당사로부터 JKS 형태로인증서를받으셨다면 13Page 부터진행하시면됩니다. 자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 -
3 SSL 인증서설치 4 SSL 인증서설치확인 5 SSL 암호화통신적용예제 - SSL 설치주의사항및자주발생하는설치중오류 - 3 -
3 SSL 인증서설치 발급된인증서메일로수신 ( 인증서신청시기입한기술담당자에게메일로발송 ) - 웹서버환경에따라아래에구성으로전달됨 (1) SSL 도메인인증서 (SSL 인증서, 신청한도메인명 _cert.pem) (2) 코모도중개인증서모음가. apache, webtob, NginX Chain_RootCA_Bundle.crt 나. IIS, Tomcat, Weblogic, Oracle Http Server, iplanet, IBM HTTP Server, node.js, Resin - ChainCA1.crt ~ ChainCA2 또는 ChainCA3까지 [ 상품마다차이가있으며, 압축파일내동봉된 ChainCA( 숫자 ).crt 파일모두사용 ] - 중개인증서파일이하나이상인경우, 해당중개인증서전부검증에이용합니다 (3) 코모도루트인증서 (RootCA.crt) 웹서버에따라사용하는중개인증서와루트인증서는본설치가이드에기입된파일형태를사용해주시길바랍니다. - 4 -
3 SSL 인증서설치 [ 인증서타입별주의사항 ] 단일 / 멀티 / 와일드카드도메인 SSL 인증서에따른설치방법의차이점 상품종류 차이점 단일도메인 멀티도메인 와일드카드도메인 한서버에복수로인증서설치시단일도메인인증서는포트공유불가능 멀티인증서에등록된도메인은포트공유가가능하므로 <http> ~ </http> 구문을설치할도메인수량에맞추어설정해주시면됩니다. 그외다른내용은동일합니다. 와일드카드인증서는모든서브도메인을사용할수있고, 포트공유가가능하므로 <http>~</http> 구문을도메인에따라추가해주시길바랍니다. 그외다른내용은동일합니다. - 5 -
3 SSL 인증서설치 1. Keystore 에루트인증서 import [import 권장순서 : 루트 중개 ( 번호순서상관없음 ) SSL 인증서 ] 유의사항 : SSL 인증서를 import 전에모든중개, 루트가 import 되어야함. ( 유효성검증오류발생 ) - prompt>keytool -import -alias [ 루트인증서별칭 ] -keystore [CSR 을생성한개인키가있는 JKS 파일명및경로 ] -trustcacerts -file [ 루트인증서파일명및경로 ] (1) -import : 인증서를 Keystore 에 import (2) -alias : import 인증서별칭 (3) -keystore : CSR 을생성한개인키가있는 Keystore 파일명및경로 (4) -trustcacerts : 파일종류가인증서임을명기 (5) -file : import 할인증서파일명및경로 [ 루트인증서 import] - 6 -
3 SSL 인증서설치 2. Keystore 에중개인증서 import [import 권장순서 : 루트 중개 ( 번호순서상관없음 ) SSL 인증서 ] 유의사항 : SSL 인증서를 import 전에모든중개, 루트가 import 되어야함. ( 유효성검증오류발생 ) - prompt>keytool -import -alias [ 중개인증서 n 별칭 ] -keystore [CSR 을생성한개인키가있는 JKS 파일명및경로 ] -trustcacerts -file [ 중개인증서 n 파일명및경로 ] Root 인증서 import 와동일하여 ChainCA1.crt, ChainCA2.crt 로 -file, -alias 의내용을변경하여 import 합니다. [ChainCA1 import] - 중략 - 다음장샘플화면계속참고바랍니다. - 7 -
