웹: 5. IIS 7에서 클라이언트 측 인증서 사용 시 주의점

(연관된 글이 5개 있습니다.)

클라이언트 측 SSL 인증서를 사용하는 웹 사이트가 얼마나 될지는 모르겠지만, 그래도 제가 겪은 시행착오를 하나 공유합니다.

저 같은 경우, 클라이언트 측 인증서를 이용하도록 구성해 놓은 일부 웹 페이지가 있습니다. 그러한 페이지들은 다음과 같이 반드시 클라이언트 측 인증서를 필요로 하도록 설정되어 있습니다.

이렇게 구성된 웹 사이트의 경우, IIS 7로 마이그레이션 한 이후 다음과 같은 오류 현상을 겪을 수 있습니다.

"
HTTP Error 403 - Forbidden: Access is denied.
Description: You do not have permission to view this directory or page 
using the credentials that you supplied.
"

좀 더 자세한 오류를 보기 위해서, IIS 7이 설치된 머신에서 직접 "https://localhost:443/test.aspx" URL을 입력하고 들어가면, 다음의 링크에 걸린 오류 화면을 볼 수 있습니다.

"자세한 오류 메시지 보기"

이번엔 좀 더 자세하게 다음과 같은 오류 로그를 포함하는 것을 알 수 있습니다.

"
Your client certificate was revoked, or the revocation status could not be determined.
"

그렇습니다. 문제의 원인은 클라이언트 측에서 제출한 인증서의 CRL 목록을 해당 경로에서 구할 수 없을 때, IIS 7 서버에서는 그 인증서에 대한 유효성 검사를 실패하여 그와 같은 오류 화면을 보내주는 것입니다.

이런 경우, 여러분들이 제출하는 클라이언트 측 인증서를 확인해서 아래와 같이 "CRL Distribution Points"의 URL로부터 실제로 CRL 파일을 다운로드할 수 있는지 검증해야 합니다.

만약, 이미 발행된 모든 클라이언트 인증서에 기재된 URL이 올바르지 않게 구성되어 있다면 다음과 같은 3가지 방법을 이용해서 이를 수정할 수 있습니다.

- 방법 1. 인증서 서비스의 CRL 배포 지점을 수정하고, 다시 모든 클라이언트로 하여금 인증서를 재발급 받도록 합니다. CRL 배포 지점을 수정하는 방법에 대해서는 다음의 토픽을 참고하십시오.

6. CRL(Certificate Revocation List) 관리
; https://www.sysnet.pe.kr/2/0/414

- 방법 2. 이미 발급된 클라이언트들에 대해서는 해당 PC의 HOSTS 파일을 적절하게 수정해 줍니다.

- 방법 3. 저도 아직 방법을 알지 못하고 있지만, IIS 7의 CRL 확인 옵션을 해제합니다. (아마 있거나, 정식 롱혼 서버 릴리즈에서는 있을 것 같습니다.)

이 외에, CRL 배포 지점이 잘못되는 것으로 인해 발생할 수 있는 문제점이라면 IE 7에서의 SSL 사이트 방문이 상당히 느려지는 현상을 경험할 수 있습니다. 이것은, IE 7이 기본적으로 해당 SSL 인증서의 CRL 파일을 확인하도록 설정되어 있는 것에서 나타나는 문제입니다. 다음 화면과 같이 "서버 인증서 해지 확인" 옵션이 제공되고 있으며, 이로 인해 HTTP 트래픽이 한 번 더 발생하게 됩니다. 만약 이 과정에서 해당 CRL 파일을 다운로드할 수 없으면 SSL 사이트 방문이 눈에 띄게 느립니다.

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] Windows: 9. VS.NET 2005 원격 디버깅 구성
[이전 글] Windows: 8. VS.NET 2005에서의 웹 애플리케이션 디버깅 설정

[연관 글]

[최초 등록일: 12/25/2006]
[최종 수정일: 7/10/2021]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
453	정성태	2/4/2007	24873	개발 환경 구성: 21. 서버 측 SoapExtension을 클라이언트에 알리고 싶다
452	정성태	1/31/2007	24564	VC++: 31. 비스타에서 VS.NET 2005로 COM 프로젝트 빌드시 오류 [2]
451	정성태	1/31/2007	23696	Windows: 21. Preview Handler 소개
450	정성태	1/30/2007	32015	VS.NET IDE: 43. .NET에서의 필수 무결성 제어 조절하는 방법 - Manifest 파일 이용	2
449	정성태	2/4/2007	28832	Windows: 20. UAC 이모저모 [2]
448	정성태	1/28/2007	24494	Windows: 19. 3가지 유형의 가젯 프로그램
447	정성태	1/27/2007	21696	Windows: 18. 비스타 도구 - 사양 정보 및 도구(Performance Information and Tools)
446	정성태	1/27/2007	30590	VC++: 30. 필수 무결성 제어를 조절하는 방법(2) - 직접 코딩	1
445	정성태	2/8/2007	29198	VC++: 29. 필수 무결성 제어를 조절하는 방법(1) - Manifest 파일 이용	2
444	정성태	1/27/2007	22633	VC++: 28. 비스타 응용 프로그램 개발을 위한 VS.NET 2005 환경 설정
443	정성태	1/26/2007	21129	VC++: 27. COM 개체로 인해 IE 7 비스타 버전이 종료될 때 오류 화면이 뜬다면?	1
442	정성태	1/24/2007	24094	.NET Framework: 79. 새로운 암호화 클래스 (ECDsaCng, ECDiffieHellmanCng) 소개 [1]
441	정성태	1/23/2007	28804	Windows: 17. 보안 데스크톱에서 활성화되지 않은 UAC 창이 안전할까?
440	정성태	1/24/2007	22929	.NET Framework: 78. C# 3.0 - Anonymous types [1]
439	정성태	1/25/2007	23936	.NET Framework: 77. C# 3.0 - Lambda 표현식 [1]
438	정성태	1/24/2007	23454	.NET Framework: 76. C# 3.0 - 확장 함수
437	정성태	1/23/2007	30875	Windows: 16. 개발자를 위한 UAC 환경 설정 [3]
436	정성태	1/17/2007	20048	VS.NET IDE: 42. Orcas 2007년 1월 CTP 버전 설치 [5]
435	정성태	1/14/2007	19728	기타: 17. 베타 제품과 최종 제품은 다르다 [2]
434	정성태	2/4/2007	23273	Windows: 15. MIC 환경 구성 - Windows XP와 유사한 보안 설정 [4]
433	정성태	1/12/2007	32835	Windows: 14. 보호 모드와 필수 무결성 제어(MIC: Mandatory Integrity Control) [3]	1
432	정성태	1/10/2007	23910	Windows: 13. InitOnceExecuteOnce API 소개 [5]
431	정성태	1/8/2007	21513	Windows: 12. 비스타는 안전한 윈도우인가? [2]
430	정성태	1/7/2007	27423	웹: 6. IIS 7 마이그레이션 정리 - Sysnet
427	정성태	12/30/2006	18145	Team Foundation Server: 14. VS.NET IDE에 통합된 TFS Annotate [1]
425	정성태	12/29/2006	22082	Windows: 11. Vista IIS 7(Integrated mode)에서의 ASP.NET F5 디버깅 방법

Writer

Date

Cnt.

Title

File(s)

453

정성태

2/4/2007

24873

개발 환경 구성: 21. 서버 측 SoapExtension을 클라이언트에 알리고 싶다

452

정성태