일단, 자체 발급사설인증서를 만드려면, Openssl 이 필요하다.
뭐 다른 방법도 있다고 하지만, 나는 Openssl 이 익숙하기도 하고, 쉽게 구할수도 있어서 Openssl 을 이용하기로 한다.
다음 내용을 차근차든 따라해 보면 어렵지 않게 II6에 SSL 서비스를 올릴수 있을 것이다.
윈도우서버에서...
- 시작 > 모든프로그램 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 를 클릭한다.
- 기본 웹사이트 > 속성 을 클릭한다.
- 디렉토리 보안 > 서버인증서 > 인증서 마법사가 뜨면 다음을 클릭한다.
- 새인증서를 만듭니다. 선택
- 요청을 지금 준비하지만, 나중에 보냅니다. 선택
- 비트 길이를 선택 > 요즘 추세는 2,048 key 이므로.. 2048을 선택
- 조직, 조직 구성 단위에는 아무값이나 입력
- 일반 이름에 서비스하는 도메인을 입력 (어짜피 자체 발급 인증서라 경고창이 뜰것이므로 아무값이나 입력해도 됨)
- 국가, 시/도, 구/군/시 에도 아무값이나 입력
- 인증요청서의 모든 과정을 마침. 원하는 위치에 파일로 저장
- 저장된 인증요청서 파일을 Openssl 이 설치된 곳으로 이동함.
본인은 리눅스 서버에 보통 openssl이 기본으로 설치되어 있으므로, 리눅스 서버를 이용함
리눅스서버에서...
- CA인증서를 만들어야 함. 만들기 전에 리눅스 서버에 설치된 Openssl의 CA 디렉토리를 확인한다.
(명령어 : vi /etc/pki/tls/openssl.cnf)
- 확인된 CA 디렉토리로 이동하여 다음 명령어를 실행한다.(명령어 :
touch serialecho "00" > serialtouch index.txt)
- CA 개인키를 생성한다.(명령어 : openssl genrsa -out private/ca.key)
- CA자체의 인증 요청서(CSR)를 생성한다.(명령어 : openssl req -new -key private/ca.key -out ca.csr)
- 자체 서명한 CA 인증서를 생성한다. (명령어 : openssl ca -in ca.csr -out ca.crt -selfsign -keyfile private/ca.key )
- 리눅스 서버에서 다음과 같은 명령어를 이용하여 자체 서명한 CA 인증서와 개인키를 생성(명령어 : openssl x509 -req -in certreq.txt -CA /etc/pki/CA/newcerts/00.pem -CAkey /etc/pki/CA/private/ca.key -CAcreateserial -out iis.cer -days 365)
* 옵션 설명
-in : 인증요청서를 선택
-CA : 사설 CA인증서를 선택 (필자는 CentOS 6.8 리눅스 서버에서 수행했는데, RPM 패키지로 Openssl이 통상 설치된 경우 위 경로에 CA인증서가 위치함)-CAkey : 사설 CA인증서의 개인키를 선택 ( CA인증서 위치와 마찬가지로 CA 개인키도 기본적으로 위 경로에 위치함)
-out : 사설 인증서의 저장(발급) 위치 및 파일명 선택-days : 발급된 인증서의 유효기간 (사설인증서라 유효기간의 의미가 사실 불필요. 어짜피 경고창이 뜨기때문....) - 발급된 인증서 iis.cer 을 윈도우 서버에 업로드 함
다시 윈도우서버에서...
- IIS 관리자 > 기본 웹사이트 > 디렉토리 보안 > 서버인증서 > 인증서 마법사 창이 뜨면 다음을 클릭한다.
- 대기 중인 요청을 처리한 다음 읹으서를 설치합니다 선택 후 다음 클릭
- 리눅스 서버에서 발급한 사설인증서를 선택
- SSL 서비스 포트를 선택 (기본 443으로 설정)
- 설정 내용 확인 후 다음 클릭
- 마침 클릭
- 기본 웹사이트 등록 정보에서 SSL 포트를 "443"으로 설정 한 후 IIS 서비스 재시작
댓글 없음:
댓글 쓰기