성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>3년짜리 유효 기간을 제공하는 StartSSL</h1> <p> 오호~~~ 다음과 같은 글을 읽었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > StartSSL 무료 인증서 발급받기 ; <a target='tab' href='https://www.xetown.com/slope/135905'>https://www.xetown.com/slope/135905</a> </pre> <br /> StartCom이라는 회사에서 각각 Free / Identity / Organization Validation / Extended Validation이라는 군으로 나눠 StartSSL 제품을 제공하고 있는데 이 중에서 "StartSSL Free"가 바로 무료 SSL 인증서입니다.<br /> <br /> 물론 무료 인증서야 저도 이미 "Let's encrypt"를 통해 사용하고 있었지만,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > "Let's Encrypt"에서 제공하는 무료 SSL 인증서를 IIS에 적용하는 방법 (1) ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/10958'>http://www.sysnet.pe.kr/2/0/10958</a> </pre> <br /> "StartSSL Free" 제품에서 제 눈길을 사로잡은 것은, 바로 "Certificate Validity"가 3년이라는 점입니다. 그래서 ^^ 얼른 다음의 링크를 눌러 발급 절차를 시작했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > StartSSL Free ; <a target='tab' href='https://startssl.com/Validate'>https://startssl.com/Validate</a> </pre> <br /> "Sign-up" 링크를 눌러 이메일과 "Client 인증서(Certificate)"를 발급받게 되는데, Edge의 경우 자동 설치가 지원되지 않아 .p12 확장자를 갖는 파일로 저장하게 됩니다.<br /> <br /> 저장을 했으면 탐색기에서 해당 파일을 두 번 클릭해서 "Certificate Import Wizard"를 띄우고 "Current User" Store Location에 저장하면 됩니다. 방법은 아래의 글에서 "가져오기 - PFX 인증서 파일을 대상 컴퓨터에 설치" 부분을 참고하세요. (.p12 확장자이지만 .pfx 파일 가져오는 것과 동일합니다.)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 5.1 인증서 관리 - 내보내기/가져오기 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/392'>http://www.sysnet.pe.kr/2/0/392</a> </pre> <br /> 인증서를 설치했으면, 다시 다음의 링크로 가서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Authenticate or Sign-up? ; <a target='tab' href='https://startssl.com/Account'>https://startssl.com/Account</a> </pre> <br /> 좌측의 "Client Certificate Login" 버튼을 누르면 "인증서 선택" 창이 다음과 같이 뜹니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='start_ssl_1.png' src='/SysWebRes/bbs/start_ssl_1.png' /><br /> <br /> (혹시, 위의 창이 뜨지 않으면 모든 Edge 웹 브라우저를 종료하고 작업관리자에서 edge 프로세스가 없도록 한 후 다시 띄우면 될 것입니다.)<br /> <br /> 저렇게 해서, 별다른 계정/암호 없이 인증서만으로 로그인할 수 있습니다. (달리 말하면, 해당 인증서가 설치되지 않은 컴퓨터에서는 로그인할 수 없습니다.)<br /> <br /> 로그인 후, 나오는 화면에서 "Validations Wizard" 탭을 누르고 "Domain Validation" 항목을 통해 발급받으려는 인증서가 보증할 도메인이 여러분의 것이 맞는다는 확인 과정을 거쳐야 이후 인증서를 받을 수 있습니다. 이 과정에서 openssl.exe를 실행해 개인키 파일과 .csr 인증서 요청 파일을 생성하게 되는데요. 다음과 같은 식으로 실행해 주면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr </pre> <br /> <hr style='width: 50%' /><br /> <br /> 발급된 인증서는 .crt 확장자를 갖는데, Azure에 올리기 위해서는 .pfx 파일이 요구되므로 변환을 해야 합니다. 이때 필요한 개인키 파일은 StartSSL 인증서를 발급받기 위해 openssl.exe를 실행시켜 생성했던 .key 파일을 사용하면 되는데, 문제는 그 .key 파일이 "-----BEGIN ENCRYPTED PRIVATE KEY-----" / "-----END ENCRYPTED PRIVATE KEY-----" 쌍으로 이뤄진 PEM 형식이라는 점입니다. 영어로는 이 파일을 "PEM encoded PKCS#8 format encrypted private key"라고 표현합니다.<br /> <br /> pfx 파일로 변환해주는 도구인 pvkimprt.exe는 pem-key-file을 입력으로 받지 못하므로 <a target='tab' href='http://www.drh-consultancy.demon.co.uk/pvk.html'>pvk-file</a> 형식으로 바꿔야 합니다. 