개발 환경 구성: 555. openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법
; https://www.sysnet.pe.kr/2/0/12570

개발 환경 구성: 565. PowerShell - New-SelfSignedCertificate를 사용해 CA 인증서 생성 및 인증서 서명 방법
; https://www.sysnet.pe.kr/2/0/12588

개발 환경 구성: 654. openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법 (2)
; https://www.sysnet.pe.kr/2/0/13187

개발 환경 구성: 662. openssl - 윈도우 환경의 명령행에서 SAN 적용하는 방법
; https://www.sysnet.pe.kr/2/0/13235

개발 환경 구성: 663. openssl을 이용해 인트라넷 IIS 사이트의 SSL 인증서 생성
; https://www.sysnet.pe.kr/2/0/13236

개발 환경 구성: 681. openssl - 인증서 버전(V1 / V3)
; https://www.sysnet.pe.kr/2/0/13371

개발 환경 구성: 686. 비주얼 스튜디오로 실행한 ASP.NET Core 사이트를 WSL 2 인스턴스에서 https로 접속하는 방법
; https://www.sysnet.pe.kr/2/0/13442

개발 환경 구성: 687. OpenSSL로 생성한 사용자 인증서를 ASP.NET Core 웹 사이트에 적용하는 방법
; https://www.sysnet.pe.kr/2/0/13443

Linux: 62. 리눅스/WSL에서 CA 인증서를 저장하는 방법
; https://www.sysnet.pe.kr/2/0/13445

닷넷: 2162. ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법
; https://www.sysnet.pe.kr/2/0/13447

ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법

HTTPS 통신을 설정하는 방법은 1) (지난 글의 예제에서 설명한 것처럼) appsettings.json로 처리하는 것 외에도 2) 코드로 작성하는 것이 가능합니다.

이번 글에서는 바로 코드로 작성하는 경우도 테스트를 해볼 텐데요, 간단하게 지난 예제 코드로부터 appsettings.json 파일에 설정했던 Kestrel 노드를 제거(즉, 원래의 기본값으로 원복)하고,

{
    "Logging": {
        "LogLevel": {
            "Default": "Information",
            "Microsoft.AspNetCore": "Warning"
        }
    },
    "AllowedHosts": "*"
}

코드에 다음과 같이 추가한 후,

var builder = WebApplication.CreateBuilder(args);

var certPem = File.ReadAllText(@"test_site_cert.crt");
var keyPem = File.ReadAllText(@"test_site_cert.key");

var x509cert = X509Certificate2.CreateFromPem(certPem, keyPem);

builder.WebHost.ConfigureKestrel(options =>
{
    options.Listen(IPAddress.Any, 5000);
    options.Listen(IPAddress.Any, 7252, listenOptions =>
    {
        listenOptions.UseHttps(x509cert);
    });
});

F5 키를 눌러 디버깅을 시작하면 웹 브라우저가 뜨면서 "https://localhost:7252" 페이지를 방문하지만, 이상하게도 ERR_CONNECTION_CLOSED 오류가 발생합니다.

netstat로 확인하면 분명히 바인딩은 "Any"로 되어 있고,

c:\temp> netstat -ano | findstr 7252
  TCP    0.0.0.0:7252           0.0.0.0:0              LISTENING       45768

콘솔 출력 화면에도,

warn: Microsoft.AspNetCore.Server.Kestrel[0]
      Overriding address(es) 'https://localhost:7252, http://localhost:5001'. Binding to endpoints defined via IConfiguration and/or UseKestrel() instead.
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: http://0.0.0.0:5000
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: https://0.0.0.0:7252
info: Microsoft.Hosting.Lifetime[0]
      Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
      Hosting environment: Development
info: Microsoft.Hosting.Lifetime[0]
      Content root path: C:\temp\WebApplication1\WebApplication1

별다른 오류가 없습니다. 도대체 왜 이런 것일까요? ^^;

---

검색해 보면,

PEM Loading in .NET Core and .NET 5
; https://www.scottbrady91.com/c-sharp/pem-loading-in-dotnet-core-and-dotnet

Pem Loading in .NET Core and .NET 5/ScottBrady.Pem.Kestrel/Program.cs
; https://github.com/scottbrady91/samples/blob/master/Pem%20Loading%20in%20.NET%20Core%20and%20.NET%205/ScottBrady.Pem.Kestrel/Program.cs

윈도우 환경의 경우,



이런 오류가 발생한다고 합니다.

