웹호스팅에서 무료 SSL인증서를 발급하기
|
본 메뉴얼은 Let's Encrypt FreeSSL/TLS 무료인증서에 대하여 설명한다. |
본 메뉴얼의 설명에 앞서, 해당 메뉴얼은 고객안내에 편의를 위하여 "계정.iwinv.net" 도메인으로 작성 된 부분은 참고 해야 하며,
현재는 "계정.iwinv.net" 과 같이 iwinv의 서비스 도메인에는 ssl 이 자동으로 적용 되어있다
Let's Encrypt FreeSSL/TLS 소개
Let's Encrypt FreeSSL/TLS은 Mozilla, Cisco, Akamai, EFF, id entrust 등이 모여서 ISRG(Internet Security Research Group)라는 SSL 인증기관을 만들어 SSL을 무료로 제공하고 있으며, 최근에는 Facebook, 워드프레스를 만드는 Automattic, shopify 등 많은 회사가 스폰서로 참여하고 있다.
iwinv에서 제공하는 Let's Encrypt FreeSSL/TLS 무료 인증서는 90일 유효한 인증서 이며, 한번의 클릭으로 자동 발급, 90일 이전에 자동으로 갱신 되도록 서비스가 마련되어 있다.
SSL 간단한 동작 과정
SSL(Secure Socket Layer)은 웹사이트의 전송 데이터를 https 프로토콜을 사용하여 암호화 통신하며, 웹사이트 전체 또는 개인정보 등의 개별 데이터 전송시 암호화여, 안전한 데이터 전송이 가능하게 해주는 기술이다.
1. 웹브라우저에서 https://도메인 입력으로 SSL로 암호화된 페이지를 요청하게 된다.
2. 웹서버에서 Public Key를 인증서와 함께 전송한다.
3. 웹브라우저에서 인증서가 자신이 신용있다고 판단한 CA(일반적으로 trusted root CA라고 불림)로부터 서명된 것인지 확인한다.
(역주:Internet Explorer나 Netscape와 같은 웹브라우저에는 이미 Verisign, Thawte와 같은 널리 알려진 root CA의 인증서가 설치되어 있다)
4. 웹브라우저에서 Public Key를 사용해서 랜덤 대칭 암호화키(Random symmetric encryption key)를 비릇한 URL, http 데이터들을 암호화해서 전송한다.
5. 웹서버의 Private Key를 이용해서 랜덤 대칭 암호화키와 URL, http 데이터를 복호화한다.
6. 웹서버는 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 이용하여 암호화해서 브라우저로 전송한다.
7. 웹브라우저에서 대칭 키를 이용해서 http 데이터와 html문서를 복호화하고, 화면에 표시한다.
무료 인증서 사용시 주의사항
1. 인증서 관련 피해 발생시 손해보험사의 보상을 받을 수 없다.
2. Windows XP SP3 이하 이용자는 정상적인 SSL 통신이 되지 않는다.
3. 일부 브라우저의 경우 호환성 문제가 있다.
4. 인증서의 만료일이 90일다.(iwinv 서비스에서 발급받은 Let'sencrypt 인증서는 자동 갱신 프로세스가 마련되어 있다.)
5. 도메인이 다른 도메인으로 Redirect 되는 경우 인증서 발급이 되지 않습니다. Redirect를 해제 하신 후 개별 도메인으로
사이트 접속이 가능하도록 하신 후 인증서 발급을 진행해야 합니다
6. 최근 90일사이에 타 기관(호스팅업체) 또는 서버에서 Let's Encrypt FreeSSL/TLS 인증서 발급을 하신 적이 있으시다면 해당 기관 또는 서버에서
"letsencrypt-auto delete" 명령으로 삭제 하신 후 발급을 진행해야 한다.
