오호~~~ 다음과 같은 글을 읽었습니다.
StartSSL 무료 인증서 발급받기
; https://www.xetown.com/slope/135905
StartCom이라는 회사에서 각각 Free / Identity / Organization Validation / Extended Validation이라는 군으로 나눠 StartSSL 제품을 제공하고 있는데 이 중에서 "StartSSL Free"가 바로 무료 SSL 인증서입니다.
물론 무료 인증서야 저도 이미 "Let's encrypt"를 통해 사용하고 있었지만,
"Let's Encrypt"에서 제공하는 무료 SSL 인증서를 IIS에 적용하는 방법 (1)
; https://www.sysnet.pe.kr/2/0/10958
"StartSSL Free" 제품에서 제 눈길을 사로잡은 것은, 바로 "Certificate Validity"가 3년이라는 점입니다. 그래서 ^^ 얼른 다음의 링크를 눌러 발급 절차를 시작했습니다.
StartSSL Free
; https://startssl.com/Validate
"Sign-up" 링크를 눌러 이메일과 "Client 인증서(Certificate)"를 발급받게 되는데, Edge의 경우 자동 설치가 지원되지 않아 .p12 확장자를 갖는 파일로 저장하게 됩니다.
저장을 했으면 탐색기에서 해당 파일을 두 번 클릭해서 "Certificate Import Wizard"를 띄우고 "Current User" Store Location에 저장하면 됩니다. 방법은 아래의 글에서 "가져오기 - PFX 인증서 파일을 대상 컴퓨터에 설치" 부분을 참고하세요. (.p12 확장자이지만 .pfx 파일 가져오는 것과 동일합니다.)
5.1 인증서 관리 - 내보내기/가져오기
; https://www.sysnet.pe.kr/2/0/392
인증서를 설치했으면, 다시 다음의 링크로 가서,
Authenticate or Sign-up?
; https://startssl.com/Account
좌측의 "Client Certificate Login" 버튼을 누르면 "인증서 선택" 창이 다음과 같이 뜹니다.
(혹시, 위의 창이 뜨지 않으면 모든 Edge 웹 브라우저를 종료하고 작업관리자에서 edge 프로세스가 없도록 한 후 다시 띄우면 될 것입니다.)
저렇게 해서, 별다른 계정/암호 없이 인증서만으로 로그인할 수 있습니다. (달리 말하면, 해당 인증서가 설치되지 않은 컴퓨터에서는 로그인할 수 없습니다.)
로그인 후, 나오는 화면에서 "Validations Wizard" 탭을 누르고 "Domain Validation" 항목을 통해 발급받으려는 인증서가 보증할 도메인이 여러분의 것이 맞는다는 확인 과정을 거쳐야 이후 인증서를 받을 수 있습니다. 이 과정에서 openssl.exe를 실행해 개인키 파일과 .csr 인증서 요청 파일을 생성하게 되는데요. 다음과 같은 식으로 실행해 주면 됩니다.
openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr
발급된 인증서는 .crt 확장자를 갖는데, Azure에 올리기 위해서는 .pfx 파일이 요구되므로 변환을 해야 합니다. 이때 필요한 개인키 파일은 StartSSL 인증서를 발급받기 위해 openssl.exe를 실행시켜 생성했던 .key 파일을 사용하면 되는데, 문제는 그 .key 파일이 "-----BEGIN ENCRYPTED PRIVATE KEY-----" / "-----END ENCRYPTED PRIVATE KEY-----" 쌍으로 이뤄진 PEM 형식이라는 점입니다. 영어로는 이 파일을 "PEM encoded PKCS#8 format encrypted private key"라고 표현합니다.
pfx 파일로 변환해주는 도구인 pvkimprt.exe는 pem-key-file을 입력으로 받지 못하므로 pvk-file 형식으로 바꿔야 합니다. 이 방법은 다음의 글에서도 소개했는데요,
.keystore 파일에 저장된 개인키 추출방법과 인증기관으로부터 온 공개키를 합친 pfx 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/1262
그래서 이렇게 실행해 주면 됩니다.