이 방법은 다음의 글에서도 소개했는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > .keystore 파일에 저장된 개인키 추출방법과 인증기관으로부터 온 공개키를 합친 pfx 파일 만드는 방법 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/1262'>http://www.sysnet.pe.kr/2/0/1262</a> </pre> <br /> 그래서 이렇게 실행해 주면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\temp><span style='color: blue; font-weight: bold'>pvk -in sysnet_pe_kr.key -topvk -strong -out sysnet_pe_kr.pvk</span> Enter PEM pass phrase: Enter Password: Verifying - Enter Password: </pre> <br /> 그다음, StartSSL로부터 발급받은 .crt 파일을 바로 위에서 생성했던 .pvk 파일과 합쳐 .pfx 파일을 만들어주면 됩니다. (참고: "<a target='tab' href='http://www.sysnet.pe.kr/2/0/863'>인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법</a>")<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > cert2spc.exe sysnet_pe_kr.crt sysnet_pe_kr.spc pvkimprt.exe -pfx sysnet_pe_kr.spc sysnet_pe_kr.pvk </pre> <br /> <hr style='width: 50%' /><br /> <br /> StartSSL 사용 시 유의할 사항이 있습니다. 현재 StartSSL 측에서 다음과 같은 공지를 하고 있는데요.<br /> <br /> <ol> <li>Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update. </li> <li>Any subscribers that paid the validation fee after Oct. 21st can get full refund by request. </li> <li>StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers. </li> </ol> <br /> 즉, 모질라와 구글 측은 StartCom의 루트 인증서를 신뢰하지 않기로 결정했다고 합니다. 따라서, 향후에 있을 FireFox와 Chrome의 경우에는 StartCom에서 받은 SSL 인증서가 '유효하지 않은 인증서'로 간주될 수 있습니다. (2017-01-05 현재 아직까지는 Chrome의 경우 StartSSL 인증서를 잘 받아줍니다.)<br /> <br /> 비록 3년이라는 인증서 유효 기간이 마음에 들긴 하지만, 위와 같은 점을 감안한다면 모질라와 구글 관련한 웹 브라우저를 위해 "Let's encrypt"를 사용하시는 것이 더 안전할 수 있습니다. 저야 뭐... 개인적으로 운영하는 사이트이니 StartSSL로도 충분하지만. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 이제부터는 오류 상황을 정리해 보겠습니다. ^^<br /> <br /> pvkimprt.exe 실행 시 000004c0 오류가 발생하는 경우가 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\Tools\cert>pvkimprt -pfx 2_sysnet.pe.kr.spc sysnet_pe_kr.key Error: 000004c0, The format of the specified password is invalid. </pre> <br /> "Error: 000004c0, The format of the specified password is invalid." 오류가 매우 헷갈리는데요. pvkimprt.exe를 실행해서 곧바로 000004c0 오류가 발생했다면 .key 파일의 형식이 틀린 것일 수 있습니다. 반면, pvkimprt.exe를 실행한 후 .key 파일의 암호를 묻는 창이 뜨고 암호를 입력한 후 000004c0 오류가 발생한 경우라면 '암호를 묻는 창'에서 틀린 암호를 입력한 경우입니다.<br /> <br /> 참고로, pvkimprt.exe는 PEM 형식의 파일은 입력으로 받지 못 합니다. 즉, "openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr" 명령어로 생성한 sysnet_pe_kr.key 파일은 PEM 형식이기 때문에 확장자가 .key라고 해서 이를 pvkimprt.exe에 지정하면 000004c0 오류가 발생합니다.<br /> <a name='openssl_cnf'></a> <br /> 시행착오를 겪은 오류 상황이 하나 더 있는데요. openssl.exe 실행 시 다음과 같은 오류가 발생할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > E:\openssl><span style='color: blue; font-weight: bold'>openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr</span> WARNING: can't open config file: /usr/local/ssl/openssl.cnf Unable to load config info from /usr/local/ssl/openssl.cnf 또는, Can't open "C:\vcpkg\packages\openssl_x64-windows/openssl.cnf" for reading, No such file or directory 3C900000:error:80000003:system library:BIO_new_file:No such process:crypto\bio\bss_file.c:67:calling fopen(E:\git_clone\vcpkg\packages\openssl_x64-windows/openssl.cnf, r) 3C900000:error:10000080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:75: </pre> <br /> .cnf 파일을 알려줘야 하는데 다음과 같이 환경 변수를 설정해 주고 하시면 됩니다. (각자의 위치가 다를 수 있음에 유의하세요.)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <span style='color: blue; font-weight: bold'>SET OPENSSL_CONF=E:\openssl\apps\openssl.cnf</span> openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1680
(왼쪽의 숫자를 입력해야 합니다.)