. 3) 서버재구동후프로토콜활성화를확인합니다. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 -> tls1.0 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1_1 -> tls1.1 프로토콜통신 확인
290 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
291 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls1 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
292 3.6 Tomcat SSL Protocol 및 cipher 설정 1) ($HOME_BASE/conf/server.xml 를열어아래와같이설정합니다. ciphers="tls_ecdhe_ecdsa_with_aes_128_cbc_sha256,tls_ecdhe_rsa_with_aes_12 8_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_S HA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_ WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DE S_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" ciphers 설정은공통구문옵션입니다. SSLProtocols 톰캣버전별설정구문 & 옵션 (TLS 프로토콜활성화 ) : TLS 1.2 & TLS 1.1 프로토콜은톰캣버전상관없이 JAVA 1.7.x 버전이상이필요함. Tomcat 5 and 6 (prior to ) <Connector port="8443" protocol="org.apache.coyote.http11.http11protocol" maxthreads="150" SSLEnabled="true" scheme="https" secure="true" clientauth="false" sslprotocols = "TLS" /> Tomcat 6 ( and later) and 7 <Connector port="8443" protocol="org.apache.coyote.http11.http11protocol" maxthreads="150" SSLEnabled="true" scheme="https" secure="true" clientauth="false" sslenabledprotocols = "TLSv1,TLSv1.1,TLSv1.2" /> 2) Tomcat 프로세스재시작
293 3) Tomcat 프로세스재시작. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -> sslv3 프로토콜통신 확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 -> sslv2 프로토콜통신 확인 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl
294 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl
295 3.7 Weblogic SSL Protocol 및 cipher 설정 1) Java 설치폴더를확인하여들어간다. 2) je-lib 파일안에 security 폴더확인
296 3) 폴더안에 local_policy.jar, US_export_policy.jar 파일확인후폴더를생성하고백업 을진행
297 4) Jre_policy-6 폴더의파일압축해제후 security 폴더에 local_policy.jar, US_export_policy.jar 를복사. ( )
298 5) jdk160_29/bin 폴더의 java 재실행. 6) config 폴더의 config.xml 파일을백업을진행한다
299 7) Config.xml 에내용에프로토콜을추가해주도록한다. <ciphersuite>tls_rsa_with_aes_256_cbc_sha </ciphersuite> <ciphersuite>tls_rsa_with_aes_128_cbc_sha </ciphersuite> <ciphersuite>tls_rsa_with_3des_ede_cbc_sha </ciphersuite> <ciphersuite>tls_rsa_with_des_cbc_sha</ciphersuite>
300 <ciphersuite>tls_dhe_dss_with_des_cbc_sha </ciphersuite> 8) 웹로직을재시작한다
301 3.8 OHS SSL Protocol 및 cipher 설정 1) ($HOME_BASE)/ssl.conf 를열어아래와같이설정합니다. SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES 256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256: DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-EC DSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA- AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA- AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256: DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-S HA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA: AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH- DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLProtocol ALL -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.1 +TLSv1 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES 256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256: kedh+aesgcm:ecdhe-rsa-aes128-sha256:ecdhe-ecdsa-aes128-sha256:ecdhe-rsa -AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AE S256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SH A256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AE S256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aE CDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RS A-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DH
302 E-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMEL LIA128-SHA:!DHE-RSA-CAMELLIA256-SHA 2) OHS 를재기동합니다. 3) 서버재구동후프로토콜활성화를확인합니다. -확인명령어 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl2 - - sslv2 프로토콜통신확인 --sslv2 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 ssl
303 -- sslv3 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 -ssl3 --tls1.0 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
304 --tls1.1 프로토콜통신확인 openssl s_client -connect [ 해당 IP 및도메인 ]:443 tls
305 3.9 IIS SSL Protocol 및 cipher 설정 1) 레지스트리편집기사용방법.(SSL 3.0 프로토콜사용제한 ) " 시작 " 을클릭하고 " 실행 " 을클릭한다음 regedit 를타이핑한후 " 확인 " 을클릭한다. 레지스트리편집기에서다음레지스트리키로이동한다 HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL \Protocols\SSL 3.0 항목에없으면생성한다. [Protocols] 항목에서 우클릭 새로만들기 키 생성된항목이름변경 [SSL 3.0] [SSL 2.0] 프로토콜별하위경로에동일하게키생성 [Client] [Server] 해당경로에서 편집메뉴 - " 새로만들기 " 를클릭한다. 목록에서 DWORD(32 비트 ) 를클릭한다. " 값이름 " 박스에 "Enabled" 으로수정한다. 새로운키의값을 "0" 으로설정하기위해이진편집기에 을타이핑한다. " 확인 " 을클릭하고컴퓨터를재시작한다
306 2) 레지스터추가후서버재부팅. 3) SSL 알고리즘설정.( 실행 > gpedit.msc 입력 > 확인.)
