CentOs7 SSL인증서 만들기

김재민·2022년 3월 10일
CentOS7linux
0

웹에서 인증서 암호화 통신 과정

1. 클라이언트가 HTTPS 프로토콜을 이용해 웹서버에 암호화 통신 요청

2. 웹서버가 클라이언트에게 인증서(공개키) 전송

3. 클아이언트가 인증서에 담긴 웹서버 기본 정보 및 해시값등을 읽고, 그 인증서를 신뢰할 수 있을경우 
   공유키 생성

4. 클라이언트가 공유키를 웹서버 인증서로 암호화한 뒤 웹서버에 전송

5. 웹서버가 암호화된 공유키를 자신의 개인키로 복호화하여 획득

6. 이제 클라이언트와 웹서버가 서로 똑같은 공유키를 가지고 있으므로 그 공유키를 모든 데이터를 암호화하여 통신

  1. yum -y install mod_ssl

    mod_ssl 패키지 설치, mod_ssl은 SSL 암호화를 지원하는 아파치 모듈

  2. mkdir /etc/ssl/private

    개인키를 저장할 디렉토리를 만듬

  3. chmod 700 /etc/ssl/private

    이 디렉토리는 비공개로 유지되어야하므로 root 계정 이외의 사용 권한을 없앰

  4. openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

    	SSL 개인키(.key) 및 인증서 (.crt) 파일 생성
     openssl : SSL키를 생성하고 관리하기 위한 명령어 도구
 
 req -x509 : X.509 관리 사용. X.509는 키 및 인증서 관리를 위해 SSL/TSL을 준수하는 공개키 표준 인프라
 
 -nodes : 인증서 보호 암호 생략
 
 -day 365 : 인증서 유효기간을 1년으로 설정
 
 -newkey rsa:2048 : 길이가 2048 비트인 RSA키 생성
 
 -out : 생성될 인증서 경로 지정

    후에
    Country Name 및 기타(FQDN) 정보들 입력

    -> 생성된 키파일과 인증서는 'etc/ssl' 디렉토리에 있는 각 하위 디렉토리에 저장

  5. openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
    웹 서버와 클라이언트가 보안 협상을 할 때 사용할 디피헬만 그룹을 생성

  6. cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/apache-selfsigned.crt
    CentOS 7에 제공되는 아파치 버전은 SSLOpenSSLConfCmd 명령이 포함되어 있지 않으므로 이 명령어로 위 파일 내용을 인증서 끝에 직접 추가시켜줘야됨

  7. vi /etc/httpd/conf.d/ssl.conf
    아파치 SSL 설정 파일 편집

    ServerName 192.168.219.105: 443

    ServerName 설정에서 주석을 지운 후 서버 IP를 똑같이 적는다.
    /etc/httpd/conf/httpd.conf에 있는 설정과 서로 똑같이 맞춰줘야 한다.

    75 #SSLProtocol all -SSLv2 -SSLv3
    80 #SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!DEA

    100 SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
    107 SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key

    인증서 파일과 키 파일의 경로를 지정함

    vi /etc/httpd/conf/httpd.conf
    아파치 HTTP 설정 파일 편집

    94 ServerName 192.168.111.200:80

    주석을 지우고 SSL 설정 파일의 ServerName 설정에서 적었던 이름과 똑같이 적어줌

    apachetl configtest

    -> 아파치 설정 파일 오류

    systemctl restart httpd

    -> 아파치 HTTP 데몬 재시작

    firewall-cmd --permanent --add-service=https
    -> 방화벽에서 HTTPS 포트(TCP 443)

    systemctl restart firewalld
    -> 방화벽 재시작

    이제 클라이언트 PC인 윈도우 10에서 CentOS 7의 인증서(/etc/ssl/certs/apache-selfsigned.crt)를 복사하여 옮김

    아직 '신뢰할 수 없는 인증서'인 상태이기 때문에 파일을 열고 '인증서 설치'를 누른다.

profile
김재민
어제의 나보다 나은 오늘의 내가 되자!🧗‍♂️
이전 포스트

JAVA를 통한 HttpsURLConnection 연결

다음 포스트

Java Socket 통신

0개의 댓글