D:\temp>pvk -in sysnet_pe_kr.key -topvk -strong -out sysnet_pe_kr.pvk
Enter PEM pass phrase:
Enter Password:
Verifying - Enter Password:
그다음, StartSSL로부터 발급받은 .crt 파일을 바로 위에서 생성했던 .pvk 파일과 합쳐 .pfx 파일을 만들어주면 됩니다. (참고: "인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법")
cert2spc.exe sysnet_pe_kr.crt sysnet_pe_kr.spc
pvkimprt.exe -pfx sysnet_pe_kr.spc sysnet_pe_kr.pvk
StartSSL 사용 시 유의할 사항이 있습니다. 현재 StartSSL 측에서 다음과 같은 공지를 하고 있는데요.
- Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update.
- Any subscribers that paid the validation fee after Oct. 21st can get full refund by request.
- StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.
즉, 모질라와 구글 측은 StartCom의 루트 인증서를 신뢰하지 않기로 결정했다고 합니다. 따라서, 향후에 있을 FireFox와 Chrome의 경우에는 StartCom에서 받은 SSL 인증서가 '유효하지 않은 인증서'로 간주될 수 있습니다. (2017-01-05 현재 아직까지는 Chrome의 경우 StartSSL 인증서를 잘 받아줍니다.)
비록 3년이라는 인증서 유효 기간이 마음에 들긴 하지만, 위와 같은 점을 감안한다면 모질라와 구글 관련한 웹 브라우저를 위해 "Let's encrypt"를 사용하시는 것이 더 안전할 수 있습니다. 저야 뭐... 개인적으로 운영하는 사이트이니 StartSSL로도 충분하지만. ^^
이제부터는 오류 상황을 정리해 보겠습니다. ^^
pvkimprt.exe 실행 시 000004c0 오류가 발생하는 경우가 있습니다.
D:\Tools\cert>pvkimprt -pfx 2_sysnet.pe.kr.spc sysnet_pe_kr.key
Error: 000004c0, The format of the specified password is invalid.
"Error: 000004c0, The format of the specified password is invalid." 오류가 매우 헷갈리는데요. pvkimprt.exe를 실행해서 곧바로 000004c0 오류가 발생했다면 .key 파일의 형식이 틀린 것일 수 있습니다. 반면, pvkimprt.exe를 실행한 후 .key 파일의 암호를 묻는 창이 뜨고 암호를 입력한 후 000004c0 오류가 발생한 경우라면 '암호를 묻는 창'에서 틀린 암호를 입력한 경우입니다.
참고로, pvkimprt.exe는 PEM 형식의 파일은 입력으로 받지 못 합니다. 즉, "openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr" 명령어로 생성한 sysnet_pe_kr.key 파일은 PEM 형식이기 때문에 확장자가 .key라고 해서 이를 pvkimprt.exe에 지정하면 000004c0 오류가 발생합니다.
시행착오를 겪은 오류 상황이 하나 더 있는데요. openssl.exe 실행 시 다음과 같은 오류가 발생할 수 있습니다.
E:\openssl>openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Unable to load config info from /usr/local/ssl/openssl.cnf
또는,
Can't open "C:\vcpkg\packages\openssl_x64-windows/openssl.cnf" for reading, No such file or directory
3C900000:error:80000003:system library:BIO_new_file:No such process:crypto\bio\bss_file.c:67:calling fopen(E:\git_clone\vcpkg\packages\openssl_x64-windows/openssl.cnf, r)
3C900000:error:10000080:BIO routines:BIO_new_file:no such file:crypto\bio\bss_file.c:75:
.cnf 파일을 알려줘야 하는데 다음과 같이 환경 변수를 설정해 주고 하시면 됩니다. (각자의 위치가 다를 수 있음에 유의하세요.)
SET OPENSSL_CONF=E:\openssl\apps\openssl.cnf
openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr