Microsoft MVP성태의 닷넷 이야기
개발 환경 구성: 309. 3년짜리 유효 기간을 제공하는 StartSSL [링크 복사], [링크+제목 복사]
조회: 8224
글쓴 사람
홈페이지
첨부 파일
 

3년짜리 유효 기간을 제공하는 StartSSL

오호~~~ 다음과 같은 글을 읽었습니다.

StartSSL 무료 인증서 발급받기
; https://www.xetown.com/slope/135905

StartCom이라는 회사에서 각각 Free / Identity / Organization Validation / Extended Validation이라는 군으로 나눠 StartSSL 제품을 제공하고 있는데 이 중에서 "StartSSL Free"가 바로 무료 SSL 인증서입니다.

물론 무료 인증서야 저도 이미 "Let's encrypt"를 통해 사용하고 있었지만,

"Let's Encrypt"에서 제공하는 무료 SSL 인증서를 IIS에 적용하는 방법 (1)
; https://www.sysnet.pe.kr/2/0/10958

"StartSSL Free" 제품에서 제 눈길을 사로잡은 것은, 바로 "Certificate Validity"가 3년이라는 점입니다. 그래서 ^^ 얼른 다음의 링크를 눌러 발급 절차를 시작했습니다.

StartSSL Free
; https://startssl.com/Validate

"Sign-up" 링크를 눌러 이메일과 "Client 인증서(Certificate)"를 발급받게 되는데, Edge의 경우 자동 설치가 지원되지 않아 .p12 확장자를 갖는 파일로 저장하게 됩니다.

저장을 했으면 탐색기에서 해당 파일을 두 번 클릭해서 "Certificate Import Wizard"를 띄우고 "Current User" Store Location에 저장하면 됩니다. 방법은 아래의 글에서 "가져오기 - PFX 인증서 파일을 대상 컴퓨터에 설치" 부분을 참고하세요. (.p12 확장자이지만 .pfx 파일 가져오는 것과 동일합니다.)

5.1 인증서 관리 - 내보내기/가져오기
; https://www.sysnet.pe.kr/2/0/392

인증서를 설치했으면, 다시 다음의 링크로 가서,

Authenticate or Sign-up?
; https://startssl.com/Account

좌측의 "Client Certificate Login" 버튼을 누르면 "인증서 선택" 창이 다음과 같이 뜹니다.

start_ssl_1.png

(혹시, 위의 창이 뜨지 않으면 모든 Edge 웹 브라우저를 종료하고 작업관리자에서 edge 프로세스가 없도록 한 후 다시 띄우면 될 것입니다.)

저렇게 해서, 별다른 계정/암호 없이 인증서만으로 로그인할 수 있습니다. (달리 말하면, 해당 인증서가 설치되지 않은 컴퓨터에서는 로그인할 수 없습니다.)

로그인 후, 나오는 화면에서 "Validations Wizard" 탭을 누르고 "Domain Validation" 항목을 통해 발급받으려는 인증서가 보증할 도메인이 여러분의 것이 맞는다는 확인 과정을 거쳐야 이후 인증서를 받을 수 있습니다. 이 과정에서 openssl.exe를 실행해 개인키 파일과 .csr 인증서 요청 파일을 생성하게 되는데요. 다음과 같은 식으로 실행해 주면 됩니다.

openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr




발급된 인증서는 .crt 확장자를 갖는데, Azure에 올리기 위해서는 .pfx 파일이 요구되므로 변환을 해야 합니다. 이때 필요한 개인키 파일은 StartSSL 인증서를 발급받기 위해 openssl.exe를 실행시켜 생성했던 .key 파일을 사용하면 되는데, 문제는 그 .key 파일이 "-----BEGIN ENCRYPTED PRIVATE KEY-----" / "-----END ENCRYPTED PRIVATE KEY-----" 쌍으로 이뤄진 PEM 형식이라는 점입니다. 영어로는 이 파일을 "PEM encoded PKCS#8 format encrypted private key"라고 표현합니다.

pfx 파일로 변환해주는 도구인 pvkimprt.exe는 pem-key-file을 입력으로 받지 못하므로 pvk-file 형식으로 바꿔야 합니다. 이 방법은 다음의 글에서도 소개했는데요,

.keystore 파일에 저장된 개인키 추출방법과 인증기관으로부터 온 공개키를 합친 pfx 파일 만드는 방법
; https://www.sysnet.pe.kr/2/0/1262

그래서 이렇게 실행해 주면 됩니다.

D:\temp>pvk -in sysnet_pe_kr.key -topvk -strong -out sysnet_pe_kr.pvk
Enter PEM pass phrase:
Enter Password:
Verifying - Enter Password:

그다음, StartSSL로부터 발급받은 .crt 파일을 바로 위에서 생성했던 .pvk 파일과 합쳐 .pfx 파일을 만들어주면 됩니다. (참고: "인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법")

cert2spc.exe sysnet_pe_kr.crt sysnet_pe_kr.spc
pvkimprt.exe -pfx sysnet_pe_kr.spc sysnet_pe_kr.pvk




StartSSL 사용 시 유의할 사항이 있습니다. 현재 StartSSL 측에서 다음과 같은 공지를 하고 있는데요.

  1. Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update.
  2. Any subscribers that paid the validation fee after Oct. 21st can get full refund by request.
  3. StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.

즉, 모질라와 구글 측은 StartCom의 루트 인증서를 신뢰하지 않기로 결정했다고 합니다. 따라서, 향후에 있을 FireFox와 Chrome의 경우에는 StartCom에서 받은 SSL 인증서가 '유효하지 않은 인증서'로 간주될 수 있습니다. (2017-01-05 현재 아직까지는 Chrome의 경우 StartSSL 인증서를 잘 받아줍니다.)

비록 3년이라는 인증서 유효 기간이 마음에 들긴 하지만, 위와 같은 점을 감안한다면 모질라와 구글 관련한 웹 브라우저를 위해 "Let's encrypt"를 사용하시는 것이 더 안전할 수 있습니다. 저야 뭐... 개인적으로 운영하는 사이트이니 StartSSL로도 충분하지만. ^^




이제부터는 오류 상황을 정리해 보겠습니다. ^^

pvkimprt.exe 실행 시 000004c0 오류가 발생하는 경우가 있습니다.

D:\Tools\cert>pvkimprt -pfx 2_sysnet.pe.kr.spc sysnet_pe_kr.key
Error: 000004c0, The format of the specified password is invalid.

"Error: 000004c0, The format of the specified password is invalid." 오류가 매우 헷갈리는데요. pvkimprt.exe를 실행해서 곧바로 000004c0 오류가 발생했다면 .key 파일의 형식이 틀린 것일 수 있습니다. 반면, pvkimprt.exe를 실행한 후 .key 파일의 암호를 묻는 창이 뜨고 암호를 입력한 후 000004c0 오류가 발생한 경우라면 '암호를 묻는 창'에서 틀린 암호를 입력한 경우입니다.

참고로, pvkimprt.exe는 PEM 형식의 파일은 입력으로 받지 못 합니다. 즉, "openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr" 명령어로 생성한 sysnet_pe_kr.key 파일은 PEM 형식이기 때문에 확장자가 .key라고 해서 이를 pvkimprt.exe에 지정하면 000004c0 오류가 발생합니다.

시행착오를 겪은 오류 상황이 하나 더 있는데요. openssl.exe 실행 시 다음과 같은 오류가 발생할 수 있습니다.

E:\openssl>openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Unable to load config info from /usr/local/ssl/openssl.cnf

.cnf 파일을 알려줘야 하는데 다음과 같이 환경 변수를 설정해 주고 하시면 됩니다. (각자의 위치가 다를 수 있음에 유의하세요.)

SET OPENSSL_CONF=E:\openssl\apps\openssl.cnf
openssl req -newkey rsa:2048 -keyout sysnet_pe_kr.key -out sysnet_pe_kr.csr




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]





[최초 등록일: ]
[최종 수정일: 1/5/2017 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2017-01-05 02시17분
3년여간 StartSSL의 Level1 개인 인증서를 잘 쓰다가 작년 10월 중순에 wildcard 인증서가 탐이 나 70달러 정도를 주고 구매를 하였는데 2주도 지나지 않아 StartSSL이 중국 WOSIGN의 자회사로 속해 있고 WOSIGN의 인증서를 여러 업체에서 신뢰하지 않기로 하였다고 하여 좀 짜증이 나긴 했습니다만 저도 개인 공부용으로 쓰는지라 큰 불편함은 없는데 가끔씩 브라우저들이 거부를 해서 아쉽네요. 얼른 관련 문제가 해결이 되었으면 좋겠습니다.
Beren Ko
2017-01-06 01시19분
사실 Free로 발급하는 SSL이야 보증 심사를 쉽게 하면 마구 발급될 것이므로 그것을 신뢰하지 않겠다는 것은 이해가 되는데, StartSSL의 경우 아예 root 인증서 자체를 신뢰하지 않는다고 하니 아마 중국의 특성상 심각한 관리 문제가 있었지 않나... 하는 예상을 하게 됩니다. ^^
정성태