호환성
-
Compatible
Incompatible
Mozilla Firefox >= v2.0
Google Chrome
Internet Explorer on Windows XP SP3 and higher
Microsoft Edge
Android OS >= v2.3.6
Safari >= v4.0 on macOS
Safari on iOS >= v3.1
Debian Linux >= v6
Ubuntu Linux >= v12.04
NSS Library >= v3.11.9
Amazon FireOS (Silk Browser)
Cyanogen > v10
Jolla Sailfish OS > v1.1.2.16
Kindle > v3.4.1
Java 7 >= 7u111
Java 8 >= 8u101
Blackberry OS v10, v7, & v6
Android < v2.3.6
Nintendo 3DS
Windows XP prior to SP3
cannot handle SHA-2 signed certificates
Java 7 < 7u111
Java 8 < 8u101
Windows Live Mail (2012 mail client, not webmail)
cannot handle certificates without a CRL
무료 인증서 발급하기
무료 인증서 발급을 하기 위해서 반드시 Let's Encrypt FreeSSL/TLS 발급기관에서 고객의 웹사이트에 접속이 가능하여야 한다.
- iwinv DNS 서비스를 이용하시는 고객님께서는 관리콘솔 > DNS > 도메인 추가하기 > 레코드 추가 한다. - 직접 DNS 서버를 운영하시는 경우 도메인의 존파일 및 레코드가 추가 되어 있어야 한다.
|
위 항목이 문제가 없고 정상적인 사이트 접속이 되는 상태에서 Let's encrypt FreeSSL/TLS 의 발급이 되지 않는 경우,
letsencrypt.org 검증 서버의 DNS가 아직 갱신 되지 않아 발생한 문제일 가능성이 높다.
이럴 경우 1~2시간(최대 1일) 이후 다시 발급 신청을 진행해 보기 바란다.
1. 무료 SSL 인증서 발급
※ 캡쳐 화면은 테스트 페이지 이므로 실제 서비스 콘솔페이지와 차이가 있을 수 있습니다.
계정관리 메뉴에서 도메인 탭을 선택하면 SSL 이용 내역을 확인 할 수 있다.
④ SSL 신청 버튼
⑤ SSL 인증서 이용 중 상태(이용 중인 SSL 포트가 표현된다.)
- 인증서 발급(④) 신청하기 (무료 SSL 발급)
iwinv에서 기본으로 제공되는 도메인(계정ID.iwinv.net)에 대한 인증서 발급 신청 페이지이다.(참고. 기본 제공하는 ID.iwinv.net은 SSL 이 자동으로 적용되어있다.)
SSL 기본 포트(443)을 공통으로 사용할 수 있다.
"SSL 신청" 버튼 클릭하게 되면 잠시 후 설치가 완료되며, "SSL 신청"버튼이 이용중인 443 포트로 변경된 후 이용이 가능한다.
SSL 페이지를 확인하시려면 http://도메인이름 이 아닌 "https://도메인이름" 으로 접속을 하여야 한다.
| 참고 :인증서의 발급 후 삭제하여 다시 발급하는 것은 "주 3회"로 제한되어 있으니, 주의하여 주시기 바란다. |
본 메뉴얼의 설명에 앞서, 해당 메뉴얼은 고객안내에 편의를 위하여 "계정.iwinv.net" 도메인으로 작성 된 부분은 참고 해야 하며,
현재는 "계정.iwinv.net" 과 같이 iwinv의 서비스 도메인에는 ssl 이 자동으로 적용 되어있다.
크롬 브라우저의 경우 다음과 같이 "안전함" 이라는 문자를 주소 창에서 확인 할 수 있으며
IE(인터넷 익스플로러)의 경우 "자물쇠" 아이콘을 아래와 같이 확인 할 수 있다.
- 항상 https:// 으로 접속되게 하려면
만약, 홈페이지로 들어오는 모든(http://도메인이름) 접속을 (https://도메인이름)으로 넘겨 주고 싶은 경우 ".htaccess" 파일을 만들거나 수정해주 주시기 바란다.
