Apache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

Apache( 단일도메인 ) SSL 인증서갱신설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375

1. 발급받으신인증서를해당서버폴더에업로드또는저장합니다. Apache source 및 package 구분아파치경로확인명령어 : ps ef grep httpd -source: /usr/local/apache [ 경로및 apache이름은상이할수있음 ] -> 확인경로에설정파일존재 -package: /usr/sbin/apache [apache이름은상이할수있음 ] -> /etc/httpd 경로에설정파일존재 설명 : [$httpd_home] = Apache 디렉토리 [root@localhost Apache]# mkdir conf/ssl_new [root@localhost Apache]# cp www.ucert.co.kr.* conf/ssl_new [root@localhost Apache]# ls -la conf/ssl_new -rw-r--r--. 1 root root 1931 Jan 1 00:00 www.ucert.co.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 www.ucert.co.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 www.ucert.co.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 www.ucert.co.kr.root-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 2. 기존인증서의시작일과만료일을확인토록한다. [root@localhost Apache_Home]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN 118721/httpd tcp 0 0 :::443 :::* LISTEN 118721/httpd * 설명 : 기존 SSL 사용중인포트확인.( 포트번호는 443 이아닐수도있음 ) [root@localhost Apache_Home]# echo "" openssl s_client -connect localhost:443 openssl x509 - noout -dates * 설명 : 기존인증서시작일및만료일확인. notbefore=jan 30 11:16:09 2017 GMT notafter=jan 31 10:58:54 2018 GMT 인증서시작일 인증서만료일 * 명령어 : echo "" openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout -dates 3. httpd.conf 파일로 ssl 설정문확인.( 필요한문구만을출력하여나타내었습니다. 기존설정내용과상이할수있는점유의바람.) [root@localhost Apache]# vi conf/httpd.conf

# Various default settings #Include conf/extra/httpd-default.conf <IfModule proxy_html_module> Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : SSL 설정파일위치확인. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 4. 해당위치에서 SSL 설정파일확인. [root@localhost Apache]# vi conf/extra/httpd-ssl.conf Listen 443 * 설명 : 사용할 SSL 포트번호 SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec:/usr/local/apache/conf/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 인증서비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)" <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입

DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈디렉토리설정. ServerName www.ucert.co.kr:443 * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile "/usr/local/apache/conf/ssl/www.ucert.co.kr.crt" * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile "/usr/local/apache/conf/ssl/www.ucert.co.kr.key" * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile "/usr/local/apache/conf/ssl/www.ucert.co.kr.ca-bundle" * 설명 : Chain 인증서경로설정및파일명 SSLCACertificateFile "/usr/local/apache/conf/ssl/www.ucert.co.kr.root-bundle" * 설명 : Root 인증서경로설정및파일명 <FilesMatch "\.(cgi shtml phtml php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory "/usr/local/apache/cgi-bin"> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>

5. 기존인증서파일명이 PEM 으로되어있을경우. 1. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/newreq.pem * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile /etc/httpd/conf.d/ssl/chain.pem * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat 명령어로도메인.key, 도메인.crt 파일을하나의파일에추가하여생성한다.( 순서중요!) cat www.ucert.co.kr.key > newreq.pem cat www.ucert.co.kr.crt >> newreq.pem cat 명령어로체인인증서, 루트인증서파일을하나의파일에추가하여생성한다. cat www.ucert.co.kr.ca-bundle > chain.pem cat www.ucert.co.kr.root-bundle >> chain.pem 2. 아래와같이 2 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/www.ucert.co.kr.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/www.ucert.co.kr.key * 설명 : 개인키경로설정및파일명 #SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat www.ucert.co.kr.crt > www.ucert.co.kr.pem cat www.ucert.co.kr.ca-bundle >> www.ucert.co.kr.pem cat www.ucert.co.kr.root-bundle >> www.ucert.co.kr.pem 3. 아래와같이 1 가지형식으로있을경우. SSLCertificateFile /etc/httpd/conf.d/ssl/www.ucert.co.kr.pem * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/www.ucert.co.kr.pem * 설명 : 개인키경로설정및파일명

