글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
(연관된 글이 5개 있습니다.)
클라이언트 측 SSL 인증서를 사용하는 웹 사이트가 얼마나 될지는 모르겠지만, 그래도 제가 겪은 시행착오를 하나 공유합니다.
저 같은 경우, 클라이언트 측 인증서를 이용하도록 구성해 놓은 일부 웹 페이지가 있습니다. 그러한 페이지들은 다음과 같이 반드시 클라이언트 측 인증서를 필요로 하도록 설정되어 있습니다.
이렇게 구성된 웹 사이트의 경우, IIS 7로 마이그레이션 한 이후 다음과 같은 오류 현상을 겪을 수 있습니다.
"
HTTP Error 403 - Forbidden: Access is denied.
Description: You do not have permission to view this directory or page
using the credentials that you supplied.
"
좀 더 자세한 오류를 보기 위해서, IIS 7이 설치된 머신에서 직접 "https://localhost:443/test.aspx" URL을 입력하고 들어가면, 다음의 링크에 걸린 오류 화면을 볼 수 있습니다.
"자세한 오류 메시지 보기"
이번엔 좀 더 자세하게 다음과 같은 오류 로그를 포함하는 것을 알 수 있습니다.
"
Your client certificate was revoked, or the revocation status could not be determined.
"
그렇습니다. 문제의 원인은 클라이언트 측에서 제출한 인증서의 CRL 목록을 해당 경로에서 구할 수 없을 때, IIS 7 서버에서는 그 인증서에 대한 유효성 검사를 실패하여 그와 같은 오류 화면을 보내주는 것입니다.
이런 경우, 여러분들이 제출하는 클라이언트 측 인증서를 확인해서 아래와 같이 "CRL Distribution Points"의 URL로부터 실제로 CRL 파일을 다운로드할 수 있는지 검증해야 합니다.
만약, 이미 발행된 모든 클라이언트 인증서에 기재된 URL이 올바르지 않게 구성되어 있다면 다음과 같은 3가지 방법을 이용해서 이를 수정할 수 있습니다.
- 방법 1. 인증서 서비스의 CRL 배포 지점을 수정하고, 다시 모든 클라이언트로 하여금 인증서를 재발급 받도록 합니다. CRL 배포 지점을 수정하는 방법에 대해서는 다음의 토픽을 참고하십시오.
6. CRL(Certificate Revocation List) 관리
; https://www.sysnet.pe.kr/2/0/414
- 방법 2. 이미 발급된 클라이언트들에 대해서는 해당 PC의 HOSTS 파일을 적절하게 수정해 줍니다.
- 방법 3. 저도 아직 방법을 알지 못하고 있지만, IIS 7의 CRL 확인 옵션을 해제합니다. (아마 있거나, 정식 롱혼 서버 릴리즈에서는 있을 것 같습니다.)
이 외에, CRL 배포 지점이 잘못되는 것으로 인해 발생할 수 있는 문제점이라면 IE 7에서의 SSL 사이트 방문이 상당히 느려지는 현상을 경험할 수 있습니다. 이것은, IE 7이 기본적으로 해당 SSL 인증서의 CRL 파일을 확인하도록 설정되어 있는 것에서 나타나는 문제입니다. 다음 화면과 같이 "서버 인증서 해지 확인" 옵션이 제공되고 있으며, 이로 인해 HTTP 트래픽이 한 번 더 발생하게 됩니다. 만약 이 과정에서 해당 CRL 파일을 다운로드할 수 없으면 SSL 사이트 방문이 눈에 띄게 느립니다.
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]
[연관 글]
1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 ...
1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 ...