단 몇초만의 클라우드

Lets Encrypt DST Root CA 인증서 만료 관련 조치사항

Let's Encrypt 인증서를 이용하는 홈페이지가 9월 30일 DST Root CA 인증서 만료로 인해 접속이 정상적으로 되지 않을 경우 체크 사항에 대한 메뉴얼 입니다.

Let's Encrypt 에서 사용하는 Root 인증서 인 DST Root CA x3 의 만료로 ISRG Root X1 로 변경 적용 되었습니다.

아래는 Let's Encrypt 에서 공개한 ISRG Root X1 인증서 호환 가능한 버젼 안내 입니다.

(https://letsencrypt.org/docs/certificate-compatibility/)

Windows >= XP SP3 (assuming Automatic Root Certificate Update isn’t manually disabled)
macOS >= 10.12.1
iOS >= 10 (iOS 9 does not include it)
iPhone 5 and above can upgrade to iOS 10 and can thus trust ISRG Root X1
Android >= 7.1.1 (but Android >= 2.3.6 will work by default due to our special cross-sign)
Mozilla Firefox >= 50.0
Ubuntu >= xenial / 16.04 (with updates applied)
Debian >= jessie / 8 (with updates applied)
Java 8 >= 8u141
Java 7 >= 7u151
NSS >= 3.26

위 버젼에 포함 되더라도 Root CA 인증서 업데이트가 비활성화 되어있거나 하는 등 업데이트가 안될 경우 동일한 문제가 발생 할 수 있습니다.

업데이트, Root CA 인증서 설치가 불가능한 경우 최신버젼의 Firefox 브라우져와 같이 브라우져 자체 인증서를 사용하는 웹브라우져로 접속 하는 방법도 있습니다.

1. 클라이언트 (일반 PC 접속시)

Root CA 인증서 자동업데이트 체크

Root CA 인증서 수동 설치

2. 서버 간 통신시

Ubuntu 16

CentOS 7

ROOT CA 인증서 업데이트

윈도우에서 업데이트를 모두 정상 설치 하였는데도 Root CA 인증서 관련 오류가 발생하는 경우

윈도우 레지스트리에 DisableRootAutoUpdate 설정 부분이 1 로 되어있을 가능성이 높습니다.

확인, 수정 방법

1) 윈도우 찾기에서 regedit 입력하여 레지스트리 편집기 실행

2) 레지스트리 편집기에서 HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > SystemCertificates > AuthRoot

로 이동하여 DisableRootAutoUpdate 의 값이 1 로 되어있을 경우 0 으로 수정 후 재부팅

3) 재부팅 후 홈페이지 정상 접속 확인

Root CA 인증서 수동 설치

OS 버젼, 기타 환경문제 등으로 업데이트 진행이 불가능할 경우

Let's Encrypt 의 Root CA 인증서를 수동으로 설치하는 방법이 있습니다.

다운로드

Letsencrypt 공식 페이지 : https://letsencrypt.org/certificates/

https://letsencrypt.org/certs/isrgrootx1.der

https://letsencrypt.org/certs/isrg-root-x1-cross-signed.der

위 2개 파일 모두 다운로드 한 후 인증서 설치 를 진행합니다 .

설치 순서

1) 다운로드 받은 인증서 파일을 우클릭 - 인증서 설치 를 클릭합니다.

2) 인증서 가져오기 마법사 에서 저장소 위치 를 로컬 컴퓨터에 체크하고 다음으로 진행

3) 모든 인증서를 다음 저장소에 저장 선택하고 찾아보기 클릭

4) 신뢰할 수 있는 루트 인증 기관 선택하고 확인

5) 다음 클릭하여 진행

6) 마침 클릭하여 설치 시작

* 보안 경고

CA(인증 기관)로부터 다음을 위한 인증서를 설치하려고 합니다.

가 표시 될 경우 예 를 클릭하여 설치 진행

7) 잠시 기다리시면 설치가 완료되고 안내창이 표시 됩니다.

8) 2개 인증서 파일 모두 설치 한 후 PC 재부팅 하고 다시 접속 확인 합니다.

- 맨 위로 -

서버 인증서 체크

운영중이신 가상서버에서 Let's Encrypt 로 발급된 SSL 인증서가 설치된 홈페이지와 CURL 등으로 https 연결시

일반 클라이언트 접속과 유사하게 ROOT CA 인증서 만료로 인한 통신 문제가 발생 할 수 있습니다.

Ubuntu 16.04.6 LTS

Let's Encrypt 에서 발급받은 인증서가 있는 홈페이지로 curl 요청시

와 같이 인증 문제가 발생하는 경우

1. CA 인증서 정보가 있는 /etc/ssl/certs 로 이동합니다.

cd /etc/ssl/certs/

let's encrypt 의 새 ROOT CA 인증서인 ISRG Root X1 설치 여부를 체크 합니다.

ls -l | grep -i isrg

ISRG ROOT x1 인증서가 설치 되어있는 경우

ISRG ROOT X1 이 정상 설치 되어있는데 let's Encrypt 인증서와 통신에서 인증 오류가 발생 할 경우

만료된 DST 인증서가 설치 되어있어 해당 ROOT CA 인증서로 검증시도하여 발생하는 문제일 가능성이 있습니다.

1) 만료된 ROOT CA 인증서인 DST Root CA X3 설치 여부를 확인 합니다.

ls -l | grep -i dst

2) DST 인증서를 사용 해제 합니다.

dpkg-reconfigure ca-certificates

3) CA 인증서 패키지 설정 관리 툴에서 ASK 를 선택합니다.

4) DST_Root_CA_X3.crt 를 찾아 체크해제후 OK 로 진행 합니다.

5) DST_ROOT_CA_X3 인증서 체크 해제 후 OK 로 진행 하면 잠시 후 적용이 완료됩니다.

6) DST 인증서 해제가 완료후 다시 체크 진행합니다.

2.ISRG Root X1 가 없는 경우 설치 방법

Letsencrypt 공식 페이지 : https://letsencrypt.org/certificates/

1) 인증서 파일을 다운로드 합니다.

wget https://letsencrypt.org/certs/isrgrootx1.der
wget https://letsencrypt.org/certs/isrg-root-x1-cross-signed.der

2) der 파일을 crt 파일로 변환 합니다.

openssl x509 -inform DER -in isrgrootx1.der -out isrgrootx1.crt
openssl x509 -inform DER -in isrg-root-x1-cross-signed.der -out isrg-root-x1-cross-signed.crt

3) 생성된 crt 파일을 ROOT CA 인증서 보관할 위치로 이동 시킵니다.

mkdir /usr/share/ca-certificates/lets

mv isrgrootx1.crt isrg-root-x1-cross-signed.crt /usr/share/ca-certificates/lets

/usr/share/ca-certificates/ 가 기본경로 이며 하위디렉토리 생성하여 이용 가능합니다.

4) CA 인증서 패키지 관리툴로 인증서를 추가 합니다.

dpkg-reconfigure ca-certificates

5) curl 로 SSL 통신 다시 체크 합니다.

- 맨 위로 -

CentOS 7

현재 저희 IWINV 에서 기본 이미지로 제공해드리는 7.8.2003 은 ISRG 인증서가 설치 되어있어 이상없이 통신이 가능합니다.

이전 환경의 CentOS 7 버전을 사용중이신 경우

yum update ca-certificates

명령어로 업그레이드 가능합니다.

- 맨 위로 -