3 SSL 인증서설치 2. Keystore 에중개인증서 import [import 권장순서 : 루트 중개 ( 번호순서상관없음 ) SSL 인증서 ] 유의사항 : SSL 인증서를 import 전에모든중개, 루트가 import 되어야함. ( 유효성검증오류발생 ) - prompt>keytool -import -alias [ 중개인증서 n 별칭 ] -keystore [CSR 을생성한개인키가있는 JKS 파일명및경로 ] -trustcacerts -file [ 중개인증서 n 파일명및경로 ] Root 인증서 import 와동일하여 ChainCA1.crt, ChainCA2.crt 로 -file, -alias 의내용을변경하여 import 합니다. [ChainCA2/ 숫자반복 import] 전송한파일들중에 ChainCA3 까지존재한다면 ChainCA3 까지해주셔야합니다. 다음장샘플화면계속참고바랍니다. - 8 -
3 SSL 인증서설치 3. Keystore 에 SSL 인증서 import [import 권장순서 : 루트 중개 ( 번호순서상관없음 ) SSL 인증서 ] 유의사항 : SSL 인증서를 import 전에모든중개, 루트가 import 되어야함. ( 유효성검증오류발생 ) - prompt> keytool -import -alias [ 생성한개인키별칭 ] -keystore [CSR 을생성한개인키가있는 JKS 파일명및경로 ] -file [SSL 인증서파일명및경로 ] 여기서입력하는 alias 는본문서 1 에서키스토어생성시입력한 개인키별칭 ( 예 : guide_kicassl_com) 과꼭동일하여야합니다. 만일, 개인키별칭과다르면아래와같은메세지표시가안되며 또한유효성검증이되지않아신뢰되지않는사이트로표시됩니다. [SSL 인증서정상 import] 다음장샘플화면계속참고바랍니다. - 9 -
3 SSL 인증서설치 3. Keystore 에 SSL 인증서 import [import 권장순서 : 루트 중개 ( 번호순서상관없음 ) SSL 인증서 ] 유의사항 : SSL 인증서를 import 전에모든중개, 루트가 import 되어야함. ( 유효성검증오류발생 ) - prompt> keytool -import -alias [ 생성한개인키별칭 ] -keystore [CSR 을생성한개인키가있는 JKS 파일명및경로 ] -file [SSL 인증서파일명및경로 ] 여기서입력하는 alias 는본문서 1 에서키스토어생성시입력한 개인키별칭 ( 예 : guide_kicassl_com) 과꼭동일하여야합니다. 만일, 개인키별칭과다르면아래와같은메세지표시가안되며또한유효성검증이되지않아신뢰되지않는사이트로표시됩니다. [ 중개또는루트인증서가 import 되지않았을때발생하는오류화면 ] [ 발급된인증서와개인키가일치하지않을때발생하는오류화면 ( 인증서재발급필요 )] - 10 -
3 SSL 인증서설치 4. Keystore의 import 상태확인 - prompt> keytool -list -keystore [ 확인할 JKS 파일명및경로 ] -v (1) -list : Keystore에 import된인증서보기옵션 (2) -keystore : 확인할 Keystore 파일명및경로 (3) -v : 인증서정보상세히보기옵션 정상적으로 SSL 인증서가 import되어 Tomcat에적용사용가능한 JKS 상태예제 [ 소유자와발행자정보가같지않아야함 ] 다음장샘플화면계속참고바랍니다. - 11 -
3 SSL 인증서설치 4. Keystore의 import 상태확인 - prompt> keytool -list -keystore [ 확인할 JKS 파일명및경로 ] -v (1) -list : Keystore에 import된인증서보기옵션 (2) -keystore : 확인할 Keystore 파일명및경로 (3) -v : 인증서정보상세히보기옵션 정상적으로 SSL 인증서가 import되지않은 JKS 상태예제 [ 소유자와발행자정보가같으므로오류 ] - 12 -
3 SSL 인증서설치 [Keystore 사용 ] resin.conf : 일반적으로 resin 홈 /conf 하위에위치 - SSL Port Configuration 부분확인 - 13 -
3 SSL 인증서설치 [Keystore 사용 ] resin.conf : 일반적으로 resin 홈 /conf 하위에위치 - SSL Port Configuration 부분확인 - 14 -
