Microsoft MVP성태의 닷넷 이야기
닷넷: 2162. ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법 [링크 복사], [링크+제목 복사]
조회: 1735
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법

HTTPS 통신을 설정하는 방법은 1) (지난 글의 예제에서 설명한 것처럼) appsettings.json로 처리하는 것 외에도 2) 코드로 작성하는 것이 가능합니다.

이번 글에서는 바로 코드로 작성하는 경우도 테스트를 해볼 텐데요, 간단하게 지난 예제 코드로부터 appsettings.json 파일에 설정했던 Kestrel 노드를 제거(즉, 원래의 기본값으로 원복)하고,

{
    "Logging": {
        "LogLevel": {
            "Default": "Information",
            "Microsoft.AspNetCore": "Warning"
        }
    },
    "AllowedHosts": "*"
}

코드에 다음과 같이 추가한 후,

var builder = WebApplication.CreateBuilder(args);

var certPem = File.ReadAllText(@"test_site_cert.crt");
var keyPem = File.ReadAllText(@"test_site_cert.key");

var x509cert = X509Certificate2.CreateFromPem(certPem, keyPem);

builder.WebHost.ConfigureKestrel(options =>
{
    options.Listen(IPAddress.Any, 5000);
    options.Listen(IPAddress.Any, 7252, listenOptions =>
    {
        listenOptions.UseHttps(x509cert);
    });
});

F5 키를 눌러 디버깅을 시작하면 웹 브라우저가 뜨면서 "https://localhost:7252" 페이지를 방문하지만, 이상하게도 ERR_CONNECTION_CLOSED 오류가 발생합니다.

netstat로 확인하면 분명히 바인딩은 "Any"로 되어 있고,

c:\temp> netstat -ano | findstr 7252
  TCP    0.0.0.0:7252           0.0.0.0:0              LISTENING       45768

콘솔 출력 화면에도,

warn: Microsoft.AspNetCore.Server.Kestrel[0]
      Overriding address(es) 'https://localhost:7252, http://localhost:5001'. Binding to endpoints defined via IConfiguration and/or UseKestrel() instead.
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: http://0.0.0.0:5000
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: https://0.0.0.0:7252
info: Microsoft.Hosting.Lifetime[0]
      Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
      Hosting environment: Development
info: Microsoft.Hosting.Lifetime[0]
      Content root path: C:\temp\WebApplication1\WebApplication1

별다른 오류가 없습니다. 도대체 왜 이런 것일까요? ^^;




검색해 보면,

PEM Loading in .NET Core and .NET 5
; https://www.scottbrady91.com/c-sharp/pem-loading-in-dotnet-core-and-dotnet

Pem Loading in .NET Core and .NET 5/ScottBrady.Pem.Kestrel/Program.cs
; https://github.com/scottbrady91/samples/blob/master/Pem%20Loading%20in%20.NET%20Core%20and%20.NET%205/ScottBrady.Pem.Kestrel/Program.cs

윈도우 환경의 경우,

If you're not on Windows, you can do this by loading in the X509 certificate like above and passing it directly to Kestrel; however, at the time of writing, try to do that in Windows, and you'll get an exception from SslStream:


이런 오류가 발생한다고 합니다.

System.ComponentModel.Win32Exception (0x8009030E): No credentials are available in the security package

실제로, Visual Studio의 Output에 보면 여러 개의 예외가 발생한 것을 볼 수 있습니다.

Microsoft.Hosting.Lifetime: Information: Now listening on: http://0.0.0.0:5000
Microsoft.Hosting.Lifetime: Information: Now listening on: https://0.0.0.0:7252
Microsoft.Hosting.Lifetime: Information: Application started. Press Ctrl+C to shut down.
Microsoft.Hosting.Lifetime: Information: Hosting environment: Development
Microsoft.Hosting.Lifetime: Information: Content root path: C:\temp\WebApplication1\WebApplication1
Exception thrown: 'System.IO.IOException' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.ComponentModel.Win32Exception' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.Security.Authentication.AuthenticationException' in System.Net.Security.dll
...[생략]...

해당 오류의 상세 내용을 보면,

// 이 오류는, (이후에 설명할) pfx 인증서로 처리해도 발생하는 걸로 봐서 크게 상관이 없는 듯합니다.
System.IO.IOException
  HResult=0x80131620
  Message= Received an unexpected EOF or 0 bytes from the transport stream.
  Source=System.Net.Security
  StackTrace:
   at System.Net.Security.SslStream.<ReceiveBlobAsync>d__147`1.MoveNext() in /_/src/libraries/System.Net.Security/src/System/Net/Security/SslStream.IO.cs:line 370

System.ComponentModel.Win32Exception
  HResult=0x80004005
  Message=No credentials are available in the security package
  Source=System.Net.Security
  StackTrace:
   at System.Net.SSPIWrapper.AcquireCredentialsHandle(ISSPIInterface secModule, String package, CredentialUse intent, SCH_CREDENTIALS* scc) in /_/src/libraries/Common/src/Interop/Windows/SspiCli/SSPIWrapper.cs:line 138

"PEM Loading in .NET Core and .NET 5" 글에서 설명한 바로 그 오류인 듯합니다.

