2017 년보안서버구축교육 2017. 11
보안서버 종류 - 웹브라우저와웹서버간송 수신하는데이터를암호화하여전송하는기능이구축되어있는서버 ( 웹사이트 ) - SSL(Security Socket Layer) 방식 - 어플리케이션 (API) 방식 (= 인증서처리프로그램 )
보안서버구축효과 - 정보유출방지 - 송 수신데이터암호화로개인정보노출방지
보안서버구축효과 데이터위변조방지 - 암호화로인한데이터식별및위 / 변조불가 평문데이터 암호화데이터
보안서버구축효과 피싱방지 - 사이트운영주체확인을통한위조사이트접근방지 SSL API
보안서버구축효과 신뢰도향상 - 개인정보를안전하게관리하는기관이미지부각
보안서버관련법률 - 개인정보보호법 제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야한다. 제 73 조 ( 벌칙 ) 다음각호의어느하나에해당하는자는 2 년이하의징역또는 2 천만원이하의벌금에처한다. 1. 제 23 조 2 항, 제 24 조제 3 항, 제 25 조제 6 항또는제 29 조를위반하여안전성확보에필요한조치를하지아니하여개인정보를분실 도난 유출 변조또는훼손당한자 제 75 조 ( 과태료 ) 1 다음각호의어느하나에해당하는자에게는 5 천만원이하의과태료를부과한다.... 6. 제 23 조 2 항, 제 24 조제 3 항, 제 25 조제 6 항또는제 29 조를위반하여안전성확보에필요한조치를하지아니한자
SSL(Security Socket Layer) - Netscape사에서개발한웹데이터암호화를위한프로토콜 브라우저와서버간모든송 수신데이터암호화 인증서처리프로그램 (API) - 특정웹데이터암호화를위하여개발된프로그램 데이터암호화외추가기능지원가능 ( 인증, 서명등 )
SSL / API 비교 SSL 인증서처리프로그램 (API) 구축방식 인증기관으로부터 SSL 인증서를발급받아웹서버에설치 웹서버에 API(Server) 설치 웹서버접속시사용자 PC 에 API(Client) 설치 장점 사용자 PC 에별도로프로그램설치가필요없음 별도의시스템개발이필요없음 원하는데이터만선택하여암호화가능 사용자인증, 전자서명등의보안기능을제공 단점 주기적인 SSL 인증서교체필요 ( 인증서유효기간 : 2 년 3 개월 ) 적용범위에따라서버에부하를줄수있음 PC 상태에따라 API(Client) 설치오류가능성존재 API 기능적용을위한시스템개발필요
SSL 방식의보안서버 송수신웹데이터암호화 비인가자에대한정보유출방지
SSL 신청절차 2 등록처리 RA 담당자 ( 인증센터 ) 인증서발급관리시스템 ( 인증센터 ) 1 인증서신청 ( 전자문서 / 공문 ) 4 CSR 파일생성 이용기관 6 발급한 SSL 인증서웹서버에적용 웹서버시스템 ( 이용기관 ) SSL 적용관련문의 : 전자서명인증센터 (053-714-0755)
SSL 인증서신청양식 SSL 인증서관리담당자정보입력 SSL 인증서등록시도메인정보만입력 ( 단일 / 멀티 / 와일드카드로신청가능 ) 개인정보취급제공동의 공문서붙임시서명또는 ( 인 ) 생략가능 ( 단, 신청인과기안자가다를경우반드시담당자서명필요 ) 12
SSL 인증서종류 단일도메인 1대의웹서버내에 1개의도메인을운영중인경우 예 ) www.epki.go.kr 멀티도메인 1대의웹서버내에 N개의도메인을운영중인경우 예 ) www.epki.go.kr / www.moe.go.kr 와일드카드 1대의웹서버내에호스트명이다르고도메인명이같은 N개의도메인을운영중인경우 예 ) www.epki.go.kr / admin.epki.go.kr / login.epki.go.kr => *.epki.go.kr 로 SSL 인증서신청
SSL 보안서버구축 - Windows -
VirtualBox 기동 VirtualBox 는실습을위한가상환경구성에사용된프로그램이며실제구축작업에는필요하지않습니다.
