Home / / 자체인증서 설정관련 – CentOS 7_APACHE

자체인증서 설정관련 – CentOS 7_APACHE


SSL 자체인증서 발급하기

  • Apache가 설치된 상태에서 시작

yum -y install mod_ssl

mod_ssl 패키지 설치 mod_ssl은 SSL 암호화를 지원하는 아파치 모듈입니다.

아파치 버전 2.4.6

  • 포트오픈

sudo firewall-cmd --permanent --zone=public --add-service=https

sudo firewall-cmd --reload

sudo firewall-cmd --zone=public --list-all

포트가 오픈된것을 확인할 수 있습니다.

  • 자체 인증서 발급

아래 명령어로 RSA 2048bit 개인키와 인증서를 생성합니다.
CN=localhost 부분은 서버 IP로 바꿔도 됩니다.
(예: CN=192.168.100.10)


sudo openssl req -x509 -nodes -days 365 \
  -newkey rsa:2048 \
  -keyout /etc/pki/tls/private/selfsigned.key \
  -out /etc/pki/tls/certs/selfsigned.crt \
  -subj "/C=KR/ST=Seoul/L=Seoul/O=JP-Hosting/OU=Dev/CN=localhost"

  • SSL 설정 파일 수정

Apache 설치 시 기본으로 생성되는 SSL 설정 파일은 /etc/httpd/conf.d/ssl.conf 입니다.
이 파일을 수정하여 자체 서명 인증서를 적용합니다.


sudo vi /etc/httpd/conf.d/ssl.conf

파일을 아래와 같이 수정합니다.

<VirtualHost *:443>
  ServerName 192.168.100.10

  DocumentRoot "/var/www/html"

  SSLEngine on
  SSLCertificateFile /etc/pki/tls/certs/selfsigned.crt
  SSLCertificateKeyFile /etc/pki/tls/private/selfsigned.key

  <Directory "/var/www/html">
    AllowOverride All
    Require all granted
  </Directory>

  ErrorLog /var/log/httpd/ssl_error.log
  CustomLog /var/log/httpd/ssl_access.log combined
</VirtualHost>

ServerName 항목에는 도메인 대신 서버 IP를 입력합니다.
나머지 설정은 SSL 인증서 경로 및 로그 저장 경로를 지정하는 부분입니다.



  • Apache 재시작 및 상태 확인

sudo firewall-cmd --reload
sudo systemctl restart httpd
sudo systemctl status httpd


이제 브라우저에서 아래 주소로 접속하여 SSL이 정상적으로 적용되었는지 확인합니다.

https://서버아이피

접속 시 “보안 경고” 메시지가 나타나더라도 고급 → 계속 진행을 선택하면
Apache에서 설정한 자체 인증서로 정상 접속되는 것을 확인할 수 있습니다.






클라우드 플레어를 이용하여 도메인 연결테스트

  • Proxy status 에 CDN을 비활성화하여(DNSonly) 오리진서버에 직접 연결할 경우
    • 크롬에서 인증서의 정보가 브라우저가 가지고 있던 정보와는 다른 정보이기 때문에 연결을 할 수 없는 것처럼 보이고 있습니다. 
      문제가 있는게 아니니 걱정하지 마세요! 브라우저들은 SSL 업체로부터 인증된 키 값을 받아서 상시 업데이트를 하는데,
      자체 서명된 인증서의 경우 브라우저 키 값들에 추가되지 않았기 때문에 보증할 수 없다고 나오는 것입니다.
      하단에 조그맣게 고급 이라고 쓰여진 부분을 클릭하여 사용자가 위험을 감수해서라도 보겠다 라는 약속을 받아야 정상적인 페이지 보여줍니다.
    • Proxy status 에 CDN을 활성화하여(DNSonly) 오리진서버에 직접 연결할 경우




    • 클라우드플레어 SSL인증서를 통해 https로 연결이 된것을 확인할수있습니다.

    JP-Hosing에서 서비스중인 무제한 방어존 서비스를 통한 SSL연결

    None : 오직 HTTP 통신만 사용합니다.
    Basic : 방어존과 방문자간의 통신은 암호화 통신(HTTPS)을 하고, 방어존과 웹서버간의 통신은 평문 통신(HTTP)을 사용합니다. (이 경우 웹서버에 별도 SSL 인증서가 필요 없음)
    Full : 방어존 과 방문자간의 통신은 물론 방어존 과 웹서버간의 통신 모두 암호화 통신(HTTPS)을 사용합니다. (Full 모드 적용을 위해서는 웹서버에 별도 SSL이 필요)



    • 무제한 방어존 서비스는 Full방식으로만 HTTPS통신이 가능합니다.
      우선 위 내용 대로 서버내에서 자체인증서 발급이 필요합니다.
    • 방어존에 도메인 등록후 발급받은 DNS정보를 연결해줍니다.

    댓글 없음:

    참고: 블로그의 회원만 댓글을 작성할 수 있습니다.

    피드 구독하기: 댓글 ( Atom )
    Powered by Blogger.