PowerPoint 프레젠테이션

자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 -

3 SSL 인증서설치 4 SSL 인증서설치확인 5 SSL 암호화통신적용예제 - SSL 설치주의사항및자주발생하는설치중오류 - 3 -

3 SSL 인증서설치 발급된인증서메일로수신 ( 인증서신청시기입한기술담당자에게메일로발송 ) - 웹서버환경에따라아래에구성으로전달됨 (1) SSL 도메인인증서 (SSL 인증서, 신청한도메인명 _cert.pem) (2) 코모도중개인증서모음가. apache, webtob, NginX Chain_RootCA_Bundle.crt 나. IIS, Tomcat, Weblogic, Oracle Http Server, iplanet, IBM HTTP Server, node.js - ChainCA1.crt ~ ChainCA2 또는 ChainCA3까지 [ 상품마다차이가있으며, 압축파일내동봉된 ChainCA( 숫자 ).crt 파일모두사용 ] - 중개인증서파일이하나이상인경우, 해당중개인증서전부검증에이용합니다 (3) 코모도루트인증서 (RootCA.crt) 웹서버에따라사용하는중개인증서와루트인증서는본설치가이드에기입된파일형태를사용해주시길바랍니다. - 4 -

3 SSL 인증서설치 [ 인증서타입별주의사항 ] 단일 / 멀티 / 와일드카드도메인 SSL 인증서에따른설치방법의차이점 상품종류단일도메인멀티도메인와일드카드도메인 차이점 한서버에복수로인증서설치시단일도메인인증서는포트공유불가능 멀티인증서에등록된도메인은포트공유가가능하므로 NameVirtualHost 설정을추가하시고, <Virtual Host> ~ </Virtual Host> 구문을설치할도메인수량에맞추어설정해주시면됩니다. 그외다른내용은동일합니다. 와일드카드인증서는모든서브도메인을사용할수있고, 포트공유가가능하므로 NameVirtualHost 설정을추가하시고, <Virtual Host>~</Virtual Host> 구문을도메인에따라추가해주시길바랍니다. 그외다른내용은동일합니다. - 5 -

3 SSL 인증서설치 Apache Config 파일 (httpd.conf) 수정 - httpd.conf : 일반적으로 apache 홈 /conf 하위에위치 (1) LoadModule - mod_ssl.so 주석제거확인 (2) Include - httpd-ssl.conf 주석제거확인 (3) <IfModule ssl_module> ~ </IfModule> 주석제거확인 1) 2) 3) - 6 -

3 SSL 인증서설치 Apache Config 파일 (httpd-ssl.conf) 수정 - httpd-ssl.conf : 일반적으로 apache 홈 /conf/extra 하위에위치 ( 앞장에서 include한 ssl.conf파일 ) (1) Listen 포트 : SSL 사용포트설정 (default 포트는 443입니다 ) - 다른포트로변경하셔도되며, 지정하신포트가방화벽등에차단포트인지확인해주시길바랍니다 (2) @echo 비밀번호 : Win32의경우반드시 SSL 인증서개인키비밀번호자동로드포함 (ssl_pass.bat), Linux의경우 (ssl_pass.sh) Linux : sh 파일로제작 1) 2) Win32 일시 Win32 : 비밀번호로드파일내용 2) Linux 일시 해당.sh 파일은 chmod 700 으로파일권한변경을해야합니다. 다음장샘플화면계속참고바랍니다. - 7 -

3 SSL 인증서설치 주의사항 - Apache Config 파일 (httpd-ssl.conf) 수정 - Apache Win32 버전의경우꼭 SSLPassPhraseDialog를설정해야합니다. 만일, Builtin으로되어있을경우오류발생, 꼭주석처리필요 - 기동시오류발생 - Apache는 Linux계열만기동시비밀번호를입력할수있음 Win32> 일시반드시 SSLPassPhraseDialog 는주석처리 Linux> 일시 SSLPassPhraseDialog builtin : 비밀번호수동입력 SSLPassPhraseDialog exec~~ : 비밀번호자동입력 - 8 -

3 SSL 인증서설치 Apache Config 파일 (httpd-ssl.conf) 수정 - httpd-ssl.conf : 일반적으로 apache 홈 /conf/extra 하위에위치 ( 앞장에서 include한 ssl.conf파일 ) (3) Virtual Host 설정 - Virtual Host, SSLEngine on, SSLProtocol, SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile httpd-ssl.conf Virtual Host 설정내용 ( 단일도메인인증서, 멀티 / 와일드카드인증서는설정하는도메인의 VirtualHost 를추가 ) <VirtualHost *:[SSL 적용포트 (ex : 443)]> DocumentRoot [http 설정과동일한디렉토리 ] ServerName [ 해당서버의도메인 (ex : guide.kicassl.com)] ServerAdmin [ 서버관리자정보 (ex : webmaster@kicassl.com)] ErrorLog [ 에러로그를저장할경로 ]/ssl_error_log TransferLog [ 에러로그를저장할경로 ]/ssl_access_log... SSLEngine On # 설명 : 발급받은인증서경로와파일명을지정합니다. SSLCertificateFile 경로 / 신청한도메인명 _cert.pem... SSLCertificateKeyFile 경로 / 생성하신개인키파일 [ex : 신청한도메인명 _key.pem]... SSLCertificateChainFile [ 중개인증서 bundle 파일저장경로 ]/Chain_RootCA_Bundle.crt... </VirtualHost> - 9 -