System.ComponentModel.Win32Exception (0x8009030E): No credentials are available in the security package

실제로, Visual Studio의 Output에 보면 여러 개의 예외가 발생한 것을 볼 수 있습니다.

Microsoft.Hosting.Lifetime: Information: Now listening on: http://0.0.0.0:5000
Microsoft.Hosting.Lifetime: Information: Now listening on: https://0.0.0.0:7252
Microsoft.Hosting.Lifetime: Information: Application started. Press Ctrl+C to shut down.
Microsoft.Hosting.Lifetime: Information: Hosting environment: Development
Microsoft.Hosting.Lifetime: Information: Content root path: C:\temp\WebApplication1\WebApplication1
Exception thrown: 'System.IO.IOException' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.ComponentModel.Win32Exception' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.Security.Authentication.AuthenticationException' in System.Net.Security.dll
...[생략]...

해당 오류의 상세 내용을 보면,

// 이 오류는, (이후에 설명할) pfx 인증서로 처리해도 발생하는 걸로 봐서 크게 상관이 없는 듯합니다.
System.IO.IOException
  HResult=0x80131620
  Message= Received an unexpected EOF or 0 bytes from the transport stream.
  Source=System.Net.Security
  StackTrace:
   at System.Net.Security.SslStream.<ReceiveBlobAsync>d__147`1.MoveNext() in /_/src/libraries/System.Net.Security/src/System/Net/Security/SslStream.IO.cs:line 370

System.ComponentModel.Win32Exception
  HResult=0x80004005
  Message=No credentials are available in the security package
  Source=System.Net.Security
  StackTrace:
   at System.Net.SSPIWrapper.AcquireCredentialsHandle(ISSPIInterface secModule, String package, CredentialUse intent, SCH_CREDENTIALS* scc) in /_/src/libraries/Common/src/Interop/Windows/SspiCli/SSPIWrapper.cs:line 138

"PEM Loading in .NET Core and .NET 5" 글에서 설명한 바로 그 오류인 듯합니다.

그런데, 위의 오류는 .NET 7 이하에서 실행할 때만 발생하고 .NET 8부터는 예외가 없습니다. 하지만, 그런데도 윈도우 환경에서는 저 코드가 동작하지 않습니다.

재미있는 건, 저렇게 PEM 형식의 인증서는 안 되지만, 대신 PFX는 윈도우 환경에서 잘 동작하는데요, openssl로 생성한 crt, key 파일로부터 pfx를 생성 후,

c:\temp> openssl pkcs12 -export -out test_site_cert.pfx -inkey test_site_cert.key -in test_site_cert.crt
Enter Export Password:
Verifying - Enter Export Password:

// 비밀번호는 testtest로 가정

이렇게 로딩해 사용하면,

builder.WebHost.ConfigureKestrel(options =>
{
    options.ListenAnyIP(7252, listenOptions =>
    {
        listenOptions.UseHttps("test_site_cert.pfx", "testtest");
    });
});

이후 윈도우에서 HTTPS 접속이 잘됩니다.

---

혹시, 리눅스 환경은 어떨까요? 테스트를 위해 리눅스 버전으로 배포하고,

dotnet publish --os linux --arch x64 -c Release -o c:\temp\testapp

(쉽게 테스트할 수 있는) WSL 환경에서 실행하면,

$ cd /mnt/c/temp/testapp

$ dotnet WebApplication1.dll

코드를 이용해 설정한 PEM과 PFX 버전 모두 잘 동작하고, 이전 글의 appsettings.json 방법도 문제가 없습니다.

정리해 보면, appsettings.json에 설정한다면 PEM 형식도 괜찮지만, 코드로 할 거면 pfx로 처리하는 것이 좋다는!!! ^^

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 11/16/2023]
[최종 수정일: 11/16/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com