아파치 Apache 웹서버에 HTTPS / SSL 보안인증서 설치하기 - 코리아SSL

하얀소

추천 수 142

Apache 웹서버는 표준이라고 할 수 있을 만큼 광범위하게 사용되고 있습니다.

아래의 설치과정은 VirtualHost 설정을 기준으로 작성되었습니다.

설치준비

1. 코리아 SSL에서 인증서 구입 / 발급

2. Linux(CentOS 7) 계열 OS 또는 윈도우즈 계열 서버

3. Apache Web Server(HTTPD) 가 설치되어 있어야 함. (아래 예제는 ver 2.4.43 기준)

4. Apache에 SSL 모듈이 설치되어 있는지 확인

5. 하드웨어 / 소프트웨어 방화벽에 443 Port가 개방되어 있는지 확인

6. MacOS 터미널 / 윈도우즈 ssh 응용프로그램 등 접속 프로그램

과정

Apache 의 경우 위 버젼과 상이해도 설정에는 크게 문제 없습니다. 그리고 이 과정에서는 이미 Apache 가 설치되었다는 전제로 진행됩니다.

우선 코리아SSL 에 접속해서 인증서를 구입해야 겠죠? :) ^-^/

구입 방법 및 인증서 다운로드 방법은 다음 링크를 참조해주세요.

https://blog.naver.com/deepact/221888284743

코리아SSL 인증서 구입 절차 - 보안인증서 코리아SSL

대한민국에서 보안인증서를 최저가로 구입할 수 있는 방법?지금 바로 코리아SSL 로 가시면 되겠죠?이...

blog.naver.com

그 다음 터미널에 접속을 합니다.

해당 인증기관에서 직접 인증서를 메일로 보내주지만 코리아SSL에서도 다운로드 가능합니다.

단, CSR 생성단계에서 생성된 Key 파일은 코리아SSL에 보관되지 않기 때문에 분실하시면 반드시 인증서 재발급을 신청하셔야 합니다.

간혹 다른 업체에서는 Key 파일까지 보관하는 경우가 있는데 보안에 매우 취약할 수 있으므로 서버에 Key 보관보다는 Key 파일 분실시에는 조금 번거롭지만 재발급이 보안적으로도 현명한 선택이 아닐까 생각됩니다.

코리아SSL 에서 다운로드 할 수 있는 파일은 총 4개 입니다.

CSR(Certificate Signing Request) / CRT(또는 CER) / CA / 통합인증서(CRT+CA)

CSR 파일은 직접 생성해서 제출한 파일

CRT 파일은 신청하신 인증서 파일

CA 파일은 해당 인증서 인증기관의 ROOT 인증서 파일

실제 Apache 에 설치에 필요한 파일은 3개의 파일입니다.

Apache의 conf 파일을 에디터로 편집합니다.

* 설치환경에 따라 다를 수 있습니다.

* 발급받은 도메인명에 따라 파일명이 다를 수 있습니다.

코리아SSL 에서 발급받은 인증서는

/etc/apache2/ssl 경로에 업로드 하였습니다.

이제 도메인과 연결될 설정파일을 생성 또는 수정을 합니다.

/etc/apache2/sites-available/koreassl.conf (해당 위치는 다를 수 있습니다.

아래 Code 를 복사하여 사용하세요.

<VirtualHost *:80> ServerName koreassl.com DocumentRoot /home/koreassl/www ... </VirtualHost> <VirtualHost *:443> ServerName koreassl.com DocumentRoot /home/koreassl/www SSLEngine on SSLCertificateKeyFile /etc/apache2/ssl/koreassl_com.key SSLCertificateFile /etc/apache2/ssl/koreassl_com.crt SSLCACertificateFile /etc/apache2/ssl/koreassl_com.ca SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 ... </VirtualHost>

해당 설정은 서버 환경에 따라 다를 수 있으니 참고용으로만 활용하시기 바랍니다.

중요한 부분은 SSLCertificateKeyFile, SSLCertificateFile, SSLCACertificateFile 입니다.

SSLProtocol 과 SSLCipherSuite 부분을 반드시 확인해주세요.

최근 브라우져들에서 프로토콜 설정에 따라 접속이 안되는 현상이 나타나고 있습니다.

만약 SSLProtocol 과 SSLCipherSuite 부분이 적용이 안된다면 운영중이 Apache를 최신 openssl로 컴파일 설치를 진행하셔야 합니다.

※ TLS 1.3 이상 지원하려면 Apache 버전 최소 2.4.37 이상 / openssl 1.1.1 이상이 필요합니다.

내 사이트의 보안서버 인증서는 잘 설치되었는지 확인하는 방법

https://blog.naver.com/deepact/221929391971