3 SSL 인증서설치 Apache Config 파일 (httpd-ssl.conf) 수정 - httpd-ssl.conf : 일반적으로 apache 홈 /conf/extra 하위에위치 ( 앞장에서 include한 ssl.conf파일 ) (3) Virtual Host 설정 - Virtual Host, SSLEngine on, SSLProtocol, SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile 단일 / 멀티 / 와일드카드상품별유의사항 1) 단일도메인상품 : 앞장을따라진행해주시면됩니다. 2) 멀티도메인상품 : 인증서신청시기입한나머지도메인들에대해서도, 기존완성한 <VirtualHost> ~ </VirtualHost> 블록을복사하여위와같이수정 / 추가합니다. 3) 와일드카드도메인상품 : 사용할서브도메인에도기존완성한 <VirtualHost>~</VirtualHost> 블록을복사하여위와같이수정 / 추가합니다. 멀티 / 와일드카드상품 <VirtualHost> 설정 Tip 나머지도메인에대한 Virtual Host 설정은, 기존완성한하나의 <VirtualHost> 블록을복사한후 DocumentRoot, ServerName, ServerAdmin, ErrorLog, TransferLog 항목만적절하게수정하여주시면됩니다. (SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile 항목의경우동일한인증서 / 개인키 / 중개인증서를사용하기때문에수정하실필요가없습니다.) - 10 -

3 SSL 인증서설치 hosts 파일에 ServerName과 IP 매핑설정 ServerName 항목이유효하기위해서는서버의 hosts 파일의내용에 SSL인증서를적용할도메인들에대한 IP매핑설정이필요합니다. - hosts 파일경로 ( 가 ) Windows OS : [ 윈도우설치홈디렉토리 ]/system32/drivers/etc 내부존재 ( 나 ) Linux OS : /etc 내부존재 - hosts 설정추가예제 guide.kicassl.com 에대한 ip 주소가 123.123.123.1 이라면 hosts 파일에 123.123.123.1 guide.kicassl.com 을추가합니다. ( 사용하실정보에맞추어입력해주시길바랍니다.) - hosts 설정예제화면 - 11 -

4 SSL 인증서설치확인 SSL 관련설정완료후 Apache 웹서버재기동 - 만일, 재기동시오류가발생하신다면 SSL 오류로그또는오류로그확인부탁드리겠습니다. - https:// 신청한도메인 : 포트 으로접속하여자물쇠표시및 https 통신확인 443 포트는기본포트이기때문에포트번호생략가능. 만일, 다른포트를사용시포트번호를꼭입력해야합니다. 만일, 접속이안될시본가이드마지막부분의확인해주시길바랍니다. 를 - 12 -

5 SSL 암호화통신적용예제 SSL 인증서를웹서버에설치한후 SSL 암호화통신 (https 프로토콜 ) 이가능하도록웹페이지에적용하는작업이반드시필요합니다. - 전체페이지를암호화하면암호화적용이필요없는부분까지암호화하여부분암호화보다서버에부하를줄수있습니다. - 부분페이지 ( 로그인및회원가입등 ) 만암호화하면전체페이지적용에비해서버부하가증가하는것을줄일수있습니다. SSL 암호화통신을위한기본적인변경사항 (1) 웹페이지소스내부에 http:// 호출경로및링크수정 SSL 인증서의적용은아래와같이 http:// 로호출하는부분을 https:// 로변경하시길바랍니다. 만일, SSL 을적용한포트가 default 포트인 443 포트일경우, 위와같이 https:// 만변경하지만 443 이외의포트를적용한경우아래와같이포트번호를반드시명시해주셔야합니다. - 13 -