보통 ".htaccess" 파일은 웹루트(/home1/계정ID/puclic_html)에 위치하며, 내용은 다음과 같다.
|
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://도메인이름/$1 [R,L]
|
- 특정 데이터만 SSL 암호화 통신
특정 데이터(로그인 ID, 비밀번호, 개인정보 등) 만 SSL 통신을 하시려면 웹사이트 소스를 수정해야 하며, 직접 수정하시거나 사이트 개발자에 요청하여 해당 데이터전송시 SSL 통신이 되도록 요청해야 한다.(iwinv 서비스팀에서는 웹소스 수정 작업은 제공해 드리지 않니다.)
참고.
|
SSL 인증서의 발급이 진행되면, 사이트 웹루트(/home1/계정ID/public_html) 하위에 .well_known 이라는 숨은 폴더가 생성되며, 인증서 발급 진행시 사이트의 인증과정에 필요한 파일이 생성되는 폴더 이므로 가급적 삭제 하지 않기 바란다.
|
2. 무료 SSL 인증서의 갱신
무료로 발급된 인증서(Let's Encrypt FreeSSL/TLS)는 만료일이 90일 이며 iwinv에서 발급해 드린 인증서는 90이전에 iwinv 웹호스팅 자동화 프로그램에 의해 자동으로 갱신되며, 고객은 SSL 인증서 갱신에 필요한 추가적인 작업이 없다.
외부 SSL 인증서 설치 및 갱신 요청
타사 SSL 인증서 발급기관에서 발급한 인증서의 설치 및 갱신을 원하시는경우 다음 메뉴에서 외부 인증서를 설치 요청을 할 수 있다.
(인증서 키파일의 비밀번호는 인증서 설치 후 자동 폐기 된다.)
계정ID.iwinv.net 도메인은 기본적으로 Let's Encrypt FreeSSL/TLS 무료 인증서 설치를 제공하며, 다만 반드시 외부 SSL 인증서 설치를 원하는 시는 경우 "온라인 기술지원"를 통하여 설치 및 갱신 신청을 접수하여야 한다.
SSL 통신포트는 기본적으로 443을 제공하나 기존에 다른 포트를 사용하셨다면 포트의 변경이 가능하며, 10000~19999 중 원하는 포트번호를 입력하여 신청한다.
외부 인증서의 설치 및 갱신은 관리자의 작업이 필요하므로 다소 시간이 소요될 수 있다. ( 인증서 비밀번호가 없는 경우 체크를 해제 해 주시기 바랍니다. )
외부 인증서의 갱신은 관리자의 작업이 필요하므로 다소 시간이 소요될 수 있으며, 인증서의 만료일 전에 신청해 주시기 바란다.
위와 같이 기술지원 요청서를 통해 외부인증서 설치 요청을 할 수 있다.
인증서 파일은 FTP로 웹호스팅 계정에 업로드 한 후 기술지원 상세 내역에 업로드 위치를 남겨두면 파일 확인 후 설치가 진행 된다.
| 참고 : 수동으로 인증서를 갱신하는 경우 일일 3회로 제한되어 있으니, 주의하여 주시기 바랍니다. |
인증서 삭제하기
SSL 통신이 필요없는 사이트의 경우 설치된 SSL 인증서를 삭제할 수 있다.
웹호스팅 계정에 연결된 도메인 리스트 중 삭제를 원하시는 도메인의 포트번호를 클릭하면 아래의 페이지가 표현되며 "설정변경" 버튼의 클릭으로 삭제가 가능하다.
|
.htaccess 파일을 생성 및 수정하였다면 파일을 삭제하거나 위에서 .htaccess 파일에서 해당 코드 부분을 제거 해 주어야 한다.
코드: RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://도메인이름/$1 [R,L]
삭제되거나 수정되지 않는 경우 http://도메인이름 으로 접속시 https://도메인이름 접속을 시도하여 오류가 발생하니 주의 하기 바란다. |
1. 연결 도메인 삭제
도메인관리 메뉴에서 연결 도메인 삭제시 발급받은 SSL 인증서 및 서버 설정이 모두 삭제된다.
2. SSL 인증서 삭제