3 SSL 인증서설치 [Keystore 사용 ] resin.conf : 일반적으로 resin 홈 /conf 하위에위치 - 앞장설정변경후데몬기동또는 https 포트가정상실행이안될시아래와같이 Protocol 변경 변경한 resin.conf 설정내용 443 으로변경하여설정합니다. 만일 443 이아닐경우해당도메인 https 접속시포트번호까지입력해주셔야합니다. ---- 해당파일에서 - SSL port configuration 검색 ----- <server-default> <!-- The http port --> <http address="*" port= 80"/> ---- 주석해제 ----- <http address="*" port="9443"> <jsse-ssl> <key-store-type>jks</key-store-type> <key-store-file>ssl/guide_kicassl_com.jks</key-store-file> <password>guidekicassl</password> </jsse-ssl> </http> - 15 -
3 SSL 인증서설치 hosts 파일에 ServerName과 IP 매핑설정 ServerName 항목이유효하기위해서는서버의 hosts 파일의내용에 SSL인증서를적용할도메인들에대한 IP매핑설정이필요합니다. - hosts 파일경로 ( 가 ) Windows OS : [ 윈도우설치홈디렉토리 ]/system32/drivers/etc 내부존재 ( 나 ) Linux OS : /etc 내부존재 - hosts 설정추가예제 guide.kicassl.com 에대한 ip 주소가 123.123.123.1 이라면 hosts 파일에 123.123.123.1 guide.kicassl.com 을추가합니다. ( 사용하실정보에맞추어입력해주시길바랍니다.) - hosts 설정예제화면 - 16 -
4 SSL 인증서설치확인 SSL 관련설정완료후 Resin 웹서버재기동 - 만일, 재기동시오류가발생하신다면 SSL 오류로그또는오류로그확인부탁드리겠습니다. - https:// 신청한도메인 : 포트 으로접속하여자물쇠표시및 https 통신확인 443 포트는기본포트이기때문에포트번호생략가능. 만일, 다른포트를사용시포트번호를꼭입력해야합니다. 만일, 접속이안될시본가이드마지막부분의확인해주시길바랍니다. 를 - 17 -
5 SSL 암호화통신적용예제 SSL 인증서를웹서버에설치한후 SSL 암호화통신 (https 프로토콜 ) 이가능하도록웹페이지에적용하는작업이반드시필요합니다. - 전체페이지를암호화하면암호화적용이필요없는부분까지암호화하여부분암호화보다서버에부하를줄수있습니다. - 부분페이지 ( 로그인및회원가입등 ) 만암호화하면전체페이지적용에비해서버부하가증가하는것을줄일수있습니다. SSL 암호화통신을위한기본적인변경사항 (1) 웹페이지소스내부에 http:// 호출경로및링크수정 SSL 인증서의적용은아래와같이 http:// 로호출하는부분을 https:// 로변경하시길바랍니다. 만일, SSL 을적용한포트가 default 포트인 443 포트일경우, 위와같이 https:// 만변경하지만 443 이외의포트를적용한경우아래와같이포트번호를반드시명시해주셔야합니다. - 18 -
인증서와개인키가 keypair( 키쌍 ) 이안맞으면인증서가정상로드되지않음. 발급신청시기입한 CSR 을생성한개인키만발급된인증서와사용할수있음 - 개인키를여러번생성하였으면, 최종신청시기입한 CSR 을생성한개인키만사용할수있습니다. 개인키가발급한 SSL 인증서와매칭오류시표시메세지 / 로그 키와인증서가매칭되지않습니다 등과같은매칭오류메세지가로그 / 표시됨. ( 키워드 : matching) > CSR 생성시사용한개인키파일로다시설정하시거나, 현재소유한개인키파일과맞는인증서로재발급하셔야합니다. 중개 ( 체인 ) 을검증을실패하였습니다 등과같은체인오류메세지가로그 / 표시됨. ( 키워드 : chain) > 중개인증서관련설정내용에확인이필요합니다. 1) Keystore 등 import가필요한웹서버는중개인증서를 import 여부확인 2) 중개인증서경로를별도로설정하는웹서버는중개인증서경로및파일위치확인 개인키의비밀번호가맞지않습니다. 