그런데, 위의 오류는 .NET 7 이하에서 실행할 때만 발생하고 .NET 8부터는 예외가 없습니다. 하지만, 그런데도 윈도우 환경에서는 저 코드가 동작하지 않습니다.

재미있는 건, 저렇게 PEM 형식의 인증서는 안 되지만, 대신 PFX는 윈도우 환경에서 잘 동작하는데요, openssl로 생성한 crt, key 파일로부터 pfx를 생성 후,

c:\temp> openssl pkcs12 -export -out test_site_cert.pfx -inkey test_site_cert.key -in test_site_cert.crt
Enter Export Password:
Verifying - Enter Export Password:

// 비밀번호는 testtest로 가정

이렇게 로딩해 사용하면,

builder.WebHost.ConfigureKestrel(options =>
{
    options.ListenAnyIP(7252, listenOptions =>
    {
        listenOptions.UseHttps("test_site_cert.pfx", "testtest");
    });
});

이후 윈도우에서 HTTPS 접속이 잘됩니다.




혹시, 리눅스 환경은 어떨까요? 테스트를 위해 리눅스 버전으로 배포하고,

dotnet publish --os linux --arch x64 -c Release -o c:\temp\testapp

(쉽게 테스트할 수 있는) WSL 환경에서 실행하면,

$ cd /mnt/c/temp/testapp

$ dotnet WebApplication1.dll

코드를 이용해 설정한 PEM과 PFX 버전 모두 잘 동작하고, 이전 글의 appsettings.json 방법도 문제가 없습니다.

정리해 보면, appsettings.json에 설정한다면 PEM 형식도 괜찮지만, 코드로 할 거면 pfx로 처리하는 것이 좋다는!!! ^^





[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 11/16/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  [2]  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13541정성태1/29/20241011VS.NET IDE: 188. launchSettings.json의 useSSL 옵션
13540정성태1/29/20241132Linux: 69. 리눅스 - "Docker Desktop for Windows" Container 환경에서 IPv6 Loopback Address 바인딩 오류
13539정성태1/26/20241402개발 환경 구성: 703. Visual Studio - launchSettings.json을 이용한 HTTP/HTTPS 포트 바인딩
13538정성태1/25/20241531닷넷: 2211. C# - NonGC(FOH) 영역에 .NET 개체를 생성파일 다운로드1
13537정성태1/24/20241550닷넷: 2210. C# - Native 메모리에 .NET 개체를 생성파일 다운로드1
13536정성태1/23/20241646닷넷: 2209. .NET 8 - NonGC Heap / FOH (Frozen Object Heap) [1]
13535정성태1/22/20241490닷넷: 2208. C# - GCHandle 구조체의 메모리 분석
13534정성태1/21/20241313닷넷: 2207. C# - SQL Server DB를 bacpac으로 Export/Import파일 다운로드1
13533정성태1/18/20241379닷넷: 2206. C# - TCP KeepAlive의 서버 측 구현파일 다운로드1
13532정성태1/17/20241354닷넷: 2205. C# - SuperSimpleTcp 사용 시 주의할 점파일 다운로드1
13531정성태1/16/20241398닷넷: 2204. C# - TCP KeepAlive에 새로 추가된 Retry 옵션파일 다운로드1
13530정성태1/15/20241381닷넷: 2203. C# - Python과의 AES 암호화 연동파일 다운로드1
13529정성태1/15/20241283닷넷: 2202. C# - PublishAot의 glibc에 대한 정적 링킹하는 방법
13528정성태1/14/20241401Linux: 68. busybox 컨테이너에서 실행 가능한 C++, Go 프로그램 빌드
13527정성태1/14/20241296오류 유형: 892. Visual Studio - Failed to launch debug adapter. Additional information may be available in the output window.
13526정성태1/14/20241353닷넷: 2201. C# - Facebook 연동 / 사용자 탈퇴 처리 방법
13525정성태1/13/20241301오류 유형: 891. Visual Studio - Web Application을 실행하지 못하는 IISExpress
13524정성태1/12/20241334오류 유형: 890. 한국투자증권 KIS Developers OpenAPI - GW라우팅 중 오류가 발생했습니다.
13523정성태1/12/20241234오류 유형: 889. Visual Studio - error : A project with that name is already opened in the solution.
13522정성태1/11/20241328닷넷: 2200. C# - HttpClient.PostAsJsonAsync 호출 시 "Transfer-Encoding: chunked" 대신 "Content-Length" 헤더 처리
13521정성태1/11/20241456닷넷: 2199. C# - 한국투자증권 KIS Developers OpenAPI의 WebSocket Ping, Pong 처리
13520정성태1/10/20241276오류 유형: 888. C# - Unable to resolve service for type 'Microsoft.Extensions.ObjectPool.ObjectPool`....'
13519정성태1/10/20241347닷넷: 2198. C# - Reflection을 이용한 ClientWebSocket의 Ping 호출파일 다운로드1
13518정성태1/9/20241467닷넷: 2197. C# - ClientWebSocket의 Ping, Pong 처리
13517정성태1/8/20241358스크립트: 63. Python - 공개 패키지를 이용한 위성 이미지 생성 (pystac_client, odc.stac)
13516정성태1/7/20241489닷넷: 2196. IIS - AppPool의 "Disable Overlapped Recycle" 옵션의 부작용
1  [2]  3  4  5  6  7  8  9  10  11  12  13  14  15  ...