SSL 설치 가이드
스마일서브 보안서버 SSL 인증서 설치 가이드 입니다.
|
목차
|
아파치 웹 서버에 SSL 인증서를 적용하는 메뉴얼 입니다.
Apache 2.4 기준으로 작성 되었습니다.
* 서버에 openssl 과 아파치 mod_ssl(ssl_module) 이 설치되어있어야 합니다.
1. 다운로드 받은 인증서 파일들을 서버에 업로드 합니다.
개인키, 도메인 인증서, 루트체인 인증서 가 있어야 합니다.
3.Apache 설정 파일들을 수정 합니다.
httpd.conf 에서 mod_ssl 모듈, http-ssl.conf 파일을 적용 합니다.
4.httpd-ssl.conf 를 수정합니다.
VirtualHost 부분에 업로드한 인증서 정보를 입력합니다.
DocumentRoot , ServerName 등의 설정은 서버 환경에 맞게 설정하셔야 합니다.
5. 문법 체크 후 아파치 재시작
|
문법 체크 : apachectl -t 중지 : apachectl stop 시작 : apachectl start |
아파치 설정 파일의 문법을 체크 한 후, 아파치를 재시작 하여 ssl 을 적용 합니다.
* 개인키 에 패스워드가 적용되어있는 경우 아파치 시작시 패스워드를 입력해야 합니다.
6.웹으로 https 접속 하여 적용 확인
웹 브라우져에서 https://신청도메인 으로 접속하여 확인 합니다.
Microsoft 인터넷 정보 서비스 (IIS) 인증서 적용 입니다.
*본 메뉴얼은 Windows Server 2019 , IIS 10.0 기준으로 작성 되었습니다.
IIS 에 인증서를 설치하기 위해 인증서와 개인키를 pfx 형식으로 변환하는 방법 입니다.
*인증서 변환을 위해 Openssl 이 필요합니다.
1) 인증서가 있는 폴더에서 Openssl 명령어로 도메인인증서, 개인키 를 변환 합니다.
| openssl pkcs12 -export -in sample.pem(도메인인증서) -inkey sample.key(개인키) -out 신청도메인.pfx |
개인키 패스워드를 입력 한 후 pfx 인증서에 사용할 패스워드를 새로 입력합니다.
2) 키 와 인증서가 합쳐진 pfx 인증서 파일을 확인 할 수 있습니다.
인증서 파일들을 윈도우 서버에 업로드 한 후 설치 방법 입니다.
1) 시작 > 실행 > mmc 를 실행합니다.
2) 파일 > 스냅인 추가/제거 를 클릭합니다.
3) 사용 가능한 스냅인 에서 인증서를 찾아 선택 후 추가 버튼을 클릭합니다.
4)컴퓨터 계정 을 선택 후 다음으로 진행합니다.
5) 마침 버튼으로 선택을 완료 합니다.
6)인증서 스냅인 이 추가된 것을 확인후 확인 버튼을 클릭합니다.
7)인증서를 선택하여 확장 합니다
8)확장된 메뉴 중 개인용 을 마우스 우클릭, 모든 작업 > 가져오기 를 클릭 합니다.
9)서버에 업로드한 인증서 경로까지 이동한 후, 파일 필터에서 개인 정보 교환(*.pfx, *.p12) 로 선택하면
업로드한 도메인 인증서 파일 선택 가능합니다.
10)인증서 개인키 암호를 입력합니다.
추후 내보내기, 백업이 필요할 경우 내보내기 허용 옵션을 체크 합니다.
11) 다음 으로 진행 합니다.
12) 마침을 클릭하여 인증서 가져오기를 완료 합니다.
13) 도메인 인증서가 등록 된 것을 확인 할 수 있습니다.
14) 인증서를 선택하여 정보를 확인 할 수 있습니다.
도메인 인증서 설치의 7) 까지와 동일하게 mmc 로 인증서 스냅인을 추가 합니다.
1) 시작 > 실행 > mmc 를 실행합니다.