307 3) 관리템플릿 > 네트워크 > SSL 구성설정
Apache( 단일도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음
More informationApache( 멀티도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl [root@localhost httpd]# cp
More informationApache( 멀티도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음
More informationApache( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 멀티도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음
More informationApache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 단일도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost httpd]# mkdir conf.d/ssl_new [root@localhost httpd]#
More information1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$Apache] = Apache 디렉토리. 소스버전의경우 Apache]# mkdir conf/ssl Apache]# cp
Apache( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$Apache] = Apache 디렉토리. 소스버전의경우 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]#
More informationApache( 단일도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. 설명 : [$Apache] = Apache 디렉토리. 소스버전의경우 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]#
More information1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음 ] -> 확인경로에설
Apache( 멀티도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음
More informationApache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 단일도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음
More informationApache( 멀티도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Apache( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. 설명 : [$Apache] = Apache 디렉토리. 소스버전의경우 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]#
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More information목차 1. 사전준비 mod_ssl OpenSSL 인증서파일 2. 주의사항 신규및갱신구분 CSR 직접생성여부 3. 인증서설치 httpd.conf 설정 httpd-ssl.conf 설정 갱신설치 서비스재시작 4. 확인및테스트 서비스구동확인 네트워크상태확인 방화벽확인 실제브라
APACHE INSTALL GUIDE 1.3.X VERSION -ANYCERT- 목차 1. 사전준비 mod_ssl OpenSSL 인증서파일 2. 주의사항 신규및갱신구분 CSR 직접생성여부 3. 인증서설치 httpd.conf 설정 httpd-ssl.conf 설정 갱신설치 서비스재시작 4. 확인및테스트 서비스구동확인 네트워크상태확인 방화벽확인 실제브라우저테스트
More information4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY
키생성및 CSR 생성 키생성을위해 OpenSSL 설치디렉토리에서아래명령대로생성 1. 랜덤넘버생성 $ openssl md5 * > rand.dat 2. 키쌍생성 openssl genrsa -rand rand.cat -des3 1024 > key.pem 3. 생성된키쌍을이용하여 CSR 생성 openssl req -new -key key.pem > csr.pem
More informationWebtob( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201
Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 멀티및와일드인증서의경우포트번호를동일하게설정이가능하다. (https 통신으로 443 으로통일가능 ) 1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. [root@localhost New]$ cp star.ucert.co.kr* /webtob/ssl
More informationApache install guide
APACHE INSTALL GUIDE 2.X.X VERSION INAMES CO. LTD. 목차 1. 사전준비 mod_ssl OpenSSL 인증서파일 4. 확인및테스트 서비스구동확인 네트워크상태확인 방화벽확인 실제브라우저테스트 2. 주의사항 신규및갱신구분 CSR 직접생성여부 5. 이슈 *:80 443 포트 VirtualHost 대상 Error_log 3. 인증서설치
More informationuntitled
보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.
