SSL: 보안 소켓 계층 (Secure Sockets Layer, SSL)

INTRO

SSL은 웹사이트와 브라우저(혹은, 두 서버) 사이에 전송된 데이터를 암호화하여 인터넷 연결을 보안 을 유지하는 표준 기술입니다. 이는 해커가 개인 정보 및 금융 정보를 포함한 전송되는 모든 정보를 열람하거나 훔치는 것을 방지합니다.

상용 SSL 인증서는, 도메인에 대한 인증서이므로, 도메인 신청 후, 정상 발급된 도메인을 통해 사용하여야하며, 테스트 및 개발용, 사내 사용 웹서버인 경우, OpenSSL 과 같은 무료 SSL 을 통해 테스트가 가능하다.

• SSL 파일 확장자 종류 및 설명

  .pem

  PEM (Privacy Enhanced Mail)은 Base64 인코딩된 ASCII 텍스트 이다. 파일 구분 확장자로 .pem 을 주로 사용한다. 노트패드에서 열기/수정도 가능하다. 개인키, 서버인증서, 루트인증서, 체인인증서 및 SSL 발급 요청시 생성하는 CSR 등에 사용되는 포맷이며, 가장 광범위하고 거의 99% 대부분의 시스템에 호환되는 산업 표준 포맷이다. (대부분 텍스트 파일)

  .crt

  거의 대부분 PEM 포맷이며, 주로 유닉스/리눅스 기반 시스템에서 인증서 파일임을 구분하기 위해서 사용되는 확장자 이다. 다른 확장자로 .cer 도 사용된다. 파일을 노트패드 등으로 바로 열어 보면 PEM 포맷인지 바이너리 포맷인지 알수 있지만 99% 는 Base64 PEM 포맷이라고 봐도 무방하다. (대부분 텍스트 파일)

  .cer

  거의 대부분 PEM 포맷이며, 주로 Windows 기반에서 인증서 파일임을 구분하기 위해서 사용되는 확장자 이다. crt 확장자와 거의 동일한 의미이며, cer 이나 crt 확장자 모두 윈도우에서는 기본 인식되는 확장자이다. 저장할때 어떤 포맷으로 했는지에 따라 다르며, 이름 붙이기 나름이다.

  .csr

  Certificate Signing Request 의 약자이며 거의 대부분 PEM 포맷이다. SSL 발급 신청을 위해서 본 파일 내용을 인증기관 CA 에 제출하는 요청서 파일임을 구분하기 위해서 붙이는 확장자 이다. (대부분 텍스트 파일)

  .der

  Distinguished Encoding Representation (DER) 의 약자이며, 바이너리 포맷이다. 노트패드등으로 열어 봐서는 알아 볼수 없다. 바이너리 인코딩 포맷을 읽을수 있는 인증서 라이브러리를 통해서만 내용 확인이 가능하다. 사설 또는 금융등 특수 분야 및 아주 오래된 구형 시스템을 제외하고는, 최근 웹서버 SSL 작동 시스템 에서는 흔히 사용되는 포맷은 아니다. (바이너리 이진 파일)

  .pfx / .p12

  PKCS#12 바이너리 포맷이며, Personal Information Exchange Format 를 의미한다. 주로 Windows IIS 기반에서 인증서 적용/이동시 활용된다. 주요 장점으로는 개인키,서버인증서,루트인증서,체인인증서를 모두 담을수 있어서 SSL 인증서 적용이나 또는 이전시 상당히 유용하고 편리하다. Tomcat 등 요즘에는 pfx 설정을 지원하는 서버가 많아지고 있다. (바이너리 이진 파일)

  .key

  주로 openssl 및 java 에서 개인키 파일임을 구분하기 위해서 사용되는 확장자이다. PEM 포맷일수도 있고 DER 바이너리 포맷일수도 있으며, 파일을 열어봐야 어떤 포맷인지 알수가 있다. 저장할때 어떤 포맷으로 했는지에 따라 다르며, 확장자는 이름 붙이기 나름이다.

  .jks

  Java Key Store 의 약자이며, Java 기반의 독자 인증서 바이너리 포맷이다. pfx 와 마찮가지로 개인키,서버인증서,루트인증서,체인인증서를 모두 담을수 있어서 SSL 인증서 파일 관리시 유용하다. Tomcat 에서 SSL 적용시 가장 많이 사용되는 포맷이다. (바이너리 이진 파일)

How to Set.

0) SSL Key 생성

업체를 통해 전달받은 SSL Key 메뉴얼에 따라, 처리하며 처리에 따른 Key 들을 서버 디렉토리에 저장

1) Tomcat

Tomcat Server.xml

a. Version 8.X

<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" 
scheme="https"secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="키스토어경로/생성키.key" keystorePass="생성키.key 패스워드"/>

b. Version 7.X

<Connector port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true"
 keystoreFile="키스토어파일경로/생성키.key" keystorePass="(생성키.key 패스워드)"
 clientAuth="false" sslProtocol="TLS"/>

c. Version 6.X

<Connector port="443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
 enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0"
 scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
 keystoreFile="키스토어파일경로/생성키.key" keystorePass="(생성키.key 패스워드)"/>

2) Node JS

a. pem 포맷

const https = require('https');
const fs = require('fs');
const options = {
  ca: fs.readFileSync('인증서경로/ca-chain-bundle.pem')
  key: fs.readFileSync('인증서경로/domain_xxxxx.key.pem')
  cert: fs.readFileSync('인증서경로/domain_xxxxx.crt.pem')
};
https.createServer(options, (req, res) => {
  res.writeHead(200);
  res.end('hello world\n');
}).listen(8000);

b. pfx 포맷

const https = require('https');
const fs = require('fs');
const options = { 
	pfx: fs.readFileSync('인증서경로/domain_xxxxx.pfx') 
    passphrase: 'pfx 패스워드 지정' 
    }; 
  https.createServer(options, (req, res) => {
  	res.writeHead(200); res.end('hello world\\n'); 
  }).listen(8000);

적용 후, 서버 재시작 및 실행 후, 정상 적용되었는지 확인 필히 필요.