2) 파일 > 스냅인 추가/제거 를 클릭합니다.
3) 사용 가능한 스냅인 에서 인증서를 찾아 선택 후 추가 버튼을 클릭합니다.
4)컴퓨터 계정 을 선택 후 다음으로 진행합니다.
5) 마침 버튼으로 선택을 완료 합니다.
6)인증서 스냅인 이 추가된 것을 확인후 확인 버튼을 클릭합니다.
7)인증서를 선택하여 확장 합니다
8) 중간 인증 기관 > 인증서 를 우클릭합니다.
9) 메뉴 중 모든 작업 > 가져오기 를 선택합니다.
10) 인증서 가져오기 마법사 에서 다음을 클릭하여 진행 합니다.
11) 찾아보기 버튼으로 업로드한 체인 인증서를 찾아 선택 후 다음으로 진행 합니다.
12) 저장소 중간 인증 기관 을 확인하고 다음으로 넘어 갑니다.
13) 마침 으로 종료 합니다.
14) 추가된 체인 인증서를 확인 할 수 있습니다.
*루트 인증서 설치가 필요한 경우 8) 에서 중간 인증 기관 대신 신뢰할 수 있는 루트 인증 기관을 선택하여
동일한 방법으로 설치 진행합니다.
1)IIS 에서 인증서 설치 대상 사이트를 선택합니다.
2) 오른쪽 상단 바인딩 을 클릭합니다.
3) 추가 를 클릭합니다.
4) 필요한 옵션들을 선택, 입력 후 확인 으로 저장합니다.
종류 는 https , 호스트 이름에 보안서버 신청 도메인 을 입력하고 포트는 https 기본 포트인 443을 입력 하고
SSL 인증서를 클릭하여 설치한 인증서를 선택 합니다.
* 443 이외에 다른 포트를 사용하는 경우 웹 브라우져에서 접속시 https://신청도메인:포트번호 로 포트번호 까지 입력해야 접속 가능합니다.
** 동일한 443포트로 다른 https 도메인 연결이 있는 경우 서버이름표시필요(SNI 설정) 을 체크 합니다.
tomcat 서버를 위한 jks 변환 메뉴얼 입니다.
apache tomcat 7.0 버젼 기준으로 제작되었습니다.
1) 도메인 인증서와 루트체인 인증서를 하나로 묶은 파일을 생성합니다.
윈도우 텍스트 에디터로 파일들을 합성하거나, 리눅스 환경에서는 다음과 같이 하나로 합친 인증서 파일을 생성 합니다.
* cat 으로 합성시 인증서 마지막 줄과 다음 인증서 첫째줄 이 합쳐지며 아래 와 같이 만들어지는 경우
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
와 같이 ----- 5개 씩 나눠지도록 수정 해야 합니다.
2) 합쳐진 파일과 개인키를 이용하여 pfx 인증서로 변환 합니다.
| openssl pkcs12 -export -name 신청도메인 -in domain_ca.pem -inkey 개인키 -out sample.pfx |
3) pfx 인증서를 jks 인증서로 변환 합니다.
| keytool -importkeystore -srckeystore sample.pfx -srcstoretype pkcs12 -destkeystore sample.jks -deststoretype jks |
4) 생성된 jks 파일을 확인 합니다.
| keytool -list -keystore sample.jks(인증서파일) -v |
소유자 정보와 발행자 정보가 달라야 정상 입니다.
5) tomcat 설정파일 server.xml 에 ssl 설정을 추가 합니다.
SSL 보안접속으로 사용할 포트 번호를 입력하고
KeystoreFile 부분에 인증서.jks 파일을 업로드한 경로와 파일이름,
KeystorePass 에 인증서 비밀번호를 입력 합니다.
파일을 저장하고 톰캣 서버를 재시작하여 변경된 설정이 적용합니다.
443 포트 이외에 다른 포트를 사용하는 경우 웹 브라우져에서 접속시 https://도메인주소:8443 처럼 포트번호를 직접 입력해야 접속 가능합니다.