라즈베리파이3

서버클라우드에 무료 SSL인증서를 발급하기 [ Windows ][펌]

타카스 류지 2018. 5. 14. 11:47

본 메뉴얼은 Let's Encrypt FreeSSL/TLS 무료인증서에 대하여 설명한다.

 

Let's Encrypt FreeSSL/TLS은 Mozilla, Cisco, Akamai, EFF, id entrust 등이 모여서 ISRG(Internet Security Research Group)라는

SSL 인증기관을 만들어 SSL을 무료로 제공하고 있으며, 최근에는 Facebook, 워드프레스를 만드는 Automattic, shopify 등 많은 회사가 스폰서로 참여하고 있다.

IWINV 는 "서버클라우드" 이용시 Let's Encrypt FreeSSL/TLS 무료 인증서의 발급/갱신 절차를 "기술지원 서비스"를 통해  제공한다. [ 기술지원 요청에 따른 작업비용 별도 ]

 

SSL 간단한 동작 과정


SSL(Secure Socket Layer)은 웹사이트의 전송 데이터를 https 프로토콜을 사용하여 암호화 통신하며, 웹사이트 전체 또는 개인정보 등의 데이터 전송시

암호화여 안전한 데이터 전송이 가능하게 해주는 기술이다.

 

1. 웹브라우저에서 https://도메인 입력으로 SSL로 암호화된 페이지를 요청.
2. 웹서버에서 Public Key를 인증서와 함께 전송.
3. 웹브라우저에서 인증서가 자신이 신용있다고 판단한 CA(일반적으로 trusted root CA라고 불림)로부터 서명된 것인지 확인.
4. 웹브라우저에서 Public Key를 사용해서 랜덤 대칭 암호화키(Random symmetric encryption key)를 비롯한 URL, http 데이터들을 암호화해서 전송.
5. 웹서버의 Private Key를 이용해서 랜덤 대칭 암호화키와 URL, http 데이터를 복호화.
6. 웹서버는 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 이용하여 암호화해서 브라우저로 전송.
7. 웹브라우저에서 대칭 키를 이용해서 http 데이터와 html문서를 복호화하고, 화면에 표시.

 

 

Let's Encrypt - 무료 SSL 설치 방법 [ WINDOWS ]

※  IIS에서 사이트(도메인)에 대한 기본설정이 완료 된 후 진행 하여야 합니다.
※  기본 요구사항
    – IIS 7.5 이하에서 여러 도메인(사이트)에 대해 SSL을 사용하려면 모두 동일한 IP 주소로 바인드 해야 한다.
    – V 1.9이후 부터 최대 100개 도메인(사이트)까지 SAN 인증서를 생성합니다
    – IIS 8로 업그레이드 +
    – 와일드 카드 인증서를 지원하지 않는다.
    – 최소 .NET 버전 4.5이상을 설치되어 있어야 한다.

 

▶ Let’s Encrypt-win-simple 다운로드
다운로드 URL : https://github.com/Lone-Coder/letsencrypt-win-simple/releases
[ 위 URL 에서 다운로드 받은 후 적절한 위치에 다운로드 후 압축 해제 ]

 

▶ Let's Encrypt 인증서 발행
     letsencrypt.exe 실행 만으로 인증서 설치 과정이 진행된다.

 IIS의 사이트 설정 내용을 확인 후 발급을 원하는 도메인 항목 선택하면 다음과 같이 인증서가 발급 된다.

 

 

▶ 인증서 설치 경로 확인

( Windows에서 APACHE 웹서버를 운영하는 경우 아래의 인증서 경로를 참조. )

Saving Certificate to 
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\xxxx.xxxx.com-crt.der

Saving Issuer Certificate to 
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\ca-0A0141420000015385736A0B85ECA708-crt.pem

Saving Certificate to
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\xxxx.xxxx.com-all.pfx

마지막으로 유저 생성 및 비밀번호에 대해 추가할 것인지 확인. ( y/n )
Do you want to specify the user the task will run as? (y/n)  ----  "n" 입력후 Enter

 

▶ 특정 사이트(도메인)에 대한 인증서 발급

설정되어 있는 사이트 목록을 선택하는 과정을 생략할 수 있다.

형식 : letsencrypt.exe --manualhost --webroot 
예문 : letsencrypt.exe --accepttos --manualhost packet10.ssgstar.com --webroot C:\www\packet10    


인증서 발급이 완료 되면 인증서 설정 및 ssl 인증서 관련 IIS 설정이 완료 된 것을 다음 메뉴에서 확인 할 수 있다.

 

아래와 같이 인증서가 IIS에 추가되어 있음을 확인 할 수 있다.

 

SSL 통신에 필요한 포트(443) 설정 확인 및 사이트 접속 확인.

 

▶ Let's Encrypt 인증서 갱신
 배치 파일을 만들어 갱신할 수 있으며 명령어를 직접 입력하여 갱신도 가능하다.

인증서 갱신을 하게 되면 다음과 같이 진행된다.

 

인증서 갱신된 스케줄러 등록을 통해 정기적인 자동 갱신을 반영할 수 있다.
SCHTASKS /Create /SC MONTHLY /TN letsencrypt /TR "letsencrypt.exe --accepttos --manualhost 도메인 --webroot C:\경로"

※ 참고사항으로 Let's Encrypt SSL 인증서 갱신과 관련하여 linux에서는 발급 후 1일 이후 부터 갱신이 가능하지만 Windows의 letsencrypt.exe 로는 갱신이 되지 않고 있다.
     ( --renew 옵션이 존재하나 모든 인증서의 갱신이 아닌 갱신이 필요한 인증서의 갱신 체크만 진행 된다. )
     때문에 실재 인증서 갱신은 인증서 발급명령과 동일하게 진행하여야 되며, 추후 letsencrypt-win-simple 의 업데이트시 갱신 관련 옵션의 추가를 확인해 볼 필요가 있다.


▶ Let's Encrypt 인증서 삭제
Windows 의 경우 2017년 3월 기준으로 인증서 삭제 옵션을 제공되지 않고 있다. 따라서 저장된 인증서 경로에서 해당 도메인의 폴더를 삭제하고, 
SSL 설정을 수정해 주어야 하는 번거로움이 있으니 주의하여야 한다.

 

 무료 인증서 사용시 주의사항


1. 인증서 관련 피해 발생시 손해보험사의 보상을 받을 수 없다.
2. Windows XP SP3 이하 이용자는 정상적인 SSL 통신이 되지 않는다.
3. 일부 브라우저의 경우 호환성 문제가 발생할 수 있다.
4. 인증서의 만료일은 90일이다. 

※ "온라인 기술지원" 서비스를 통해 IWINV 에서 Let'sencrypt 인증서 발급시 자동 갱신 프로세스가 제공됨 

 

▶ 호환성


Compatible

Incompatible

Mozilla Firefox >= v2.0

Google Chrome

Internet Explorer on Windows XP SP3 and higher

Microsoft Edge

Android OS >= v2.3.6

Safari >= v4.0 on macOS

Safari on iOS >= v3.1

Debian Linux >= v6

Ubuntu Linux >= v12.04

NSS Library >= v3.11.9

Amazon FireOS (Silk Browser)

Cyanogen > v10

Jolla Sailfish OS > v1.1.2.16

Kindle > v3.4.1

Java 7 >= 7u111

Java 8 >= 8u101

Blackberry OS v10, v7, & v6

Android < v2.3.6

Nintendo 3DS

Windows XP prior to SP3

cannot handle SHA-2 signed certificates

Java 7 < 7u111

Java 8 < 8u101

Windows Live Mail (2012 mail client, not webmail)

cannot handle certificates without a CRL

 

▶ Let's Encrypt FreeSSL/TLS Major Sponsors



출처 : https://help.iwinv.kr/manual/read.html?idx=460