... 31  32  33  34  35  36  37  38  39  40  41  42  [43]  44  45  ...
NoWriterDateCnt.TitleFile(s)
11161정성태3/24/20174832오류 유형: 379. ICOMAdminCatalog.GetCollection 호출 시 0x80070422 예외 발생
11160정성태3/23/20175734.NET Framework: 649. ASP.NET - Server cannot append header after HTTP headers have been sent. (HTTP 헤더를 보낸 후에는 서버에서 헤더를 추가할 수 없습니다.)파일 다운로드1
11159정성태3/23/20174826Windows: 136. Memory-mapped File은 Private Bytes 크기에 포함될까요?파일 다운로드1
11158정성태3/22/20174837디버깅 기술: 85. Windbg - SOS 디버깅 사례 System.NullReferenceException 예외 추적
11157정성태3/22/20175309.NET Framework: 648. Dictionary<TKey, TValue>를 deep copy하는 방법파일 다운로드1
11156정성태3/21/20175075.NET Framework: 647. 닷넷(C#) 코드로 인증서 요청 코드 만드는 방법파일 다운로드1
11155정성태3/21/20175124.NET Framework: 646. SslStream의 CipherAlgorithm 선택이 가능할까요?파일 다운로드1
11154정성태3/5/201712998VC++: 109. DLL에서 STL 객체를 인자/반환값으로 갖는 함수를 제공할 때, 그 함수를 외부에서 사용하는 경우 비정상 종료한다면? [2]파일 다운로드1
11153정성태3/5/201712362VC++: 108. DLL에 정의된 C++ template 클래스의 복사 생성자 문제파일 다운로드1
11152정성태10/19/20196230VC++: 107. VirtualAlloc, HeapAlloc, GlobalAlloc, LocalAlloc, malloc, new의 차이점
11151정성태10/19/20196313VC++: 106. DLL 개발자가 주의해야 할 Secure CRT 함수 사용파일 다운로드1
11150정성태2/21/20174603.NET Framework: 645. Visual Studio Fakes 기능에서 Shim... 클래스가 생성되지 않는 경우
11149정성태2/21/20176808오류 유형: 378. A 64-bit test cannot run in a 32-bit process. Specify platform as X64 to force test run in X64 mode on X64 machine.
11148정성태2/20/20175905.NET Framework: 644. AppDomain에 대한 단위 테스트 시 알아야 할 사항
11147정성태2/19/20177282오류 유형: 377. Windows 10에서 Fake 어셈블리를 생성하는 경우 빌드 시 The type or namespace name '...' does not exist in the namespace 컴파일 오류 발생
11146정성태2/19/20176436오류 유형: 376. Error VSP1033: The file '...' does not contain a recognized executable image. [2]
11145정성태2/16/20176132.NET Framework: 643. 작업자 프로세스(w3wp.exe)가 재시작되는 시점을 알 수 있는 방법 - 두 번째 이야기 [4]파일 다운로드1
11144정성태2/6/20178963.NET Framework: 642. C# 개발자를 위한 Win32 DLL export 함수의 호출 규약 (부록 1) - CallingConvention.StdCall, CallingConvention.Cdecl에 상관없이 왜 호출이 잘 될까요?파일 다운로드1
11143정성태2/5/20176465.NET Framework: 641. [Out] 형식의 int * 인자를 가진 함수에 대한 P/Invoke 호출 방법파일 다운로드1
11142정성태10/19/201910465.NET Framework: 640. 닷넷 - 배열 크기의 한계 [2]파일 다운로드1
11141정성태3/21/20177430.NET Framework: 639. C# 개발자를 위한 Win32 DLL export 함수의 호출 규약 (4) - CLR JIT 컴파일러의 P/Invoke 호출 규약 [1]파일 다운로드1
11140정성태1/27/20176000.NET Framework: 638. RSAParameters와 RSA파일 다운로드1
11139정성태2/6/20176417.NET Framework: 637. C# 개발자를 위한 Win32 DLL export 함수의 호출 규약 (3) - x64 환경의 __fastcall과 Name mangling [1]파일 다운로드1
11138정성태1/20/20176075VS.NET IDE: 113. 프로젝트 생성시 부터 "Enable the Visual Studio hosting process" 옵션을 끄는 방법 - 두번째 이야기 [3]
11137정성태1/20/20175492Windows: 135. AD에 참여한 컴퓨터로 RDP 연결 시 배경 화면을 못 바꾸는 정책
11136정성태3/12/20206225오류 유형: 375. Hyper-V 내에 구성한 Active Directory 환경의 시간 구성 방법 - 두 번째 이야기
... 31  32  33  34  35  36  37  38  39  40  41  42  [43]  44  45  ...