PowerPoint 프레젠테이션

자주발생하는문의와설치오류안내 설치결과확인방법은 문서마지막장에설명되어있습니다. SSL 설치중오류및 SSL 설치확인시참고부탁드립니다. - 2 -

1 SSL 인증서 2 SSL 사이트인증서설치 3 중개 / 루트인증서설치 4 시큐어바인딩설정 5 SSL 인증서설치확인 - SSL 설치주의사항및자주발생하는설치중오류 - 3 -

1 SSL 인증서 웹서버환경에따라아래에구성으로전달됨 (1) SSL 도메인인증서 (SSL 인증서, 신청한도메인명 _cert.pem) (2) 코모도중개인증서모음가. apache, webtob, NginX Chain_RootCA_Bundle.crt 나. IIS, Tomcat, Weblogic, Oracle Http Server, iplanet, IBM HTTP Server, node.js - ChainCA1.crt ~ ChainCA2 또는 ChainCA3까지 [ 상품마다차이가있으며, 압축파일내동봉된 ChainCA( 숫자 ).crt 파일모두사용 ] - 중개인증서파일이하나이상인경우, 해당중개인증서전부검증에이용합니다 (3) 코모도루트인증서 (RootCA.crt) 웹서버에따라사용하는중개인증서와루트인증서는본설치가이드에기입된파일형태를사용해주시길바랍니다. - 4 -

1 SSL 인증서 [ 인증서타입별주의사항 ] 단일 / 멀티 / 와일드카드도메인 SSL 인증서에따른설치방법의차이점 상품종류 차이점 단일도메인 멀티도메인 와일드카드도메인 한서버에복수로인증서설치시단일도메인인증서는포트공유불가능 멀티인증서에등록된도메인은포트공유가가능하므로설치할도메인수량에맞추어시큐어바인딩설정해주시면됩니다. 그외다른내용은동일합니다. 와일드카드인증서는모든서브도메인을사용할수있고, 포트공유가가능하므로설치할도메인에따라추가해주시길바랍니다. 그외다른내용은동일합니다. - 5 -

2 SSL 사이트인증서설치 해당사이트에 SSL 인증서바인딩 - SSL 인증서를적용하려는사이트우클릭 - 속성 디렉토리보안 탭 서버인증서 를클릭하여설치마법사를실행합니다. - 6 -

2 SSL 사이트인증서설치 해당사이트에 SSL 인증서바인딩 - 인증서설치마법사에서 대기중인요청을처리한다음인증서를설치합니다 를선택합니다. - 설치할인증서를선택합니다 * 다른선택지가나올경우, 인증서요청이없는상황입니다. 요청을재생성하여인증서발급을다시받으셔야합니다. - 7 -

2 SSL 사이트인증서설치 해당사이트에 SSL 인증서바인딩 - 사용할포트를입력하여설치를마무리합니다. - 8 -

3 중개 / 루트인증서설치 스냅인추가 - 실행 > MMC 입력 > 파일 > 스냅인추가 / 제거 > 추가클릭 - 9 -

3 중개 / 루트인증서설치 스냅인추가 - 인증서선택 > 컴퓨터계정 > 로컬컴퓨터선택 > 마침 - 10 -

3 중개 / 루트인증서설치 스냅인추가 - 확인을눌러스냅인추가완료 - 11 -

3 중개 / 루트인증서설치 중개인증서설치 - 중개인증기관의인증서폴더에서가져오기클릭 - 12 -

3 중개 / 루트인증서설치 중개인증서설치 - 마법사에서중개인증서파일을선택 (2 개이상일경우반복진행. 예 : ChainCA1.crt ChainCA2.crt) - 13 -

3 중개 / 루트인증서설치 중개인증서설치 - 인증서저장소설정후, 설치완료 - 14 -

3 중개 / 루트인증서설치 루트인증서설치 - 신뢰할수있는루트인증기관 의인증서폴더에서가져오기클릭 - 15 -

3 중개 / 루트인증서설치 루트인증서설치 - 마법사에서루트인증서파일을선택 - 16 -

3 중개 / 루트인증서설치 루트인증서설치 - 인증서저장소설정후, 설치완료 - 17 -

4 시큐어바인딩설정 ( 멀티또는와일드카드인증서설치시필수 ) 멀티도메인 / 와일드카드 SSL 인증서의경우 https 포트를공유하기위하여시큐어바인딩이필요함 - SecureBindings는 443 포트를여러도메인이쓸수있도록설정해주는것을뜻하며, 이설정해해주시지않으시면이미 443 포트를설정한웹사이트와충돌이일어납니다. 1) adsutil.vbs 파일확인 * 위치는각서버설정에따라다를수있습니다. - 18 -

4 시큐어바인딩설정 ( 멀티또는와일드카드인증서설치시필수 ) 2) 각웹사이트식별자확인 - IIS 관리자를실행시킨후각웹사이트를확인하시면아래그림과같이각웹사이트의식별자를확인하실수있습니다. - 19 -

4 시큐어바인딩설정 ( 멀티또는와일드카드인증서설치시필수 ) 3) adsutil.vbs 설정추가 - cscript 명령을이용하여 443 포트를사용할수있도록도메인들을반복추가합니다. cscript adsutil.vbs set /w3svc/ 식별자 /SecureBindings ": 포트 : 도메인명 " - 20 -

4 시큐어바인딩설정 ( 멀티또는와일드카드인증서설치시필수 ) 4) 각웹사이트시작 - 각사이트들을시작 / 재시작해주시면인증서가적용됩니다. - 21 -

5 SSL 인증서설치확인 hosts 파일에 ServerName과 IP 매핑설정 ServerName 항목이유효하기위해서는서버의 hosts 파일의내용에 SSL인증서를적용할도메인들에대한 IP매핑설정이필요합니다. - hosts 파일경로 [ 윈도우설치홈디렉토리 ]/system32/drivers/etc 내부존재 - hosts 설정추가예제 guide.kicassl.com 에대한 ip 주소가 123.123.123.1 이라면 hosts 파일에 123.123.123.1 guide.kicassl.com 을추가합니다. ( 사용하실정보에맞추어입력해주시길바랍니다.) - hosts 설정예제화면 - 22 -

5 SSL 인증서설치확인 SSL 관련설정완료후 IIS 해당사이트재시작 - 만일, 재시작시오류가발생하신다면 SSL 오류로그또는오류로그확인부탁드리겠습니다. - https:// 신청한도메인 : 포트 으로접속하여자물쇠표시및 https 통신확인 443 포트는기본포트이기때문에포트번호생략가능. 만일, 다른포트를사용하신다면포트번호를꼭입력해야함. 만일, 접속이안될시본가이드마지막부분의확인해주시길바랍니다. 를 - 23 -

6 SSL 암호화통신적용예제 SSL 인증서를웹서버에설치한후 SSL 암호화통신 (https 프로토콜 ) 이가능하도록웹페이지에적용하는작업이반드시필요합니다. - 전체페이지를암호화하면암호화적용이필요없는부분까지암호화하여부분암호화보다서버에부하를줄수있습니다. - 부분페이지 ( 로그인및회원가입등 ) 만암호화하면전체페이지적용에비해서버부하가증가하는것을줄일수있습니다. SSL 암호화통신을위한기본적인변경사항 (1) 웹페이지소스내부에 http:// 호출경로및링크수정 SSL 인증서의적용은아래와같이 http:// 로호출하는부분을 https:// 로변경하시길바랍니다. 만일, SSL 을적용한포트가 dafault 포트인 443 포트일경우, 위와같이 https:// 만변경하지만 443 이외의포트를적용한경우아래와같이포트번호를반드시명시해주셔야합니다. - 24 -

인증서와개인키가 keypair( 키쌍 ) 이안맞으면인증서가정상로드되지않음. 발급신청시기입한 CSR 을생성한개인키만발급된인증서와사용할수있음 - 개인키를여러번생성하였으면, 최종신청시기입한 CSR 을생성한개인키만사용할수있습니다. 개인키가발급한 SSL 인증서와매칭오류시표시메세지 / 로그 키와인증서가매칭되지않습니다 등과같은매칭오류메세지가로그 / 표시됨. ( 키워드 : matching) > CSR 생성시사용한개인키파일로다시설정하시거나, 현재소유한개인키파일과맞는인증서로재발급하셔야합니다. 중개 ( 체인 ) 을검증을실패하였습니다 등과같은체인오류메세지가로그 / 표시됨. ( 키워드 : chain) > 중개인증서관련설정내용에확인이필요합니다. 1) Keystore 등 import가필요한웹서버는중개인증서를 import 여부확인 2) 중개인증서경로를별도로설정하는웹서버는중개인증서경로및파일위치확인 개인키의비밀번호가맞지않습니다. 등과같은비밀번호오류메세지가로그 / 표시됨. ( 키워드 : private key, password, passphrase) > 입력하신개인키암호가다르므로, 재발급이필요합니다. ( 파일오류및비밀번호오류사유 ) 1 개의서버에서여러도메인 ( 인증서 ) 사용시주의사항 https(ssl) 을사용하는포트는설치한인증서수량과같아야합니다. 2 개의인증서를설치시 2 개의각각다른포트가필요함 와일드카드 SSL 인증서 (*.kicassl.com), 멀티도메인 SSL 인증서는동일한포트공유가가능한 SSL 인증서입니다. 멀티도메인인증서설치후인증서에도메인을추가신청시인증서는재설치해야합니다. - 25 -

