J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] 그냥 RSS Reader 기능과 약간의 UI 편의성 때문에 사용...[이종효] 오래된 소프트웨어는 보안 위협이 되기도 합니다. 혹시 어떤 기능...[정성태] @Keystroke IEEE의 문서를 소개해 주시다니... +_...[손민수 (Keystroke)] 괜히 듀얼채널 구성할 때 한번에 같은 제품 사라고 하는 것이 아...[정성태] 전각(Full-width)/반각(Half-width) 기능을 토...[정성태] Vector에 대한 내용은 없습니다. Vector가 닷넷 BCL...[orion] 글 읽고 찾아보니 디자인 타임에는 InitializeCompon...[orion] 연휴 전에 재현 프로젝트 올리자 생각해 놓고 여의치 않아서 못 ...[정성태] 아래의 글에 정리했으니 참고하세요. C# - Typed D...[정성태] 간단한 재현 프로젝트라도 있을까요? 저런 식으로 설명만 해...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>openssl을 이용해 인트라넷 IIS 사이트의 SSL 인증서 생성</h1>

전에 이미 아래와 같이 정리를 했었는데요, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12570'>https://www.sysnet.pe.kr/2/0/12570</a>

openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법 (2)
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/13187'>https://www.sysnet.pe.kr/2/0/13187</a>
</pre>
 
이번에는 사내 테스트용의 IIS 서버에 설치할 인증서를 대상으로 시나리오를 정리해 보겠습니다. 참고로, 다른 블로그의 많은 글들이 "루트 인증서이면서 SSL 인증서 역할을 갖는 1개의 인증서"로 설치하는 방법을 설명하고 있는데요, 제 글에서는 정석적으로 "인증 기관(CA: Certificate Authority)의 인증서"를 생성하고 IIS에서 사용할 인증서는 그 인증 기관으로부터 서명 받는 것으로 진행할 것입니다. 
 
<hr style='width: 50%' /> 
 
당연히 <a target='tab' href='https://www.sysnet.pe.kr/2/0/13187'>지난 글에 설명한 방법</a>에 따라 우선 CA 인증서를 생성해야 합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
c:\temp&gt; openssl req -newkey rsa:2048 -nodes -keyout win10en_ca.key -x509 -days 3650 -out win10en_ca.crt
</pre>
 
그다음, 그 CA 인증서로 서명할 SSL용 인증서 요청(csr) 파일을 만듭니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
c:\temp&gt; openssl genrsa -out win10en.key 2048
c:\temp&gt; openssl req -key win10en.key -new -out win10en.csr -subj "/CN=win10en"
</pre>
 
마지막으로 생성한 CSR 파일을 CA 인증서로 서명하면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
c:\temp&gt; type ssl_conf.txt
subjectAltName=DNS:win10en

c:\temp&gt; openssl x509 -req -days 3650 -in win10en.csr -CA win10en_ca.crt -CAkey win10en_ca.key -out win10en.crt -extfile ssl_conf.txt
</pre>
 
기본적인 인증서 준비 절차는 끝이 납니다. 
 
그런데, 아직 한 단계가 더 남았습니다. 위에서 CA 인증서로 서명해 생성한 win10en.crt는 공개키만 가지고 있는 상태입니다. 따라서 이대로는 SSL 서비스를 제공하는 서버 측에서 사용할 수는 없습니다. 
 
즉, 개인키까지 포함한 인증서가 필요한 건데요, 이를 위해 기존에 생성한 개인키 파일을 합쳐주는 다음의 명령어를 실행합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
c:\temp&gt; openssl pkcs12 -export -out win10en.pfx -inkey win10en.key -in win10en.crt
</pre>
 
이렇게 해서, 다음의 2가지 핵심 파일을 가지고 이후 작업을 진행할 수 있습니다. 
 
<ul>
<li>win10en_ca.crt: 인증 기관의 (공개키만 담은) 인증서</li>
<li>win10en.pfx: (인증 기관으로부터 서명한, 개인키를 포함한) SSL 인증서</li>
</ul>
 
<hr style='width: 50%' /> 
 
이제 생성한 인증서를 IIS 서버에 등록해 보겠습니다. 
 
우선, CA 인증서에 해당하는 win10en_ca.crt는 "Certificates - Local Computer" / "Trusted Root Certification Authority" 영역에 등록합니다. (규칙은 모르겠지만 어떤 경우에는 "Test Roots" 영역도 가능합니다.) 그다음 웹 사이트의 SSL 서비스에 사용할 win10en.pfx는 "Certificates - Local Computer" / "Web Hosting" 영역에 등록합니다. 
 
<img alt='iis_ssl_test_cert_0.png' src='/SysWebRes/bbs/iis_ssl_test_cert_0.png' /> 
 
이후, IIS 관리 콘솔로 들어가 웹 사이트를 선택한 다음, "Bindings..." 링크를 통해 https 바인딩에 대한 인증서 선택으로 들어가 "Web Hosting"에 등록했던 인증서를 선택하면 됩니다. 
 
<img onclick='toggle_img(this)' class='imgView' alt='iis_ssl_test_cert_1.png' src='/SysWebRes/bbs/iis_ssl_test_cert_1.png' /> 
 
이 상태에서는, IIS를 호스팅하는 컴퓨터 내에서는 (win10en이 현재 컴퓨터의 이름이거나, HOSTS 파일에 등록한 경우) "http://win10en" 주소로 웹 브라우저를 이용해 접속하면 정상적으로 서비스가 되는 것을 확인할 수 있습니다. 
<a name='ca_error'></a>
 
하지만, 다른 컴퓨터에서 접속하면 다음과 같은 오류가 발생합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Your connection isn't private
Attackers might be trying to steal your information from win10en (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID

This server couldn't prove that it's win10en; its security certificate is not trusted by your computer's operating system. This may be caused by a misconfiguration or an attacker intercepting your connection.
</pre>
 
이유는 간단합니다. 다른 컴퓨터에서는 웹 브라우저로 해당 웹 사이트에 접속 시 전달받은 SSL 인증서를 신뢰할 수 없기 때문입니다. 이를 위해서는 다른 컴퓨터에 CA 인증서를 함께 설치해야 합니다. 
 
따라서 이 글에서 실습한 내용의 경우 win10en_ca.crt 인증서 파일을 다른 컴퓨터에도 등록해야 하는데 마찬가지로 "Trusted Root Certification Authority" 영역에 등록하면 됩니다. 
 
<hr style='width: 50%' /> 
 
잠시 정리를 해보면, 다른 컴퓨터에서 접속했을 때 중요한 것은 해당 웹 사이트의 SSL 인증서를 어떻게 신뢰할 수 있느냐입니다. 여러분이 웹상의 많은 https 사이트를 방문했을 때 아무런 오류 없이 접속이 가능했던 것은, 그 웹 사이트들이 사용하는 SSL 인증서를 서명한 CA 루트 인증서가 이미 여러분의 컴퓨터에 등록돼 있기 때문입니다. 
 
그렇기 때문에, 이 글에서 실습한 SSL 인증서 역시 신뢰를 하기 위해서는 그 SSL 인증서를 서명한 CA 루트 인증서가 여러분의 컴퓨터에 미리 등록돼 있어야 하는 것입니다. 사실 이 작업이 귀찮기 때문에, 일반적인 공개 웹 서버에서는 대중들을 상대로 이 글에서처럼 만든 인증서로 서비스할 수는 없습니다. 
 
단지, 사내에서 운영하는 정도라면 규모에 따라서는 CA 루트 인증서를 개별 컴퓨터에 설치해 주면 되므로 그나마 현실성 있게 사용할 수 있습니다. 물론, 규모 있는 회사라면 이런 작업들이 귀찮은 수준에 이르게 되는데요, 바로 그런 경우에 "Active Directory" 서비스의 역할이 대두되게 됩니다. AD는 인증서 관리 서버와 협업할 수 있고, 게다가 AD에 등록된 모든 컴퓨터들은 CA 인증서가 자동으로 설치되므로 별도의 인증서 관리 작업이 필요 없게 되는 것입니다. 
 
<hr style='width: 50%' /> 
 
웹 브라우저 방문 시, 다음과 같은 오류 메시지를 보게 된다면? 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
The certificate for this site is not valid.

Because this connection is not secure, information (such as passwords or credit cards) will not be securely sent to this site and may be intercepted or seen by others.

We suggest you don't enter personal information into this site or avoid using this site.
</pre>
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Your connection isn't private

Attackers might be trying to steal your information from win10en (for example, passwords, messages, or credit cards).
NET::ERR_CERT_COMMON_NAME_INVALID

This server couldn't prove that it's win10en; its security certificate does not specify Subject Alternative Names. This may be caused by a misconfiguration or an attacker intercepting your connection.
</pre>
 
메시지에 나온 대로 Subject Alternative Names를 지정하지 않았기 때문입니다. (이 글에서도 그렇게 하고 있지만) 아래의 글에 따라, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
openssl - 윈도우 환경의 명령행에서 SAN 적용하는 방법
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/13235'>https://www.sysnet.pe.kr/2/0/13235</a>
</pre>
 
SAN을 지정해 인증서를 생성해야만 합니다.

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

1590 (왼쪽의 숫자를 입력해야 합니다.)