VirtualBox 기동 (2) 키보드 [F1] 키 + [Delete] 키입력 로그인패스워드 : epki1234!
CSR 파일생성 [ CSR(Certificate Signing Request) ] 인증서발급을위해필요한데이터 (= SSL 을구축하기위한웹서버의정보 ) 관리도구 -> IIS( 인터넷정보서비스 ) 관리자 -> 서버인증서
CSR 파일생성 (2) 인증서요청만들기 -> 고유이름속성항목입력
CSR 파일생성 (3) 키의비트길이 2048 로설정
CSR 파일생성 (4) CSR 파일저장경로및파일명설정
발급인가메일확인 ( 참조번호 / 인가코드 ) SSL 인증서등록처리가완료되면신청서작성된인증서관리담당자정보로문자 / 메일전달 1. SMS 문자 ( 교육부 SSL 용인증서발급이인가되었습니다. 메일을확인하세요 ) 2. 메일 ( 교육부전자서명인증센터사용자등록안내메일 )
홈페이지조회 ( 참조번호 / 인가코드 ) 사업자등록번호 1231212345 URL www.iis[ 테이블번호 ].go.kr ( 예 : www.iis8.go.kr) 임시비밀번호 - 12341234
SSL 용인증서발급 1 참조번호 / 인가코드입력및 CSR 파일불러오기 2 인증서저장위치선택 3 인증서저장완료 메일로받은참조번호 / 인가코드를입력하고웹서버에서생성한 CSR 파일을불러오기및 저장될인증서파일이름을입력한후발급버튼을클릭
서버인증서설정 서버인증서 -> 인증서요청완료
서버인증서설정 (2) 발급받은 SSL 인증서선택
서버인증서설정 (3) 이름 도메인명입력
서버인증서설정 (4) 서버인증서등록확인
RootCA, CAChain 인증서다운로드 1 http://www.epki.go.kr 자료실 [ 루트및체인인증서 ] 루트인증서 : RootCA ( 최상위인증기관 GPKI) 체인인증서 : CAChain ( 인증기관 EPKI)
체인및루트인증서적용 시작 -> 실행 -> MMC
체인및루트인증서적용 (2) 파일 -> 스냅인추가 / 제거클릭
체인및루트인증서적용 (3) 인증서 -> 추가클릭
체인및루트인증서적용 (4) 로컬컴퓨터선택 -> 마침클릭
체인및루트인증서적용 (5) 중개인증기관 -> 인증서마우스우클릭 -> 모든작업 -> 가져오기
체인및루트인증서적용 (6) 인증서가져오기마법사시작
체인및루트인증서적용 (7) 중개인증서 (Chain 인증서 ) 선택
체인및루트인증서적용 (8) 모든인증서를다음저장소에저장 -> 중개인증기관 -> 다음클릭
체인및루트인증서적용 (9) 인증서가져오기마법사완료
체인및루트인증서적용 (10) 신뢰할수있는루트인증기관 -> 인증서마우스우클릭 -> 모든작업 -> 가져오기
체인및루트인증서적용 (11) 루트인증서 (Root 인증서 ) 선택
체인및루트인증서적용 (12) 모든인증서를다음저장소에저장선택
체인및루트인증서적용 (13) 인증서가져오기마법사완료
웹사이트 SSL 적용 SSL 인증서를적용할사이트마우스우클릭 -> 바인딩편집
웹사이트 SSL 적용 (2) 사이트바인딩 -> 추가클릭
웹사이트 SSL 적용 (3) 종류 https, 포트 SSL 포트, SSL 인증서 서버에적용한인증서
SSL 적용확인 ( 실제서버작업시불필요 ) c:\windows\system32\drivers\etc\hosts 파일설정
SSL 적용확인 Https 로접속하여자물쇠모양이보이면정상적으로 SSL 인증서가적용된상태
SSL 보안서버구축 - Linux -
VirtualBox 기동 VirtualBox 는실습을위한가상환경구성에사용된프로그램이며실제구축작업에는필요하지않습니다.
VirtualBox 기동 - 로그인 보안서버 SSL 구축 API 구축지원
VirtualBox 기동 보안서버 SSL 구축 API 구축지원
CSR 파일생성 (+key) Openssl 프로그램이용해난수데이터 (rand.dat) 생성 Ex> openssl sha1 * > rand.dat 난수데이터 (rand.dat) 생성후 "Openssl" 이용해개인키를생성 Ex> openssl genrsa r a n d rand.dat - d e s 3 2048 > key_2048.key 개인키생성후 "Openssl" 이용해 CSR 파일생성 Ex> openssl req new key key_2048.key out csr_2048.csr
발급인가메일확인 ( 참조번호 / 인가코드 ) SSL 인증서등록처리가완료되면신청서작성된인증서관리담당자정보로문자 / 메일전달 1. SMS 문자 ( 교육부 SSL 용인증서발급이인가되었습니다. 메일을확인하세요 ) 2. 메일 ( 교육부전자서명인증센터사용자등록안내메일 )
홈페이지조회 ( 참조번호 / 인가코드 ) 사업자등록번호 1231212345 URL www.iis[ 테이블번호 ].go.kr ( 예 : www.iis8.go.kr) 임시비밀번호 - 12341234
SSL 용인증서발급 1 참조번호 / 인가코드입력및 CSR 파일불러오기 2 인증서저장위치선택 3 인증서저장완료 메일로받은참조번호 / 인가코드를입력하고웹서버에서생성한 CSR 파일을불러오기및 저장될인증서파일이름을입력한후발급버튼을클릭
RootCA, CAChain 인증서다운로드 1 http://www.epki.go.kr 자료실
인증서적용 (Httpd.conf 파일수정 ) 1. httpd.conf 파일수정 Vi /apache 설치절대경로 /conf/httpd.conf Vi /home/ssl/ssl/httpd/conf/httpd.conf 2. 사용할 Port 정의 Listen 80 3. httpd-ssl.conf 주석해제 #Include conf/extra/httpd-ssl.conf # 삭제하여주석해제
인증서적용 (Httpd-ssl.conf 파일수정 ) 1. httpd-ssl.conf 파일수정 Vi /apache 설치절대경로 /conf/extra/httpd-ssl.conf Vi /home/ssl/apache/conf/extra/httpd-ssl.conf 2. 사용할 Port 정의 Listen 443 3. VirtualHost 항목수정 DocumentRoot = 사이트홈디렉토리경로 ServerName = 도메인이름과사용할 SSL Port
인증서적용 (Httpd-ssl.conf 파일수정 - 2) 4. SSL 인증서및 key 경로설정 SSLCertificateFile = 인증서파일경로예 ) /home/ssl/apache/cert/www.apache.go.kr.cer SSLCertificateKeyFile = Key 파일경로예 ) /home/ssl/apache/cert/key_2048.key SSLCertificateChainFile = Chain 인증서파일경로예 ) /home/ssl/apache/cert/new_cachain_change.cer SSLCaCertificateFile = RootCA 인증서파일경로예 ) /home/ssl/apache/cert/new_rootca.cer
Apache 기동 /home/ssl/apache/bin 경로에서./apachectl start 명령어입력후 개인키비밀번호 (key 비밀번호 ) 입력하여 Apache 기동
SSL 적용확인 Https 로접속하여자물쇠모양이보이면정상적으로 SSL 인증서가적용된상태
감사합니다. TEL : 053-714-0755 Email : epkihelp@keris.or.kr