Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 
(연관된 글이 6개 있습니다.)

openssl을 이용해 인트라넷 IIS 사이트의 SSL 인증서 생성

전에 이미 아래와 같이 정리를 했었는데요,

openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법
; https://www.sysnet.pe.kr/2/0/12570

openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법 (2)
; https://www.sysnet.pe.kr/2/0/13187

이번에는 사내 테스트용의 IIS 서버에 설치할 인증서를 대상으로 시나리오를 정리해 보겠습니다. 참고로, 다른 블로그의 많은 글들이 "루트 인증서이면서 SSL 인증서 역할을 갖는 1개의 인증서"로 설치하는 방법을 설명하고 있는데요, 제 글에서는 정석적으로 "인증 기관(CA: Certificate Authority)의 인증서"를 생성하고 IIS에서 사용할 인증서는 그 인증 기관으로부터 서명 받는 것으로 진행할 것입니다.




당연히 지난 글에 설명한 방법에 따라 우선 CA 인증서를 생성해야 합니다.

c:\temp> openssl req -newkey rsa:2048 -nodes -keyout win10en_ca.key -x509 -days 3650 -out win10en_ca.crt

그다음, 그 CA 인증서로 서명할 SSL용 인증서 요청(csr) 파일을 만듭니다.

c:\temp> openssl genrsa -out win10en.key 2048
c:\temp> openssl req -key win10en.key -new -out win10en.csr -subj "/CN=win10en"

마지막으로 생성한 CSR 파일을 CA 인증서로 서명하면,

c:\temp> type ssl_conf.txt
subjectAltName=DNS:win10en

c:\temp> openssl x509 -req -days 3650 -in win10en.csr -CA win10en_ca.crt -CAkey win10en_ca.key -out win10en.crt -extfile ssl_conf.txt

기본적인 인증서 준비 절차는 끝이 납니다.

그런데, 아직 한 단계가 더 남았습니다. 위에서 CA 인증서로 서명해 생성한 win10en.crt는 공개키만 가지고 있는 상태입니다. 따라서 이대로는 SSL 서비스를 제공하는 서버 측에서 사용할 수는 없습니다.

즉, 개인키까지 포함한 인증서가 필요한 건데요, 이를 위해 기존에 생성한 개인키 파일을 합쳐주는 다음의 명령어를 실행합니다.

c:\temp> openssl pkcs12 -export -out win10en.pfx -inkey win10en.key -in win10en.crt

이렇게 해서, 다음의 2가지 핵심 파일을 가지고 이후 작업을 진행할 수 있습니다.

  • win10en_ca.crt: 인증 기관의 (공개키만 담은) 인증서
  • win10en.pfx: (인증 기관으로부터 서명한, 개인키를 포함한) SSL 인증서




이제 생성한 인증서를 IIS 서버에 등록해 보겠습니다.

우선, CA 인증서에 해당하는 win10en_ca.crt는 "Certificates - Local Computer" / "Trusted Root Certification Authority" 영역에 등록합니다. (규칙은 모르겠지만 어떤 경우에는 "Test Roots" 영역도 가능합니다.) 그다음 웹 사이트의 SSL 서비스에 사용할 win10en.pfx는 "Certificates - Local Computer" / "Web Hosting" 영역에 등록합니다.

iis_ssl_test_cert_0.png

이후, IIS 관리 콘솔로 들어가 웹 사이트를 선택한 다음, "Bindings..." 링크를 통해 https 바인딩에 대한 인증서 선택으로 들어가 "Web Hosting"에 등록했던 인증서를 선택하면 됩니다.

iis_ssl_test_cert_1.png

이 상태에서는, IIS를 호스팅하는 컴퓨터 내에서는 (win10en이 현재 컴퓨터의 이름이거나, HOSTS 파일에 등록한 경우) "http://win10en" 주소로 웹 브라우저를 이용해 접속하면 정상적으로 서비스가 되는 것을 확인할 수 있습니다.

하지만, 다른 컴퓨터에서 접속하면 다음과 같은 오류가 발생합니다.

Your connection isn't private
Attackers might be trying to steal your information from win10en (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID

This server couldn't prove that it's win10en; its security certificate is not trusted by your computer's operating system. This may be caused by a misconfiguration or an attacker intercepting your connection.

이유는 간단합니다. 다른 컴퓨터에서는 웹 브라우저로 해당 웹 사이트에 접속 시 전달받은 SSL 인증서를 신뢰할 수 없기 때문입니다. 이를 위해서는 다른 컴퓨터에 CA 인증서를 함께 설치해야 합니다.

따라서 이 글에서 실습한 내용의 경우 win10en_ca.crt 인증서 파일을 다른 컴퓨터에도 등록해야 하는데 마찬가지로 "Trusted Root Certification Authority" 영역에 등록하면 됩니다.




잠시 정리를 해보면, 다른 컴퓨터에서 접속했을 때 중요한 것은 해당 웹 사이트의 SSL 인증서를 어떻게 신뢰할 수 있느냐입니다. 여러분이 웹상의 많은 https 사이트를 방문했을 때 아무런 오류 없이 접속이 가능했던 것은, 그 웹 사이트들이 사용하는 SSL 인증서를 서명한 CA 루트 인증서가 이미 여러분의 컴퓨터에 등록돼 있기 때문입니다.

그렇기 때문에, 이 글에서 실습한 SSL 인증서 역시 신뢰를 하기 위해서는 그 SSL 인증서를 서명한 CA 루트 인증서가 여러분의 컴퓨터에 미리 등록돼 있어야 하는 것입니다. 사실 이 작업이 귀찮기 때문에, 일반적인 공개 웹 서버에서는 대중들을 상대로 이 글에서처럼 만든 인증서로 서비스할 수는 없습니다.

