Apache 설치방법 보기 |
|
Apache 웹서버에 SSL를 적용하기 위해 아래 두 항목이 웹서버에 설치되어 있어야 합니다. - Openssl 암호화 라이브러리 |
|
|
|
먼저 SSL를 설치하고자 하는 웹서버에 openssl 라이브러리 설치상태를 find 명령어를 활용하여 아래와 같이 확인합니다. 위와 같은 값을 보인다면 openssl 라이브러리 모듈은 rpm으로 설치된것입니다. 만약에 경로가 /usr/local 아래 있다면 모듈은 소스로 설치된 것입니다. rpm으로 설치된 것이라면 rpm -qa 명령어를 사용하여 openssl-devel 설치여부도 함께 점검합니다. 버전에 따라 라이브러리 버전이 아래보이는 값과 차이가 있을수 있습니다. Openssl 은 암호화 처리를 위한 독립 모듈로 최신버젼으로 설치하는 것을 권장합니다.
Openssl 과 마찬가지로 웹서버의 mod_ssl 설치여부를 점검합니다. Apache 웹서버는 두가지 방식으로 모듈설치를 지원하고 있습니다. 정적과 동적인 방식으로 정적으로 설치된 경우는 아파치의 재설치까지 요구되며 동적인 경우는 손쉽게 모듈 설치가 가능합니다. Apache 가 /usr/local 아래 설치된 것을 기준으로 아래와 같은 방식으로 확인합니다. 정적으로 설치된 mod_ssl 모듈확인 동적으로 설치된 mod_ssl 모듈확인 웹서버에 설치된 모듈중 mod_so.c 를 먼저 확인후 동적으로 설치된 모듈중 mod_ssl.so 를 확인합니다.
Openssl 명령어를 이용하여 웹서버의 RSA키( 2048비트 암호화 )를 생성합니다. ( sslhanbiro.key 는 임의로 지정된 키값입니다. 원하는 이름으로 키를 생성합니다. ) 패스워드를 지정하게 됩니다. 이때 입력된 패스워드는 차후 여러차례 사용되므로 본인만이 알 수 있는 패스워드로 지정해 주시는 것이 좋습니다. 윈도우 아파치 이용하실 경우 '-des3' 구문은 제외하시기 바랍니다. 이때 생성되는 개인키는 반드시 백업을 받아놓고 사용하는 것이 좋습니다. 생성된 키는 아래와 같이 확인이 가능합니다. 패스워드를 확인 하는데 이때는 키생성시 입력한 패스워드를 입력합니다. 개인키 생성까지 완료되면 이제 CSR 생성을 하게됩니다.
*발급이 완료된 인증서는 재발급 또는 변경이 불가하므로 CSR 생성시 절대 주의 바랍니다. ☞ CSR ( Certificate Signing Request ) 이란? SSL 서버를 운영하는 회사의 정보를 암호화하여 인증기관으로 보내 인증서를 발급받게 하는 일종의 신청서입니다. CSR은 ASCII 텍스트 화일로 생성됩니다. CSR을 생성할 때 서버의 식별명을 입력하게 됩니다. 식별명은 각 서버를 공유하게 나타내는 이름으로 다음과 같은 정보를 포함합니다. Country Name ( 국가코드) [] : KR State or Province Name ( 지역 ) [] : Seoul Locality Name ( 시/군/구 ) [] : Seocho Organization Name ( 회사명 ) [] : Hanbiro Inc Organizational Unit Name ( 부서명 ) [] : Linux Team Common Name ( 서비스도메인명 ) [] : www.hanbiro.com Email Address [] : hanbiro@hanbiro.com ☞ CSR 항목에 대한 설명 Country Name : 이것은 두 자로 된 ISO 형식의 국가 코드입니다. State or Province Name : 시 이름을 입력해야 하며 약어를 사용할 수 없습니다. Locality Name : 이 필드는 대부분의 경우 생략이 가능하며 업체가 위치한 곳를 나타냅니다. Organization : 사업자 등록증에 있는 회사명과 일치되는 영문회사명을 입력하시면 됩니다. Organization Unit : "리눅스 관리팀", "윈도우 관리팀" 등과 같이 업체의 부서를 입력할 수 있습니다. Common Name : 인증받을 도메인주소를 입력하시면 됩니다. 이 정보로 웹 사이트를 식별하므로 호스트 이름을 변경할 경우 다른 디지털 ID를 요청해야 합니다. 호스트에 연결하는 클라이언트 브라우저가 디지털 ID의 이름과 URL이 일치하는지를 확인합니다. ☞ CSR 항목 입력시 주의사항
↘ 위 주의사항을 유의하여 아래와 같은 절차로 CSR 생성을 진행합니다. ↘ 생성된 CSR 정보는 아래처럼 확인이 가능합니다.
생성된 CSR 을 출력하면 아래와 같은 base64 형식의 문서를 볼 수 있습니다. 이문서의 첫 줄 -----BEGIN … 부터 마지막 줄 -----END … 까지 복사하여 지정된 SSL 접수페이지에 복사하여 붙여 넣은 뒤 입력정보와 함께 전송하면 접수가 완료됩니다.
접수한 CSR 파일이 정상적으로 생성되었다면 별다른 문제없이 인증서를 발급 받을 수 있습니다. ① 인증서 서버에 복사 메일로 받은 인증서 파일을 압축을 해제하시면 AddTrustExternalCARoot.crt,COMODOHigh-AssureanceSecureServerCA.crt,
도메인.crt 3개의 파일을 보실 수 있습니다. ② 웹서버 환경설정 아파치가 설치된 디렉토리로 이동하여 conf 디렉토리내의 httpd.conf 파일의 복사본을 만들어 둡니다. httpd.conf 예문 [ InstantSSL , InstantProSSL , PremiumSSL , Premium Wildcard , Multi DomainProSSL 인 경우 ]
[ FreeSSL , PositiveSSL , MultiDomain SSL 인 경우 ]
1. <VirtualHost 127.0.0.1:443> 127.0.0.1 를 사용하는 장비의 아이피로 변경 ③ root 인증서 경로설정 ④ 웹서버 재실행 설정파일의 정상적인 수정여부를 점검하기 위한 체크 ./httpd -t 초기 개인키 생성시 입력했던 패스워드를 기억하시고 계실겁니다. SSL 실행을 위해 패스워드를 물어보는데 이때 개인키 생성시 입력했던 패스워드를 입력하시면 SSL 웹데몬이 활성화 됩니다. ⑤ 웹서버 포트점검 아래와 같이 활성화된 데몬의 포트를 점검해 봅니다. ⑥ 웹서비스 동작상태 점검 인터넷 주소창에 https://사용도메인 와 입력후 해당 페이지의 정상적인 동작 여부를 점검합니다. 페이지 하단을 보시면 열쇠 아이콘이 보이게 됩니다. 아이콘을 클릭하게 되면 위와 같이 인증서 정보를 확인하실수 있습니다. |