https 사용포트를 443 이아닌다른포트를지정하면 URL 입력시포트까지입력해야함. [https://guide.kicassl.com:443] 443 포트는기본 SSL 포트이므로생략이가능함 [https://guide.kicassl.com:8443] 8443 포트로 SSL 포트설정시 URL에포트번호필수기입 - 본문서있는포트는예제로입력한포트로사용하시려는포트로변경하시면됩니다. https접속시 SSL 인증서가웹서버에설치한 SSL 인증서가아닌다른 SSL 인증서가로드되는오류 설치하신웹서버로직접접속하여어떤인증서를로드했는지확인필요 > 웹서버 IP주소로 https://123.123.123.123:443 으로접속후표시되는인증서오류화면에서 계속탐색 클릭웹브라우저에로드된 SSL 인증서정보를확인합니다. 설치된인증서가표시된다면 L4, 방화벽또는웹서버앞단에장비에도 SSL 인증서설치가필요한지확인이필요합니다. 안드로이드 v5.0( 롤리팝 )+ 또는구글크롬브라우저에서 https 접속이안될시 웹서버에 SSL Protocol 중 TLSv1.2 와 TLSv1.1 을사용가능하도록수정하고해당웹서버의최신보안패치를설치필요 > 2014 년말 SSLv3 Protocol 보안취약성발견으로 TLSv1.1 이상사용이권고되어해당프로토콜미지원시접속이안될수있습니다 https 접속시딜레이가길거나, 경고메시지 ( 인증서해지목록을확인할수없습니다. ) 표시오류 사용자의환경이공용망이아닌경우, 외부 CRL 및 OCSP URL로접속이제한되어있다면브라우저가 SSL 인증서관련정보탐색을하지못하여발생 > 방화벽등네트워크장비에서관련접속 URL( 또는 IP) 및 port 를 open 하여사용자가원활히접속하여사용할수있도록작업필요 (CRL, OCSP URL 정보는인증서마다다르므로인증서파일상세정보에서 자세히 탭내용중 CRL 배포지점, 기관정보액세스 에기입된 URL을확인하시길바랍니다 ) - 26 -

해당도메인접속시 유효하지않은인증서 라는표시발생시 폐쇄망등특정환경의사용자만발생할시 > 중개인증서가웹서버에설치의문제가있어서사용자 ( 접속자 ) 에게중개인증서를전달해주지못할때발생할수있음 - 중개인증서본가이드의설치부분을확인해주시길바랍니다. WIN XP, IE 8이하등낮은버전환경또는윈도우업데이트를하지않은사용자 > 사용자 ( 접속자 ) 의환경에루트인증서가존재하지않아발생할수있음 - 윈도우에내장된윈도우업데이트를통해윈도우업데이트를하거나, 첨부한 RootCA.crt 파일을직접사용자PC에수동설치해야합니다. 해당도메인접속시 만료된인증서 라는표시발생시 해당도메인의접속한사용자 PC의시간이현재시간인지확인해주시길바랍니다. 해당도메인에설치된인증서정보창을띄워해당인증서의만료일을확인해주시기바랍니다. > 도메인인증서갱신을했는데도발생한경우, 방화벽또는 L4 등다른장비에인증서설치가필요한지확인해주시길바랍니다. 해당도메인접속시 폐기된인증서 라는표시발생시 인증서가폐기또는해지된경우 KICASSL 에전화문의해주시길바랍니다.. 추가질문사항은한국정보인증 KICASSL 웹사이트의 FAQ 를확인해주시길바랍니다. www.kicassl.com 링크 - 27 -

감사합니다 신뢰세상 A World of Trust 한국정보인증 SSL (Korea Information Certificate Authority, Inc.) E-mail. webmaster@kicassl.com - 28 -