보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다. 아래는 SSL 보안에대해그림으로간단하게설명해놓은것입니다. < 그림 3-1> SSL 방식의보안서버개념도 인증기관 (Certification Authorities) 에서제공하는 SSL 인증서를발급받아웹서버에설치하게되면웹사이트이용자들의거래, ID/ 패스워드, 개인정보등을암호화하여송수신할수있습니다.
9 보안서버구축가이드 나. 보안서버구축절차 SSL 방식의보안서버구축절차는다음과같습니다. 서버의종류확인 IIS / Apache / Web2B / iplanet 등 2.1 IIS 서버에서보안서버구축하기 개인키생성및 CSR 생성 SSL 인증서발급 2.2 Apache 서버에서보안서버구축하기 개인키생성및 CSR 생성... 인증기관에 CSR 제출및인증서발급신청 신청자상세정보입력및결재 IIS 서버에설치및 SSL 설정 Apache 서버에설치및 SSL 설정 2.5 체인인증서설정 ( 국산인증서설치시참조 ) 3. 오류발생시대처방법 < 그림 3-2> SSL 방식보안서버구축절차 1 SSL 방식의보안서버를사용하기위해서는운영하고있는웹서버에보안서버인증서가설치되어야합니다. 보안서버인증서는운영중인웹서버에서 ' 인증서만들기 ' 를이용하여생성합니다. 발급이완료된인증서는재발급또는변경이불가능하기때문에새로발급받으셔야하며, 새로발급받을시비용이발생할수있으니 CSR 생성시절대주의바랍니다.
보안서버구축가이드 10 2 먼저운영하는웹서버에서개인키를만든후, CSR 파일을생성하여인증기관에보안서버인증서발급을신청합니다. CSR(Certificate Signing Request) 이란인증서요청파일의약어로서운영하는 URL 및운영하는회사의정보등이입력됩니다. 3 인증기관에 CSR을이용하여인증서를신청할때회사의담당자정보등을입력합니다. 인증서발급심사후에신청시입력한담당자의 E-mail 주소로인증서가발급됩니다. 4 발급받은인증서를운영중인웹서버에설치하게되면 SSL 방식의보안서버설정을완료하게됩니다. 서버호스팅서비스를받고있는고객의경우에는서버에대한관리자권한이고객에게있기때문에고객이직접 CSR 생성및인증서발행후에설치를진행해야하며, 호스팅서비스제공업체에게보안서버구축대행을요청하게되면설치대행비가부과될수있습니다. SSL 방식의보안서버구축은서버의운영체제에따라적용절차가모두다르므로업체의서버종류를파악한후, 각서버의설치과정을참고하시기바랍니다. 본가이드에서는 IIS, Apache, Web2B, iplanet 서버에서 SSL 인증서를이용하여보안서버를구축하는방법을소개하고있으며, 향후다른종류의서버에 SSL 방식의보안서버를설치하는방법을지속적으로추가해나갈예정입니다. 2. 설치과정 2.1 IIS 서버에서보안서버구축하기 가. 개인키생성및 CSR 생성방법
11 보안서버구축가이드 1 웹사이트속성선택시작 프로그램 관리도구 인터넷서비스관리자 웹사이트 속성 2 등록정보화면에서디렉토리보안을클릭한후서버인증서를클릭합니다.
보안서버구축가이드 12 3 웹서버인증서마법사를시작합니다. 새인증서를만듭니다 를선택합니다. 4 요청을준비하지만나중에보냅니다 를선택합니다.
13 보안서버구축가이드 5 인증서를만들이름을입력하시기바랍니다. 이름은인증서의별칭이므로쉬운것으로입력하여주시기바랍니다. 인증서키의길이는 1,024가표준입니다. 비트길이가너무크면서버에서인지하지못할경우도있습니다. 6 조직및조직구성단위를입력합니다. 조직은회사의영문전체이름을입력하고, 조직구성단위는영문부서명을입력합니다.( 모든내용은영문으로입력합니다 )
보안서버구축가이드 14 7 인증받을도메인이름을입력하시기바랍니다. 8 지역정보를입력합니다.( 모든내용은영문으로입력합니다.)
15 보안서버구축가이드 9 인증서요청파일 (CSR) 을저장합니다. 10 신청한내용을다시한번확인합니다.
보안서버구축가이드 16 11 인증서신청을완료합니다. 12 CSR 내용을인증기관에게메일로송부하시던지인증서신청화면에붙여넣으신후인증서신청을진행하시면됩니다. 자, 이제인증기관의발급절차에따라서인증서가발급됩니다. 나. SSL 설정 1 웹사이트속성선택시작 프로그램 관리도구 인터넷서비스관리자 웹사이트 속성
17 보안서버구축가이드 2 등록정보화면에서디렉토리보안을클릭한후서버인증서를클릭합니다. 3 보류중인요청을처리합니다.
보안서버구축가이드 18 4 보류중인요청처리-메일을통하여받은인증서 (-----begin 부터 end-----까지 ) 를저장한파일을선택합니다. 인증서파일을선택한후다음버튼을누릅니다. 5 인증서요약 - 현재설치하시고자하는인증서의내용이보여집니다. 만약에신청하신내용과일치하지않으면, 경고메시지가뜨며, 인증서가설치되지않습니다. 그럴경우에는현재의요청을삭제하신후, 새로운인증서를신청하셔야합니다.
19 보안서버구축가이드 6 인증서설치후의설정 - 기본웹사이트의등록정보에서웹사이트탭을선택합니다. 웹사이트확인섹션에서고급버튼을클릭해서 SSL 포트에 443을설정해줍니다.( 기본적으로 443을사용하지만, 사이트운영자가 1~65535 범위내에서임의로포트번호를설정할수있습니다 ) 7 인증서설치확인 - 인증서가정확히설치되었는지인증서가설치된홈페이지를통해확인할수있습니다. https:// 인증서신청 URL에접속해서하단에노란자물쇠버튼이뜨는지확인합니다. 만일 443이아닌다른포트로 SSL 포트를적용하였을경우에는주소창뒤에포트번호를지정해야확인할수있습니다.( 예 : https://www.kisa.or.kr:442)
보안서버구축가이드 20 8 이제 SSL 인증서의설치가완료되었습니다. Ⅵ장으로이동하셔서실제웹페이지를어떻게수정해야하는지알아보겠습니다. 2.2 Apache 서버에서보안서버구축하기 가. Apache 서버에 OpenSSL 과 mod_ssl 의설치방법 Apache 서버에서 SSL 통신을가능하게하기위해서는 OpenSSL과 mod_ssl이필요합니다. 우선, 현재서비스중인 Apache 서버에 mod_ssl이설치되어있는지를 httpd -l 옵션을사용하여 mod_ssl.c 또는 mod_ssl.so가있는지확인하시기바랍니다. 만일설치되어있다면 Apache 서버의버전에맞는개인키생성및 CSR 생성방법과정으로이동하시기바랍니다.