#SSLCertificateChainFile /etc/httpd/conf.d/ssl/server-ca.crt * 설명 : Chain 인증서경로설정및파일명 #SSLCACertificateFile /etc/httpd/conf.d/ssl/ca-bundle.crt * 설명 : Root 인증서경로설정및파일명 cat명령어로도메인.key 도메인.crt, 체인인증서, 루트인증서파일을하나의파일에추가하여생성한다.( 순서중요!) cat www.ucert.co.kr.key > www.ucert.co.kr.pem cat www.ucert.co.kr.crt >> www.ucert.co.kr.pem cat www.ucert.co.kr.ca-bundle >> www.ucert.co.kr.pem cat www.ucert.co.kr.root-bundle >> www.ucert.co.kr.pem 6. 지정되어있는기존인증서경로에신규인증서업로드. [root@localhost Apache]# ls -al /usr/local/apache/conf/ssl/ -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.ca-bundle -rw-r--r--. 1 root root 1744 Feb 22 00:00 www.ucert.co.kr.crt -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.key -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.root-bundle -rw-r--r--. 1 root root 1744 Feb 22 00:00 비밀번호.txt * 설명 : 해당위치에인증서가있는지확인한다. [root@localhost Apache]# mkdir /usr/local/apache/conf/ssl/20180223 [root@localhost Apache]# cp /conf/ssl/www.ucert.co.kr.* /conf/ssl/20180223 [root@localhost Apache]# ls -al /usr/local/apache/conf/20180223 -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.ca-bundle -rw-r--r--. 1 root root 1744 Feb 22 00:00 www.ucert.co.kr.crt -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.key -rw-r--r--. 1 root root 1931 Feb 22 00:00 www.ucert.co.kr.root-bundle * 설명 : ssl 디렉토리의인증서를 20180222 디렉토리에백업을진행하고백업을확인한다. [root@localhost Apache]# cp /conf/ssl_new/www.ucert.co.kr.* /usr/local/apache/conf/ssl * 설명 : 신규업데이트한인증서파일을기존인증서폴더에저장한다.

7. KEY 파일비밀번호제거및추가하는방법. 비밀번호제거 [root@localhost Apache]# openssl rsa -in www.ucert.co.kr.key -out www.ucert.co.kr.key Enter pass phrase for www.ucert.co.kr.key: [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. 비밀번호추가 [root@localhost Apache]# openssl rsa -in www.ucert.co.kr.key -passout pass:'test1234' -out www.ucert.co.kr.key -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 8. Pass.sh 수정진행.( 기존아파치설정에서 pass.sh 를사용하였다면비밀번호확인후수정필요.) [root@localhost Apache]# vi conf/pass.sh #!bin/sh echo password * 설명 : 기존 password 를확인하고새로발급받은인증서비밀번호와다르다면수정을진행토록한다. :wq 9. 아파치재시작진행. [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인. 비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost Apache]# bin/apachectl stop 아파치 2.0.X 이하버전 [root@localhost Apache]# bin/apachectl startssl

[root@localhost Apache]# bin/apachectl restart * 설명 : 아파치재시작. 아파치 2.2.X 이상버전 [root@localhost Apache]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root 4468 1 0 09:14? 00:00:00 /usr/local/apache/bin/httpd -k start daemon 4469 4468 0 09:14? 00:00:00 /usr/local/apache/bin/httpd -k start daemon 4470 4468 0 09:14? 00:00:00 /usr/local/apache/bin/httpd -k start daemon 4471 4468 0 09:14? 00:00:00 /usr/local/apache/bin/httpd -k start root 4558 4442 0 09:14 pts/3 00:00:00 grep httpd [root@localhost Apache]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN 4468/httpd tcp 0 0 :::443 :::* LISTEN 4468/httpd 10. 인증서설치를확인하도록합니다. [root@localhost ~]# echo "" openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24:14 2018 GMT notafter=dec 31 :38:20 2019 GMT # 인증서시작일 # 인증서만료일 * 명령어형식 : echo "" openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout - dates

11. 웹페이지에서의인증서확인방법 익스플로러확인방법 https://www.ucert.co.kr 접속예 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다.