More informationuntitled
보안서버구축가이드 20 8 이제 SSL 인증서의설치가완료되었습니다. Ⅵ장으로이동하셔서실제웹페이지를어떻게수정해야하는지알아보겠습니다. 2.2 Apache 서버에서보안서버구축하기 가. Apache 서버에 OpenSSL 과 mod_ssl 의설치방법 Apache 서버에서 SSL 통신을가능하게하기위해서는 OpenSSL과 mod_ssl이필요합니다. 우선, 현재서비스중인
More informationTomcat 4.x 웹서버에 J2SE 를설치를확인합니다. java -version java version "1.4.2_05" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-b04) Java HotSp
Tomcat (4.x, 5.x 공통 ) CSR(Certificate Signing Request) 생성 Tomcat 4.x, 5.x 웹서버를사용하시는경우에는 SSL 환경설정이필요합니다. SSL 환경설정은 JSSE(Java Secure Socket Extension) 1.0.2 ( 또는이후버전 ) 패키지가웹서버에설치되어야합니다. 그리고 Tomcat 4.x, 5.x
More informationApacheWebServer.hwp
Apache Web Server SSL 설정방법 - Ver 1.0-2008. 5 개정이력 버전개정일개정내용 Ver 1.0 2008 년 5 월 Apache Web Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. Apache 서버에 OpenSSL
More informationApache를 이용한 CSR 생성방법
멀티도메인 CSR( 인증신청서 ) 생성및 CRT( 인증서 ) 적용방법 멀티도메인의경우단일도메인과유사한설정으로이루어지며대표도메인의개인키와인증서, CA root인증서파일을다른도메인에도동일하게적용을시키는방식이며인증서파일에멀티도메인으로신청한도메인키값이모두포함되어있습니다. nextline.co.kr 을대표도메인으로한 www.nextline.co.kr 2개도메인의 CSR생성과
More information4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY
키생성및 CSR 생성 키생성을위해 OpenSSL 설치디렉토리에서아래명령대로생성 1. 랜덤넘버생성 $ openssl md5 * > rand.dat 2. 키쌍생성 openssl genrsa -rand rand.cat -des3 1024 > key.pem 3. 생성된키쌍을이용하여 CSR 생성 openssl req -new -key key.pem > csr.pem
More informationPowerPoint 프레젠테이션
2017 년보안서버구축교육 2017. 11 보안서버 종류 - 웹브라우저와웹서버간송 수신하는데이터를암호화하여전송하는기능이구축되어있는서버 ( 웹사이트 ) - SSL(Security Socket Layer) 방식 - 어플리케이션 (API) 방식 (= 인증서처리프로그램 ) 보안서버구축효과 - 정보유출방지 - 송 수신데이터암호화로개인정보노출방지 보안서버구축효과 데이터위변조방지
More informationSSL인증서 설치 매뉴얼 (Apache)
SSL 인증서설치매뉴얼 (Apache) 백업된인증서설치 본문서에안내된버전이외의다른버전을사용하시는경우안내내용과차이가있을수있습니다. 본문서는기본적인참고용자료이며, 구성환경에따라안내내용과차이가있을수있습니다. 본문서는서버담당자를기준으로작성되었습니다. 웹서버인증서를설치할서버담당자에게전달하여주시기바랍니다. ** 인증서설치전확인사항 ** 인증서설치시 SSL 관련설정은기존
More information멀티 & 와일드 1. OHS 인증서설치 * $ORACLE_HOME/opmn/conf/opmn.xml 파일확인하기 default]$ vi /App/UCERT/opmn/conf/opmn.conf <ias-component id="http_serve
Oracle HTTP Server ( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 멀티 & 와일드 1. OHS 인증서설치 * $ORACLE_HOME/opmn/conf/opmn.xml
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More informationMicrosoft Word - SSL_apache.doc
8 이제 SSL 인증서의설치가완료되었습니다. Ⅵ 장으로이동하셔서실제웹페이지를어떻게수정해야하는지알아보겠습니다. 2.2 Apache 서버에서보안서버구축하기 가. Apache 서버에 OpenSSL 과 mod_ssl 의설치방법 Apache 서버에서 SSL 통신을가능하게하기위해서는 OpenSSL 과 mod_ssl 이필요합니다. 우선, 현재서비스중인 Apache 서버에
More information1. OHS 인증서설치 * $ORACLE_HOME/opmn/conf/opmn.xml 파일확인하기 default]$ vi /App/UCERT/opmn/conf/opmn.conf <ias-component id="http_server"> <proc
Oracle HTTP Server ( 단일도메인 ) SSL 인증서신규설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375 1. OHS 인증서설치 * $ORACLE_HOME/opmn/conf/opmn.xml 파일확인하기
More information- 1 - 1.. SSL SSL PC (S/W) PC. SSL., SSL. 웹상에서송 수신되는개인정보의대표적예시 1 웹사이트로그인시 ID/ 패스워드 2 웹사이트회원가입시이름 / 주민등록번호 / 전화번호 3 인터넷뱅킹이용시계좌번호 / 계좌비밀번호등 2. 1) (sniffing) (, PC, ) PC, (sniffing tool).. 2) (Phishing) (phishing).
