우클릭방지

글 목록

2016년 6월 23일 목요일

IIS6에 사설인증서(자체발급인증서)를 이용한 SSL 서비스 올리기

좀 오래된 버젼인 IIS6에 SSL 서비스를 올려야 할 일이 있어 작업을 하는김에 블로그에 내용을 정리해 보려 한다.

일단, 자체 발급사설인증서를 만드려면, Openssl 이 필요하다. 
뭐 다른 방법도 있다고 하지만, 나는 Openssl 이 익숙하기도 하고, 쉽게 구할수도 있어서 Openssl 을 이용하기로 한다. 

다음 내용을 차근차든 따라해 보면 어렵지 않게 II6에 SSL 서비스를 올릴수 있을 것이다. 

윈도우서버에서...


  1. 시작 > 모든프로그램 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 를 클릭한다.



  2. 기본 웹사이트 > 속성 을 클릭한다.

  3. 디렉토리 보안 > 서버인증서 > 인증서 마법사가 뜨면 다음을 클릭한다.

  4. 새인증서를 만듭니다. 선택

  5. 요청을 지금 준비하지만, 나중에 보냅니다. 선택

  6. 비트 길이를 선택 > 요즘 추세는 2,048 key 이므로.. 2048을 선택

  7. 조직, 조직 구성 단위에는 아무값이나 입력

  8. 일반 이름에 서비스하는 도메인을 입력 (어짜피 자체 발급 인증서라 경고창이 뜰것이므로 아무값이나 입력해도 됨)

  9. 국가, 시/도, 구/군/시 에도 아무값이나 입력

  10. 인증요청서의 모든 과정을 마침. 원하는 위치에 파일로 저장

  11. 저장된 인증요청서 파일을 Openssl 이 설치된 곳으로 이동함.
   
본인은 리눅스 서버에 보통 openssl이 기본으로 설치되어 있으므로, 리눅스 서버를 이용함



리눅스서버에서...


  1. CA인증서를 만들어야 함. 만들기 전에 리눅스 서버에 설치된 Openssl의 CA 디렉토리를 확인한다.
    (명령어 : vi /etc/pki/tls/openssl.cnf)

  2. 확인된 CA 디렉토리로 이동하여 다음 명령어를 실행한다.
    (명령어 :
    touch serial
    echo "00" > serial
    touch index.txt)

  3. CA 개인키를 생성한다.(명령어 : openssl genrsa -out private/ca.key)

  4. CA자체의 인증 요청서(CSR)를 생성한다.(명령어 : openssl req -new -key private/ca.key -out ca.csr)

  5. 자체 서명한 CA 인증서를 생성한다. (명령어 : openssl ca -in ca.csr -out ca.crt -selfsign -keyfile private/ca.key )

  6. 리눅스 서버에서 다음과 같은 명령어를 이용하여 자체 서명한 CA 인증서와 개인키를 생성(명령어 : openssl x509 -req -in certreq.txt -CA /etc/pki/CA/newcerts/00.pem -CAkey /etc/pki/CA/private/ca.key -CAcreateserial -out iis.cer -days 365)



    * 옵션 설명
    -in : 인증요청서를 선택
    -CA : 사설 CA인증서를 선택 (필자는 CentOS 6.8 리눅스 서버에서 수행했는데, RPM 패키지로 Openssl이 통상 설치된 경우 위 경로에 CA인증서가 위치함)-CAkey : 사설 CA인증서의 개인키를 선택 ( CA인증서 위치와 마찬가지로 CA 개인키도 기본적으로 위 경로에 위치함)
    -out : 사설 인증서의 저장(발급) 위치 및 파일명 선택-days : 발급된 인증서의 유효기간 (사설인증서라 유효기간의 의미가 사실 불필요. 어짜피 경고창이 뜨기때문....)
  7. 발급된 인증서 iis.cer 을 윈도우 서버에 업로드 함

다시 윈도우서버에서...


  1. IIS 관리자 > 기본 웹사이트 > 디렉토리 보안 > 서버인증서 > 인증서 마법사 창이 뜨면 다음을 클릭한다.

  2. 대기 중인 요청을 처리한 다음 읹으서를 설치합니다 선택 후 다음 클릭

  3. 리눅스 서버에서 발급한 사설인증서를 선택

  4. SSL 서비스 포트를 선택 (기본 443으로 설정)

  5. 설정 내용 확인 후 다음 클릭

  6. 마침 클릭

  7. 기본 웹사이트 등록 정보에서 SSL 포트를 "443"으로 설정 한 후 IIS 서비스 재시작






댓글 없음:

댓글 쓰기