인증서와개인키가 keypair( 키쌍 ) 이안맞으면인증서가정상로드되지않음. 발급신청시기입한 CSR 을생성한개인키만발급된인증서와사용할수있음 - 개인키를여러번생성하였으면, 최종신청시기입한 CSR 을생성한개인키만사용할수있습니다. 개인키가발급한 SSL 인증서와매칭오류시표시메세지 / 로그 키와인증서가매칭되지않습니다 등과같은매칭오류메세지가로그 / 표시됨. ( 키워드 : matching) > CSR 생성시사용한개인키파일로다시설정하시거나, 현재소유한개인키파일과맞는인증서로재발급하셔야합니다. 중개 ( 체인 ) 을검증을실패하였습니다 등과같은체인오류메세지가로그 / 표시됨. ( 키워드 : chain) > 중개인증서관련설정내용에확인이필요합니다. 1) Keystore 등 import가필요한웹서버는중개인증서를 import 여부확인 2) 중개인증서경로를별도로설정하는웹서버는중개인증서경로및파일위치확인 개인키의비밀번호가맞지않습니다. 등과같은비밀번호오류메세지가로그 / 표시됨. ( 키워드 : private key, password, passphrase) > 입력하신개인키암호가다르므로, 재발급이필요합니다. ( 파일오류및비밀번호오류사유 ) 1 개의서버에서여러도메인 ( 인증서 ) 사용시주의사항 https(ssl) 을사용하는포트는설치한인증서수량과같아야합니다. 2 개의인증서를설치시 2 개의각각다른포트가필요함 와일드카드 SSL 인증서 (*.kicassl.com), 멀티도메인 SSL 인증서는동일한포트공유가가능한 SSL 인증서입니다. 멀티도메인인증서설치후인증서에도메인을추가신청시인증서는재설치해야합니다. - 14 -

https 사용포트를 443 이아닌다른포트를지정하면 URL 입력시포트까지입력해야함. [https://guide.kicassl.com:443] 443 포트는기본 SSL 포트이므로생략이가능함 [https://guide.kicassl.com:8443] 8443 포트로 SSL 포트설정시 URL에포트번호필수기입 - 본문서있는포트는예제로입력한포트로사용하시려는포트로변경하시면됩니다. https접속시 SSL 인증서가웹서버에설치한 SSL 인증서가아닌다른 SSL 인증서가로드되는오류 설치하신웹서버로직접접속하여어떤인증서를로드했는지확인필요 > 웹서버 IP주소로 https://123.123.123.123:443 으로접속후표시되는인증서오류화면에서 계속탐색 클릭웹브라우저에로드된 SSL 인증서정보를확인합니다. 설치된인증서가표시된다면 L4, 방화벽또는웹서버앞단에장비에도 SSL 인증서설치가필요한지확인이필요합니다. 안드로이드 v5.0( 롤리팝 )+ 또는구글크롬브라우저에서 https 접속이안될시 웹서버에 SSL Protocol 중 TLSv1.2 와 TLSv1.1 을사용가능하도록수정하고해당웹서버의최신보안패치를설치필요 > 2014 년말 SSLv3 Protocol 보안취약성발견으로 TLSv1.1 이상사용이권고되어해당프로토콜미지원시접속이안될수있습니다 https 접속시딜레이가길거나, 경고메시지 ( 인증서해지목록을확인할수없습니다. ) 표시오류 사용자의환경이공용망이아닌경우, 외부 CRL 및 OCSP URL로접속이제한되어있다면브라우저가 SSL 인증서관련정보탐색을하지못하여발생 > 방화벽등네트워크장비에서관련접속 URL( 또는 IP) 및 port 를 open 하여사용자가원활히접속하여사용할수있도록작업필요 (CRL, OCSP URL 정보는인증서마다다르므로인증서파일상세정보에서 자세히 탭내용중 CRL 배포지점, 기관정보액세스 에기입된 URL을확인하시길바랍니다 ) - 15 -

해당도메인접속시 유효하지않은인증서 라는표시발생시 폐쇄망등특정환경의사용자만발생할시 > 중개인증서가웹서버에설치의문제가있어서사용자 ( 접속자 ) 에게중개인증서를전달해주지못할때발생할수있음 - 중개인증서본가이드의설치부분을확인해주시길바랍니다. WIN XP, IE 8이하등낮은버전환경또는윈도우업데이트를하지않은사용자 > 사용자 ( 접속자 ) 의환경에루트인증서가존재하지않아발생할수있음 - 윈도우에내장된윈도우업데이트를통해윈도우업데이트를하거나, 첨부한 RootCA.crt 파일을직접사용자PC에수동설치해야합니다. 해당도메인접속시 만료된인증서 라는표시발생시 해당도메인의접속한사용자 PC의시간이현재시간인지확인해주시길바랍니다. 해당도메인에설치된인증서정보창을띄워해당인증서의만료일을확인해주시기바랍니다. > 도메인인증서갱신을했는데도발생한경우, 방화벽또는 L4 등다른장비에인증서설치가필요한지확인해주시길바랍니다. 해당도메인접속시 폐기된인증서 라는표시발생시 인증서가폐기또는해지된경우 KICASSL 에전화문의해주시길바랍니다.. 추가질문사항은한국정보인증 KICASSL 웹사이트의 FAQ 를확인해주시길바랍니다. www.kicassl.com 링크 - 16 -

감사합니다 신뢰세상 A World of Trust 한국정보인증 SSL (Korea Information Certificate Authority, Inc.) E-mail. webmaster@kicassl.com