Windows Server 2008 : CA 인증서 발급 실패
롱혼 베타 3로 업데이트 이후, HTTPS 설정에서 클라이언트 측 인증서도 요구하는 페이지에서 갑자기 에러가 발생하기 시작했습니다.
우선, 클라이언트에서 접속하면 다음과 같은 식으로 오류 화면이 보입니다.
"
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the
credentials that you supplied.
"
서버에서 직접 "localhost"로 들어가 보니, 다음과 같은 좀 더 구체적인 오류 메시지가 나오긴 했지만 그다지 도움이 되지는 않았습니다.
HTTP Error 403.4 - Forbidden
The page you are trying to access is secured with Secure Sockets Layer (SSL).
Module IIS Web Core
Notification BeginRequest
Handler PageHandlerFactory-ISAPI-2.0
Error Code 0x80070005
Secure Sockets Layer (SSL) is enabled for the URL requested.
The page request was made over HTTP,
but the server requires the request from a secure channel that uses HTTPS.
This error means that the requested Web page requires SSL.
Try to browse to the same URL, but use "https:" instead of "http:".
혹시나 싶어서, 클라이언트 측 인증서를 "http://.../certsrv"를 통해서 새로 요청한 후, "인증서 서비스"에서 "발급" 처리를 해봤습니다. 그랬더니, 해당 인증서가 발급되지 않고, 다음 화면에서 보는 것처럼 "Failed Requests"로 처리되었습니다.
"
The revocation function was unable to check revocation
because the revocation server was offline. 0x80092013 (-2146885613)
"
좀 더 자세한 오류 로그를 위해서 이벤트 로그를 확인해 보니, 오류 로그 하나에 경고 로그 하나가 있는데, 각각 다음과 같았습니다.
오류 로그:
Active Directory Certificate Services could not create a certificate revocation list.
The parameter is incorrect. 0x80070057 (WIN32: 87).
This may cause applications that need to check the revocation status of certificates issued by this CA to fail.
You can recreate the certificate revocation list manually by running the following command:
"certutil -CRL". If the problem persists, restart Certificate Services.
경고 로그:
Active Directory Certificate Services denied request 13
because The revocation function was unable to check revocation
because the revocation server was offline. 0x80092013 (-2146885613).
The request was for CN=[요청 CN].
Additional information:
Error Constructing or Publishing Certificate Resubmitted by THEMOST\[사용자 계정]
certutil 명령어를 사용하라는 권유가 되어 있어서 아래의 도움말 페이지를 참조해서 다시 CRL을 생성해 보았습니다.
Certutil tasks for managing CRLs
; http://technet2.microsoft.com/windowsserver/en/library/a3d5dbb9-1bf6-42da-a13b-2b220b11b6fe1033.mspx?mfr=true
이를 기반으로 제가 내린 명령어는 다음과 같습니다.
C:\Windows\system32>certutil -CRL -v -config .\w32.sysnet.pe.kr
CertUtil: -CRL command completed successfully.
이렇게 하고 나니, 정상적으로 인증서 발급이 되었고 해당 인증서를 HTTPS 요청 시에 전송을 하는 것도 문제 없이 이뤄졌습니다.
정말 많이 좋아졌죠. ^^ 이젠 오류 로그만으로도 웬만한 오류는 모두 해결할 수 있으니.
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]