등과같은비밀번호오류메세지가로그 / 표시됨. ( 키워드 : private key, password, passphrase) > 입력하신개인키암호가다르므로, 재발급이필요합니다. ( 파일오류및비밀번호오류사유 ) 1 개의서버에서여러도메인 ( 인증서 ) 사용시주의사항 https(ssl) 을사용하는포트는설치한인증서수량과같아야합니다. 2 개의인증서를설치시 2 개의각각다른포트가필요함 와일드카드 SSL 인증서 (*.kicassl.com), 멀티도메인 SSL 인증서는동일한포트공유가가능한 SSL 인증서입니다. 멀티도메인인증서설치후인증서에도메인을추가신청시인증서는재설치해야합니다. - 19 -
https 사용포트를 443 이아닌다른포트를지정하면 URL 입력시포트까지입력해야함. [https://guide.kicassl.com:443] 443 포트는기본 SSL 포트이므로생략이가능함 [https://guide.kicassl.com:8443] 8443 포트로 SSL 포트설정시 URL에포트번호필수기입 - 본문서있는포트는예제로입력한포트로사용하시려는포트로변경하시면됩니다. https접속시 SSL 인증서가웹서버에설치한 SSL 인증서가아닌다른 SSL 인증서가로드되는오류 설치하신웹서버로직접접속하여어떤인증서를로드했는지확인필요 > 웹서버 IP주소로 https://123.123.123.123:443 으로접속후표시되는인증서오류화면에서 계속탐색 클릭웹브라우저에로드된 SSL 인증서정보를확인합니다. 설치된인증서가표시된다면 L4, 방화벽또는웹서버앞단에장비에도 SSL 인증서설치가필요한지확인이필요합니다. 안드로이드 v5.0( 롤리팝 )+ 또는구글크롬브라우저에서 https 접속이안될시 웹서버에 SSL Protocol 중 TLSv1.2 와 TLSv1.1 을사용가능하도록수정하고해당웹서버의최신보안패치를설치필요 > 2014 년말 SSLv3 Protocol 보안취약성발견으로 TLSv1.1 이상사용이권고되어해당프로토콜미지원시접속이안될수있습니다 https 접속시딜레이가길거나, 경고메시지 ( 인증서해지목록을확인할수없습니다. ) 표시오류 사용자의환경이공용망이아닌경우, 외부 CRL 및 OCSP URL로접속이제한되어있다면브라우저가 SSL 인증서관련정보탐색을하지못하여발생 > 방화벽등네트워크장비에서관련접속 URL( 또는 IP) 및 port 를 open 하여사용자가원활히접속하여사용할수있도록작업필요 (CRL, OCSP URL 정보는인증서마다다르므로인증서파일상세정보에서 자세히 탭내용중 CRL 배포지점, 기관정보액세스 에기입된 URL을확인하시길바랍니다 ) - 20 -
해당도메인접속시 유효하지않은인증서 라는표시발생시 폐쇄망등특정환경의사용자만발생할시 > 중개인증서가웹서버에설치의문제가있어서사용자 ( 접속자 ) 에게중개인증서를전달해주지못할때발생할수있음 - 중개인증서본가이드의설치부분을확인해주시길바랍니다. WIN XP, IE 8이하등낮은버전환경또는윈도우업데이트를하지않은사용자 > 사용자 ( 접속자 ) 의환경에루트인증서가존재하지않아발생할수있음 - 윈도우에내장된윈도우업데이트를통해윈도우업데이트를하거나, 첨부한 RootCA.crt 파일을직접사용자PC에수동설치해야합니다. 해당도메인접속시 만료된인증서 라는표시발생시 해당도메인의접속한사용자 PC의시간이현재시간인지확인해주시길바랍니다. 해당도메인에설치된인증서정보창을띄워해당인증서의만료일을확인해주시기바랍니다. > 도메인인증서갱신을했는데도발생한경우, 방화벽또는 L4 등다른장비에인증서설치가필요한지확인해주시길바랍니다. 해당도메인접속시 폐기된인증서 라는표시발생시 인증서가폐기또는해지된경우 KICASSL 에전화문의해주시길바랍니다.. 추가질문사항은한국정보인증 KICASSL 웹사이트의 FAQ 를확인해주시길바랍니다. www.kicassl.com 링크 - 21 -
감사합니다 신뢰세상 A World of Trust 한국정보인증 SSL (Korea Information Certificate Authority, Inc.) E-mail. webmaster@kicassl.com