서버 운영 관리 [ Tip ]

서버클라우드에 무료 SSL인증서를 발급하기 [ Windows ]

Let’s Encrypt freeSSL/TLS는 Moziila, Cisco, Akamai, EFF, id entrust 등이 모인
ISRG(internet Security Research Group) SSL 인증기관을 통하여 SSL을 무료로 제공하고 있습니다.


최근에는 Facebook , WordPress를 만드는 Automattic , shopify 등 많은 회사가 스폰서로 참여하는 등 넓은 범위에서 SSL을 활용하고 있습니다.


IWINV는 ‘서버클라우드' 이용시 Let’s Encrypt FreeSSL/TLS 무료 인증서의 발급/갱신 절차를 기술지원 서비스”를 통해 제공하고 있습니다.

※ 기술지원 요청에 따른 작업비용 별도 발생합니다. 


 

본  매뉴얼은 Let’s Encrypt FreeSSL/TLS 무료인증서 동작 및 설치경로를 설명합니다.


 

SSL 동작과정



SSL(Secure Socket Layer)은 웹사이트의 전송 데이터를 ‘https 프로토콜'을 활용하여
암호화 통신하며, 웹사이트 전체나 또는 개인정보 등의 데이터전송 시 암호화하여 안전하게 데이터 전송할 수 있는 기술입니다.

자세한 내용은 아래와 같습니다.


1. 웹 브라우저에서 https://도메인 입력으로 SSL로 암호화된 페이지를 요청합니다.


2. 웹서버에서 Public Key를 인증서와 함께 전송합니다.



3. 웹브라우저에서 인증서가 자신이 신용있다고 판단한 CA(일반적으로 Trusted root CA로 불림)으로부터 서명된것인지 확인합니다.



4. 웹브라우저에서 Public Key를 사용하여 랜덤 대칭 암호화키(Random Sysmmetric encryption Key)를 비롯한 URL, http 데이터들을 암호화하여 전송합니다.


5. 웹서버의 Private Key를 통해 랜덤 대칭 암호화키와 URL, http 데이터를 복호화합니다.


6. 웹서버는 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 활용하여 암호화하여 브라우저로 전송합니다.


7. 웹브라우저에서 대칭 키를 활용하여 http 데이터와 html 문서를 복호화 하여 화면에 표시합니다.

 

 

Let's Encrypt - 무료 SSL 설치 방법 [ WINDOWS ]

※  IIS에서 사이트(도메인)에 대한 기본설정이 완료된 이후 진행하셔야 합니다. 

※  기본 요구사항

    – IIS 7.5 이하에서 여러 도메인(사이트)에 대해 SSL을 사용하기 위해 모두 동일한 IP 주소로 바인드 해야합니다. 

    – V 1.9이후 부터 최대 100개 도메인(사이트)까지 SAN 인증서를 생성합니다. 


    – IIS 8로 업그레이드 이상을 사용하셔야 합니다. 


    – 와일드 카드 인증서를 지원하지 않습니다. 

    – 최소 .NET 버전 4.5이상을 설치되어 있어야 진행할 수 있습니다. 

 

Win-acme 다운로드 URL : https://github.com/win-acme/win-acme/releases


URL로 접근하여 BIT에 맞는 파일을 내려받은 후 적절한 위치에 압축을 해제합니다.

win-acme.v2.2.6.1571.x64.trimmed.zip
win-acme.v2.2.6.1571.x86.trimmed.zip
win-acme.v2.2.6.1571.arm64.trimmed.zip



 

Let's Encrypt 인증서 발행
 
※ wacs 실행만으로도 설치과정이 진행됩니다. 

IIS 설정이 되어있는 경우 자동적으로 해당 도메인에 대한 정보를 파악 후 인증서 발급을 진행할 수 있습니다.

발급을 원하는 도메인 항목 선택화면은 하단 이미지처럼 인증서가 발급됩니다. 







 

 

인증서 설치 경로 확인




Windows에서 Apache 웹서버를 운영할 경우 ‘숨김파일 표시’ 체크 후 아래의 폴더를 참조하시기 바랍니다.

C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org


특정 사이트(도메인) 인증서 발급

설정되어 있는 사이트 목록을 선택하는 과정을 생략하실 수 있습니다. 


형식 : wacs.exe --manualhost --webroot

예문 : wacs.exe --accepttos --manualhost packet10.ssgstar.com --webroot C:\www\packet10




인증서 발급이 정상적으로 완료되면 인증서 설정 및 SSL 인증서 관련 IIS 설정이 완료된 것을 하단 메뉴를 통해 확인할 수 있습니다. 


 

아래와 같이 인증서가 IIS에 추가되어 있음을 확인할 수 있습니다. 






 

SSL 통신에 필요한 포트(443) 설정 확인 및 사이트 접속을 확인합니다.











Let's Encrypt 인증서 갱신 



인증서 발급이 완료되면 자동으로 작업 스케줄러에 갱신 작업이 등록되어 별도 진행없이 갱신됩니다. 


 


▶ Let's Encrypt 인증서 삭제



서버 인증서에서 인증서를 선택 후 제거버튼을 누르면 인증서 제거를 진행하실 수 있습니다.

※ 이 때 443으로 연결된 설정도 삭제되오니 주의가 필요합니다. 

 





무료 인증서 사용 시 주의사항 






1. 인증서 관련 피해가 발생 시 손해보험사의 보상을 받으실 수 없습니다.

2. Windows XP SP3 이하 사용자는 정상적인 SSL 통신을 제공받기 어렵습니다.

3. 일부 브라우저의 경우 호환성 문제가 발생할 수 있습니다.

4. 인증서의 만료일은 90일입니다.


※ '온라인 기술지원' 서비스를 통해 iwinv에서 Let's Encrypt 인증서 발급 시 자동갱신 프로세스가 제공됩니다.  





호환성


 

ISRG Root X1을 신뢰하는 플랫폼


윈도우 >= XP SP3 (자동 루트 인증서 업데이트를 강제로 비활성화하지 않았다는 전제 하)

  • 블랙베리 OS < v10.3.3

  • 안드로이드 OS < v2.3.6
     

  • 닌텐도 3DS 게임 기기

  • 윈도우 XP SP3 이전 버전

    SHA-2 서명 인증서를 처리할 수 없음
    자바 7 < 7u111
     

  • 자바 8 < 8u101

  • 윈도우 라이브 메일 (2012버전 메일 클라이언트, 웹메일 아님)

    CRL없이 인증서를 처리할 수 없음
     

  • PS3 게임 기기

PS4 게임 기기 내 펌웨어 < 5.00


Let's Encrypt FreeSSL/TLS Major Sponsors