단지, 사내에서 운영하는 정도라면 규모에 따라서는 CA 루트 인증서를 개별 컴퓨터에 설치해 주면 되므로 그나마 현실성 있게 사용할 수 있습니다. 물론, 규모 있는 회사라면 이런 작업들이 귀찮은 수준에 이르게 되는데요, 바로 그런 경우에 "Active Directory" 서비스의 역할이 대두되게 됩니다. AD는 인증서 관리 서버와 협업할 수 있고, 게다가 AD에 등록된 모든 컴퓨터들은 CA 인증서가 자동으로 설치되므로 별도의 인증서 관리 작업이 필요 없게 되는 것입니다.




웹 브라우저 방문 시, 다음과 같은 오류 메시지를 보게 된다면?

The certificate for this site is not valid.

Because this connection is not secure, information (such as passwords or credit cards) will not be securely sent to this site and may be intercepted or seen by others.

We suggest you don't enter personal information into this site or avoid using this site.​

Your connection isn't private

Attackers might be trying to steal your information from win10en (for example, passwords, messages, or credit cards).
NET::ERR_CERT_COMMON_NAME_INVALID

This server couldn't prove that it's win10en; its security certificate does not specify Subject Alternative Names. This may be caused by a misconfiguration or an attacker intercepting your connection.

메시지에 나온 대로 Subject Alternative Names를 지정하지 않았기 때문입니다. (이 글에서도 그렇게 하고 있지만) 아래의 글에 따라,

openssl - 윈도우 환경의 명령행에서 SAN 적용하는 방법
; https://www.sysnet.pe.kr/2/0/13235

SAN을 지정해 인증서를 생성해야만 합니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]






[최초 등록일: ]
[최종 수정일: 11/15/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  2  3  4  5  6  7  8  9  [10]  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13341정성태5/8/20233332닷넷: 2114. C# 12 - 모든 형식의 별칭(Using aliases for any type)
13340정성태5/8/20233224오류 유형: 857. Microsoft.Data.SqlClient.SqlException - 0x80131904
13339정성태5/6/20233902닷넷: 2113. C# 12 - 기본 생성자(Primary Constructors)
13338정성태5/6/20233485닷넷: 2112. C# 12 - 기본 람다 매개 변수파일 다운로드1
13337정성태5/5/20233881Linux: 59. dockerfile - docker exec로 container에 접속 시 자동으로 실행되는 코드 적용
13336정성태5/4/20233631.NET Framework: 2111. C# - 바이너리 출력 디렉터리와 연관된 csproj 설정
13335정성태4/30/20233757.NET Framework: 2110. C# - FFmpeg.AutoGen 라이브러리를 이용한 기본 프로젝트 구성 - Windows Forms파일 다운로드1
13334정성태4/29/20233518Windows: 250. Win32 C/C++ - Modal 메시지 루프 내에서 SetWindowsHookEx를 이용한 Thread 메시지 처리 방법
13333정성태4/28/20232975Windows: 249. Win32 C/C++ - 대화창 템플릿을 런타임에 코딩해서 사용파일 다운로드1
13332정성태4/27/20233108Windows: 248. Win32 C/C++ - 대화창을 위한 메시지 루프 사용자 정의파일 다운로드1
13331정성태4/27/20233115오류 유형: 856. dockerfile - 구 버전의 .NET Core 이미지 사용 시 apt update 오류
13330정성태4/26/20232776Windows: 247. Win32 C/C++ - CS_GLOBALCLASS 설명
13329정성태4/24/20233071Windows: 246. Win32 C/C++ - 직접 띄운 대화창 템플릿을 위한 Modal 메시지 루프 생성파일 다운로드1
13328정성태4/19/20232685VS.NET IDE: 184. Visual Studio - Fine Code Coverage에서 동작하지 않는 Fake/Shim 테스트
13327정성태4/19/20233113VS.NET IDE: 183. C# - .NET Core/5+ 환경에서 Fakes를 이용한 단위 테스트 방법
13326정성태4/18/20234300.NET Framework: 2109. C# - 닷넷 응용 프로그램에서 SQLite 사용 (System.Data.SQLite) [1]파일 다운로드1
13325정성태4/18/20233750스크립트: 48. 파이썬 - PostgreSQL의 with 문을 사용한 경우 연결 개체 누수
13324정성태4/17/20233536.NET Framework: 2108. C# - Octave의 "save -binary ..."로 생성한 바이너리 파일 분석파일 다운로드1
13323정성태4/16/20233396개발 환경 구성: 677. Octave에서 Excel read/write를 위한 io 패키지 설치
13322정성태4/15/20234068VS.NET IDE: 182. Visual Studio - 32비트로만 빌드된 ActiveX와 작업해야 한다면?
13321정성태4/14/20233086개발 환경 구성: 676. WSL/Linux Octave - Python 스크립트 연동
13320정성태4/13/20233107개발 환경 구성: 675. Windows Octave 8.1.0 - Python 스크립트 연동
13319정성태4/12/20233492개발 환경 구성: 674. WSL 2 환경에서 GNU Octave 설치
13318정성태4/11/20233315개발 환경 구성: 673. JetBrains IDE에서 "Squash Commits..." 메뉴가 비활성화된 경우
13317정성태4/11/20233466오류 유형: 855. WSL 2 Ubuntu 20.04 - error: cannot communicate with server: Post http://localhost/v2/snaps/...
13316정성태4/10/20232850오류 유형: 854. docker-compose 시 "json.decoder.JSONDecodeError: Expecting value: line 1 column 1 (char 0)" 오류 발생
1  2  3  4  5  6  7  8  9  [10]  11  12  13  14  15  ...