More information정적으로 설치된 mod_ssl 모듈확인 동적으로 설치된 mod_ssl 모듈확인 웹서버에 설치된 모듈중 mod_so.c 를 먼저 확인후 동적으로 설치된 모듈중 mod_ssl.so 를 확인합니다. 동적으로 설치된 경우 apache 설치 디렉토리의 module 이나 libe
Apache 설치방법 보기 Apache 웹서버에 SSL를 적용하기 위해 아래 두 항목이 웹서버에 설치되어 있어야 합니다. Openssl 암호화 라이브러리 Mod_ssl 모듈 위 두 항목이 웹서버에 설치되어 있다면 개인키를 생성하고 생성된 개인키를 바탕으로 CSR 파일을 생성합니다. 생성된 CSR 파일을 한비로에 접수하여 정식 인증서를 발급받습니다. 발급된 인증서를
More information개정이력 버전 개정일 개정내용 Ver 년 5월 Apache Web Server SSL 설명서최초작성 Ver 년 1월 인증서갱신방법, 다중 SSL 서버설정방법추가 Ver 년 12월 암호체계고도화관련키길이변경 (2,048bit)
Apache HTTP Server SSL 설정방법 - Ver 1.4-2015. 2 개정이력 버전 개정일 개정내용 Ver 1.0 2008년 5월 Apache Web Server SSL 설명서최초작성 Ver 1.1 2009년 1월 인증서갱신방법, 다중 SSL 서버설정방법추가 Ver 1.2 2011년 12월 암호체계고도화관련키길이변경 (2,048bit) Ver 1.3
More informationTomcat.hwp
Tomcat Web Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 Tomcat Web Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법 1 2.
More informationApache 설치방법보기 Apache 웹서버에 SSL 를적용하기위해아래두항목이웹서버에설치되어있어야합니다. - Openssl 암호화라이브러리 - Mod_ssl 모듈 위두항목이웹서버에설치되어있다면개인키를생성하고생성된개인키를바탕으로 CSR 파일을생성합니다. 생성된 CSR 파
Apache 설치방법보기 Apache 웹서버에 SSL 를적용하기위해아래두항목이웹서버에설치되어있어야합니다. - Openssl 암호화라이브러리 - Mod_ssl 모듈 위두항목이웹서버에설치되어있다면개인키를생성하고생성된개인키를바탕으로 CSR 파일을생성합니다. 생성된 CSR 파일을아이네트호스팅에접수하여정식인증서를발급받습니다. 발급된인증서를웹서버에설치하게되면 SSL 설정을완료하게됩니다.
More informationPowerPoint 프레젠테이션
자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 - 3 SSL 인증서설치 4 SSL 인증서설치확인 5 SSL 암호화통신적용예제 - SSL 설치주의사항및자주발생하는설치중오류 - 3 - 3 SSL 인증서설치 발급된인증서메일로수신 ( 인증서신청시기입한기술담당자에게메일로발송 )
More informationWebtoB.hwp
WebtoB Web Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 WebtoB Web Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법 4 2.
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information2. 개인키권한설정 보안경고개인키의유출방지를위해 group 과 other 의 permission 을모두제거한다. chmod 600 /etc/pki/tls/private/lesstif-rootca.key 3. CSR(Certificate Signing Request) 생
OpenSSL 로 ROOT CA 생성및 SSL 인증서발급 개요 Self Signed Certificate(SSC) 란? CSR(Certificate Signing Request) 은? ROOT CA 인증서생성 SSL 인증서생성 apache httpd 에 SSL 적용같이보기 개요 웹서비스에 https 를적용할경우 SSL 인증서를 VeriSign 이나 Thawte,
More informationClick to edit Master title style
보안서버구축사례 한국전자인증 VCS(Validation & Certificate Services) Team Index I. 보안서버의정의 II. III. IV. 보안서버의필요성 보안서버의종류 보안서버발급프로세스 V. 보안서버구축방법및예시 Appendix1. 보안서버관련법규 Appendix2. 보안서버 Q&A 2 1 + 보안서버의정의 3 2 I-1. 보안서버의정의
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information초기설정 WebtoB Web Server 에서인증서를사용하기위해 CSR 을생성하는방법입니다. 1. 초기설정 - CSR 을생성하기전에다음의몇가지사항을필히확인합니다. 부팅후 Path 나환경변수를일일이설정하지않게초기설정파일을사용하여로그인시자동으로실행되도록하고있습니다. 그러나
초기설정 WebtoB Web Server 에서인증서를사용하기위해 CSR 을생성하는방법입니다. 1. 초기설정 - CSR 을생성하기전에다음의몇가지사항을필히확인합니다. 부팅후 Path 나환경변수를일일이설정하지않게초기설정파일을사용하여로그인시자동으로실행되도록하고있습니다. 그러나간혹초기설정파일이실행되지않아서에러가생기는경우가있는데이럴경우에초기설정파일을다시한번실행시켜야합니다.
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information슬라이드 1
- 1 - 전자정부모바일표준프레임워크실습 LAB 개발환경 실습목차 LAB 1-1 모바일프로젝트생성실습 LAB 1-2 모바일사이트템플릿프로젝트생성실습 LAB 1-3 모바일공통컴포넌트생성및조립도구실습 - 2 - LAB 1-1 모바일프로젝트생성실습 (1/2) Step 1-1-01. 구현도구에서 egovframe>start>new Mobile Project 메뉴를선택한다.
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationPowerPoint 프레젠테이션
당사로부터 JKS 형태로인증서를받으셨다면 13Page 부터진행하시면됩니다. 자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 - 3 SSL 인증서설치 4 SSL 인증서설치확인 5 SSL 암호화통신적용예제 - SSL 설치주의사항및자주발생하는설치중오류 - 3 - 3 SSL 인증서설치
More information기술교육 SSL 설정및변환방법
SSL 설정및변환방법 2014. 03. 10 목차 WebtoB에서의 SSL 설정방법... 3 1. WebtoB 에서의 SSL 인증서발급절차... 3 1.1 openssl사용... 3 1.1.1 newreq.pem 파일설명... 3 1.1.2 인증기관에 CSR파일전송... 4 1.1.3 p7b파일변환... 4 1.2 WebtoB의환경설정... 5 1.2.1 http.m
More information작성자 기술지원부 김 삼 수
작성자기술지원부김삼수 kiss@nextline.net 보안서버 SSL 보안서버 SSL 이란 Secure Sockets Layer 의머리글로서웹서버인증, 서버인증이라고도합니다. 브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있게해주는보안솔루션으로벌써수백만의사이트운영자에의해사용되어지고있습니다. 전세계적인표준보안기술은 1994년
More informationPowerPoint 프레젠테이션
자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 - 1 SSL 인증서 2 SSL 사이트인증서설치 3 중개 / 루트인증서설치 4 시큐어바인딩설정 5 SSL 인증서설치확인 - SSL 설치주의사항및자주발생하는설치중오류 - 3 - 1 SSL 인증서 웹서버환경에따라아래에구성으로전달됨
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More information1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder Service - efolder
Embian efolder 설치가이드 efolder 시스템구성 efolder 설치순서 Installation commands 1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder
More information본문서는 초급자들을 대상으로 최대한 쉽게 작성하였습니다. 본문서에서는 설치방법만 기술했으며 자세한 설정방법은 검색을 통하시기 바랍니다. 1. 설치개요 워드프레스는 블로그 형태의 홈페이지를 빠르게 만들수 있게 해 주는 프로그램입니다. 다양한 기능을 하는 플러그인과 디자인
스마일서브 CLOUD_Virtual 워드프레스 설치 (WORDPRESS INSTALL) 스마일서브 가상화사업본부 Update. 2012. 09. 04. 본문서는 초급자들을 대상으로 최대한 쉽게 작성하였습니다. 본문서에서는 설치방법만 기술했으며 자세한 설정방법은 검색을 통하시기 바랍니다. 1. 설치개요 워드프레스는 블로그 형태의 홈페이지를 빠르게 만들수 있게
More informationPowerPoint 프레젠테이션
1. 당사로부터 JKS 형태로인증서를받으셨다면 12Page 부터진행하시면됩니다. 2. 자주발생하는문의와설치오류안내설치결과확인방법은문서마지막장에설명되어있습니다. 참고부탁드립니다. - 2 - 3 SSL 인증서설치 4 SSL 인증서설치확인 5 SSL 암호화통신적용예제 - SSL 설치주의사항및자주발생하는설치중오류 - 3 - 3 SSL 인증서설치 [ 인증서타입별주의사항
More information슬라이드 1
전자정부개발프레임워크 1 일차실습 LAB 개발환경 - 1 - 실습목차 LAB 1-1 프로젝트생성실습 LAB 1-2 Code Generation 실습 LAB 1-3 DBIO 실습 ( 별첨 ) LAB 1-4 공통컴포넌트생성및조립도구실습 LAB 1-5 템플릿프로젝트생성실습 - 2 - LAB 1-1 프로젝트생성실습 (1/2) Step 1-1-01. 구현도구에서 egovframe>start>new
More informationMicrosoft PowerPoint - [Practice #1] APM InstalI.ppt
Practice #1 APM Install 2005. 8. 31 Lee Seung-Bok http://hpclab.uos.ac.kr Contents 2 APM 소개 Apache 설치 PHP 설치 MySQL 설치기타사항 Q & A APM(Apache,, PHP, MySQL) 소개 3 Apache PHP 현재전세계에서가장보편적으로사용되고있는오픈소스웹서버안정성및우수한기능
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information메뉴얼41페이지-2
데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여
More informationSena Device Server Serial/IP TM Version
Sena Device Server Serial/IP TM Version 1.0.0 2005. 3. 7. Release Note Revision Date Name Description V1.0.0 2005-03-7 HJ Jeon Serial/IP 4.3.2 ( ) 210 137-130, : (02) 573-5422 : (02) 573-7710 email: support@sena.com
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More informationNTD36HD Manual
Upnp 사용 D7 은 UPNP 를지원하여 D7 의네크워크에연결된 UPNP 기기에별다른설정없이연결하여, 유무선으로네트워크상의연결된 UPNP 기기의콘텐츠를재생할수있습니다. TV 화면의 브라우저, UPNP 를선택하면연결가능한 UPNP 기기가표시됩니다. 주의 - UPNP 기능사용시연결된 UPNP 기기의성능에따라서재생되지않는콘텐츠가있을수있습니다. NFS 사용 D7
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationSSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com
SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1
More information6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO
Windows 7 설치및 PCIE RAID 설정정보 DK173 초판 11월 2016 A. Windows 7 및 USB 드라이버설치 칩셋사양에따라 Windows 7 설치중에 USB 키보드 / 마우스를사용하려면시스템에서 USB 드라이버를사전로드해야합니다. 이절에서는 USB 드라이버사전로드방법과 Windows 7 설치방법에대해서설명합니다. 방법 1: SATA ODD
More information<4D F736F F D20BAB8BEC8BCADB9F620BCD2BDBA20BCF6C1A420BBE7BFEBC0DA20B8DEB4BABEF32E646F63>
보안서버 (SSL) 소스수정매뉴얼 ( 사용자매뉴얼 ) 순서 1. 웹페이지수정방법및사례 (2P ~ 2P) 가. 전체페이지암호화하기 (2P ~ 4P) 나. 페이지별암호화하기 (4P ~ 6P) 다. 프레임별암호화하기 (6P ~ 15P) 2. 보안서버적용확인하기 (15P ~ 16P) 본사용자매뉴얼은정보보호진흥원에서보급된보안서버설치가이드를기준으로작성되었습니다. 1 웹페이지수정및적용확인하기
More informationPowerPoint 프레젠테이션
전자세금계산서서비스 매뉴얼 Last Update : 2015/10/01 1 # 목차 항목을선택하시면해당가이드로바로이동합니다. 번호기능분류이용가이드페이지 # 이용프로세스 3 1 서비스안내 - 이란? 4 2 신청안내 - 서비스신청하기 6 - 공급자등록하기 8 - 공급자수정하기 11 3 공급자관리 - 쇼핑몰관리자페이지연동하기 14 - 전자세금계산서발급요청하기 16
More information작성자 기술지원부 김 삼 수
작성자기술지원부김삼수 kiss@nextline.net Apache SSL Apache_1.x + apache_ssl + Mysql + Php + Zend + OpenSSL 설치 ( 1 ) Source 파일다운로드 1 apache_1.3.37.tar.gz 다운로드사이트 : http://httpd.apache.org/download.cgi [root@nextline
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationMicrosoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]
Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google
More informationLXR 설치 및 사용법.doc
Installation of LXR (Linux Cross-Reference) for Source Code Reference Code Reference LXR : 2002512( ), : 1/1 1 3 2 LXR 3 21 LXR 3 22 LXR 221 LXR 3 222 LXR 3 3 23 LXR lxrconf 4 24 241 httpdconf 6 242 htaccess
More information작성자 : 기술지원부 김 삼 수
작성자 : 기술지원부김삼수 qpopper 설치 qpopper란무엇인가? 메일수신을하기위해필요한프로그램으로 qpopper는가장인기있는 email 클라이언트에의해사용되는인터넷 email 다운로딩을위한 POP3프로토콜을사용합니다. 그러나 qpopper는 sendmail이나 smail과같이 SMTP프로토콜은포함하고있지않습니다. (
More informationMicrosoft Word - Armjtag_문서1.doc
ARM JTAG (wiggler 호환 ) 사용방법 ( IAR EWARM 에서 ARM-JTAG 로 Debugging 하기 ) Test Board : AT91SAM7S256 IAR EWARM : Kickstart for ARM ARM-JTAG : ver 1.0 ( 씨링크테크 ) 1. IAR EWARM (Kickstart for ARM) 설치 2. Macraigor
More information<BAB8BEC8BCADB9F6B1B8C3E0B0A1C0CCB5E D E687770>
안내 해설제 호 보안서버구축안내서 2009.12 한국인터넷진흥원 KISA 안내 해설제 2010-17 호 인터넷에서개인정보의유출방지를위한 이용자의보안서버구축안내서 2009.12 제 개정이력 순번 제 개정일 변경내용 발간팀 연락처 1 2007.2월 최초제정 개인정보보호기술팀 405-4724 2 2008.7월 보안서버목적, 구축방법등개정 개인정보보호기술팀 405-4724
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More informationIRISCard Anywhere 5
이 빠른 사용자 가이드는 IRISCard Anywhere 5 및 IRISCard Corporate 5 스캐너의 설치와 시작을 도와 드립니다. 이 스캐너와 함께 제공되는 소프트웨어는: - Cardiris Pro 5 및 Cardiris Corporate 5 for CRM (Windows 용) - Cardiris Pro 4 (Mac OS 용) Cardiris 의
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationchapter1,2.doc
JavaServer Pages Version 08-alpha copyright2001 B l u e N o t e all rights reserved http://jspboolpaecom vesion08-alpha, UML (?) part1part2 Part1 part2 part1 JSP Chapter2 ( ) Part 1 chapter 1 JavaServer
More informationRemote UI Guide
Remote UI KOR Remote UI Remote UI PDF Adobe Reader/Adobe Acrobat Reader. Adobe Reader/Adobe Acrobat Reader Adobe Systems Incorporated.. Canon. Remote UI GIF Adobe Systems Incorporated Photoshop. ..........................................................
More informationMF Driver Installation Guide
Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인
More information단계
본문서에서는 Tibero RDBMS 에서제공하는 Oracle DB Link 를위한 gateway 설치및설정방법과 Oracle DB Link 사용법을소개한다. Contents 1. TIBERO TO ORACLE DB LINK 개요... 3 1.1. GATEWAY 란... 3 1.2. ORACLE GATEWAY... 3 1.3. GATEWAY 디렉터리구조...
