Apache( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 02-512-9375
1. 발급받으신인증서를해당 SSL 폴더에업로드또는저장합니다. 설명 : [$Apache] = Apache 디렉토리. 소스버전의경우 [root@localhost Apache]# mkdir conf/ssl [root@localhost Apache]# cp www.ucert.co.kr.* conf/ssl [root@localhost Apache]# ls -la conf/ssl -rw-r--r--. 1 root root 1931 Jan 1 00:00 mdc.ucert.co.kr.ca-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 mdc.ucert.co.kr.crt -rw-r--r--. 1 root root 1931 Jan 1 00:00 mdc.ucert.co.kr.key -rw-r--r--. 1 root root 1931 Jan 1 00:00 mdc.ucert.co.kr.root-bundle -rw-r--r--. 1 root root 1744 Jan 1 00:00 비밀번호.txt 2. [$Apache]/modules 디렉토리를확인하여 ssl 모듈확인. 동적설치확인. [root@localhost Apache]# ls bin build cgi-bin conf error htdocs icons include logs man manual modules [root@localhost Apache]# ls modules mod_authn_anon.so mod_authz_owner.so mod_deflate.so mod_ssl.so mod_authn_dbd.so mod_authz_user.so mod_dir.so mod_speling.so mod_authn_dbm.so mod_autoindex.so mod_disk_cache.so mod_ssl.so mod_authn_default.so mod_cache.so mod_dnssd.so mod_status.so 정적설치확인. [root@localhost Apache]# bin/apachectl -l Compiled in modules: core.c http_core.c mod_so.c mod_ssl.c 3. httpd.conf 파일수정. 모듈및설정파일을활성화시킨다.( 필요한문구만을출력하여나타내었습 니다.) [root@localhost Apache]# vi conf/httpd.conf Listen 80
# Dynamic Shared Object (DSO) Support # # Example: # LoadModule foo_module modules/mod_foo.so # #LoadModule mpm_event_module modules/mod_mpm_event.so #LoadModule mpm_prefork_module modules/mod_mpm_prefork.so #LoadModule mpm_worker_module modules/mod_mpm_worker.so #LoadModule authn_file_module modules/mod_authn_file.so #LoadModule authz_dbd_module modules/mod_authz_dbd.so LoadModule ssl_module modules/mod_ssl.so * 설명 : 위와같은 ssl 모듈을찾아서주석을제거하여활성화한다. <IfModule proxy_html_module> #Include conf/extra/proxy-html.conf </IfModule> Include conf/extra/httpd-ssl.conf * 설명 : 위와같은 ssl 설정파일을찾아서주석을제거하여활성화한다. <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule> 4. httpd-ssl.conf 파일수정.( 필요한문구만을출력하여나타내었습니다.) [root@localhost Apache]# vi conf/extra/httpd-ssl.conf Listen 443 * 설명 : 사용할 SSL 포트번호. 멀티인증서의경우동일한포트사용이가능. 싱글인증서의경우불가. * 설명 : 다른프로세스로사용중인포트에중복사용불가. SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3 * 설명 : SSL 프로토콜설정. #SSLPassPhraseDialog builtin SSLPassPhraseDialog exec: /usr/local/apache/conf/pass.sh * 설명 : ssl 인증서비밀번호 shell script 위치및설정. 비밀번호가없다면설정불필요. SSLSessionCache SSLSessionCacheTimeout 300 "shmcb:/usr/local/apache/logs/ssl_scache(512000)" NameVirtualHost *:443 <VirtualHost *:443> * 설명 : 주로 * 자리에 IP 주소기입 * 설명 : www.ucert.co.kr SSL 설정 DocumentRoot "/usr/local/apache/www" * 설명 : 도메인홈디렉토리설정. ServerName www.ucert.co.kr:443 * 설명 : 설치가필요한도메인이름. ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.crt" * 설명 : 인증서경로설정및파일명 SSLCertificateKeyFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.key" * 설명 : 개인키경로설정및파일명 SSLCertificateChainFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.ca-bundle" * 설명 : Chain 인증서경로설정및파일명 SSLCACertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.root-bundle" * 설명 : Root 인증서경로설정및파일명 <FilesMatch "\.(cgi shtml phtml php)$"> </FilesMatch> <Directory "/usr/local/apache/cgi-bin">
</Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:443> * 설명 : dev.ucert.co.kr SSL 설정 DocumentRoot "/usr/local/apache/dev" * 설명 :dev 홈디렉토리설정. ServerName dev.ucert.co.kr:443 * 설명 : www가아닌 dev 도메인이름을기입 ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.crt" SSLCertificateKeyFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.key" SSLCertificateChainFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.ca-bundle" SSLCACertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.root-bundle" * 설명 : 인증서위치는 www.ucert.co.kr 도메인과동일한위치로지정토록한다. ( 원한다면다른위치의파일사용가능.) <FilesMatch "\.(cgi shtml phtml php)$"> </FilesMatch> <Directory "/usr/local/apache/cgi-bin"> </Directory>
BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> <VirtualHost *:443> * 설명 : aka.ucert.co.kr SSL 설정 DocumentRoot "/usr/local/apache/aka" * 설명 :aka 홈디렉토리설정. ServerName aka.ucert.co.kr:443 * 설명 : www가아닌 aka 도메인이름을기입 ServerAdmin you@example.com ErrorLog "/usr/local/apache/logs/error_log" TransferLog "/usr/local/apache/logs/access_log" SSLEngine on * 설명 : SSL 엔진사용. SSL 을사용토록한다. SSLCertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.crt" SSLCertificateKeyFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.key" SSLCertificateChainFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.ca-bundle" SSLCACertificateFile "/usr/local/apache/conf/ssl/mdc.ucert.co.kr.root-bundle" * 설명 : 인증서위치는 www.ucert.co.kr 도메인과동일한위치로지정토록한다. ( 원한다면다른위치의파일사용가능.) <FilesMatch "\.(cgi shtml phtml php)$"> </FilesMatch> <Directory "/usr/local/apache/cgi-bin"> </Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0
CustomLog "/usr/local/apache/logs/ssl_request_log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> 5. KEY 파일비밀번호제거및추가하는방법. 비밀번호제거 [root@localhost Apache]# openssl rsa -in www.ucert.co.kr.key -out www.ucert.co.kr.key Enter pass phrase for www.ucert.co.kr.key: [ 비밀번호 ] writing RSA key * 명령어형식 : openssl rsa -in [ 제거할키파일명 ] -out [ 제거한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호제거완료. 비밀번호추가 [root@localhost Apache]# openssl rsa -in www.ucert.co.kr.key -passout pass:'test1234' -out www.ucert.co.kr.key -des3 writing RSA key * 명령어형식 : openssl rsa -in [ 추가할키파일명 ] -passout pass:'[ 비밀번호 ]' -out [ 추가한키파일명 ] * 설명 : 위와같이쓰기문구가출력된다면비밀번호추가완료. 6. Shell Script 제작. Shell Script 가있으면재시작시비밀번호를입력할필요가없다. ( 인증서비밀번 호가없다면불필요함. [root@localhost Apache]# vi conf/pass.sh #!bin/sh echo 패스워드 :wq [root@localhost Apache]# chmod a+x paas.sh * 설명 : root 만권한준다면 chmod 700 7. 아파치재시작진행. [root@localhost Apache]# bin/apachectl -t Syntax OK * 설명 : 설정문법에오류가있는지확인한다. 오류가있다면오류문구출력. [root@localhost Apache]# bin/apachectl -v * 설명 : 아파치버전확인.
비밀번호가있는인증서라면재시작시비밀번호를입력. 비밀번호가제거혹은 Shell Script 사용시비밀번호입력불필요. [root@localhost Apache]# bin/apachectl stop 아파치 2.0.X 이하버전 [root@localhost Apache]# bin/apachectl startssl [root@localhost Apache]# bin/apachectl restart * 설명 : 아파치재시작. 아파치 2.0.X 이상버전 [root@localhost Apache]# ps -ef grep httpd * 설명 : 아파치데몬확인진행 root 117031 1 0 Feb20 00:00:03 /usr/local/apache/bin/httpd -k start daemon 117032 117031 0 Feb20 00:00:00 /usr/local/apache/bin/httpd -k start daemon 117033 117031 0 Feb20 00:00:00 /usr/local/apache/bin/httpd -k start daemon 117034 117031 0 Feb20 00:00:00 /usr/local/apache/bin/httpd -k start daemon 117121 117031 0 Feb20 00:00:00 /usr/local/apache/bin/httpd -k start root 118682 117620 0 01:22 pts/1 00:00:00 grep httpd [root@localhost Apache]# netstat -nlp grep httpd tcp 0 0 :::80 :::* LISTEN 118721/httpd tcp 0 0 :::443 :::* LISTEN 118721/httpd 8. 인증서설치를확인하도록합니다. [root@localhost ~]# echo "" openssl s_client -connect localhost:443 openssl x509 -noout -dates * 설명 : 위의명령어를입력하여인증서갱신날짜를확인하도록합니다. notbefore=jan 1 00:24:14 2016 GMT # 인증서시작일 notafter=dec 31 :38:20 2017 GMT # 인증서만료일 * 명령어형식 : echo "" openssl s_client -connect [ 도메인 or IP]:[ 포트번호 ] openssl x509 -noout - dates
9. 웹페이지에서의인증서확인방법 익스플로러확인방법 https://www.ucert.co.kr 접속예 도메인접속후에 Alt 키를누르고파일 속성 인증서클릭후인증서보기를선택하시면인증서정보를확인할수있습니다. 발급대상과유효기간이맞는지 확인합니다.