More information보안서버구축가이드 (ver 5.1) Ⅰ. 보안서버개요 5 Ⅱ. 웹서버종류별 SSL 구축방법 11 Ⅲ. 이중화된웹서버 SSL 적용방법 96 Ⅳ.SSL 적용여부확인방법 106 Ⅴ. 웹페이지 SSL 구현방법 108 Ⅵ. 보안서버구축시유의사항 113 Ⅶ
보안서버구축가이드 (ver 5.1) -2012.12.27- Ⅰ. 보안서버개요 5 Ⅱ. 웹서버종류별 SSL 구축방법 11 Ⅲ. 이중화된웹서버 SSL 적용방법 96 Ⅳ.SSL 적용여부확인방법 106 Ⅴ. 웹페이지 SSL 구현방법 108 Ⅵ. 보안서버구축시유의사항 113 Ⅶ. 보안서버구축 FAQ 114 [ 붙임 1]SSL 인증서발급절차 115 [ 붙임 2] 보안서버구축후오류발생시참조사항
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More informationSPECweb Install
SPECweb2005 Install & Configure Guide in Linux(fedora 13) Version # 작성일작성자 E-mail 설명 1.00 2011.3.3 김호연 hykim@q.ssu.ac.kr 첫버전작성함 본문서는 SPECweb2005를설치하고구동하는과정을설명합니다. 본문서의목적은, 어떠한시행착오없이 SPECweb2005을보다쉽게사용할수있도록함에있습니다.
More informationMF5900 Series MF Driver Installation Guide
한국어 MF 드라이버설치설명서 사용자소프트웨어 CD-ROM................................................ 1.................................................................... 1..............................................................................
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>
Jeju Community Welfare Center Annual Report 2015 성명 남 여 영문명 *해외아동을 도우실 분은 영문명을 작성해 주세요. 생년월일 E-mail 전화번호(집) 휴대폰 주소 원하시는 후원 영역에 체크해 주세요 국내아동지원 국외아동지원 원하시는 후원기간 및 금액에 체크해 주세요 정기후원 월 2만원 월 3만원 월 5만원 )원 기타(
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationgcloud storage 사용자가이드 1 / 17
gcloud storage 사용자가이드 1 / 17 문서버전및이력 버전 일자 이력사항 1.0 2016.12.30 신규작성 1.1 2017.01.19 gcloud storage 소개업데이트 1.2 2017.03.17 Container 공개설정업데이트 1.3 2017.06.28 CDN 서비스연동추가 2 / 17 목차 1. GCLOUD STORAGE 소개... 4
More information표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1
표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1 Index 1. 표준프레임워크 EGOVCI 팩키지설치... 3 1.1 개요... 3 1.2 EGOVCI 압축풀기... 3 1.3 EGOVCI 시스템구성... 3 1.4 CI 시스템구동 (START/STOP)... 4 2. NEXUS 설정정보... 6 2.1 NEXUS 서버구동
More information슬라이드 1
QR 코드를통한간편로그인 2018. 11. 7 지도교수 : 이병천교수님 4 조 Security-M 지승우이승용박종범백진이 목 차 조원편성 주제선정 비밀번호가뭐였지? 이런일없이조금더쉽게로그인할수있는방법은없을까? 주제선정 ID와패스워드에의한로그인방식의획기적인변화필요 문자형 ID와패스워드 QR Code 등활용 간편한타겟인식및암기식보안체계의불편극복 인증방식의간소화로다양한분야에서활용가능
More informationStruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen
Online Help StruxureWare Data Center Expert Version 7.2.4 StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare
More informationSAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2
[Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)
More informationReport Designer V3.0 사용설명서 2장
타이니파머 사용자설명서 [2016-08-08] Mediaflow 김명수 설치설명서 내용 1. 개요... 5 2. 제품구성... 5 2.1. 하드웨어... 5 2.2. 소프트웨어... 6 2.3. NDVI 1.0... 6 3. 설치및설정... 8 3.1. NDVI Daemon Application... 8 3.2. NDVI Web Application... 11
More informationAPI STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum
API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date
More informationPathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.
PathEye Mobile Ver. 0.71b 2009. 3. 17 By PathEye 공식 블로그 다운로드 받으세요!! http://blog.patheye.com 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다. PathEye 설치 1/3 최종 배포 버전을 다 운로드 받습니다. 다운로드된 파일은 CAB 파일입니다. CAB 파일에는
More information행자부 G4C
인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2
More information