리눅스 SSL 인증서 적용작업

개요 : SSL 인증서 적용작업

 

처리방법 : 

1. 인증서 파일 보관할 디렉토리 생성 및 이동

 # cd /usr/local/apache/conf/certs/[년도]/[도메인] 

   ※ 디렉토리가 없을 경우 mkdir 명령어로 디렉토리 생성

 

 

2. 인증서 파일 서버에 업로드

 

3. 인증서파일 unzip 

 # unzip 인증서파일명.zip

 ※ 인증서 파일 압축해제 후 디렉토리 및 파일 구성

-----------------------------------------------------------------------------------------

drwxr-xr-x 2 root root  4096 2022-05-16 17:35 ChainCA

-rw-r--r-- 1 root root    16 2022-05-16 17:28 pfx.txt

-rw-r--r-- 1 root root  2240 2022-05-16 17:28 도메인.crt

-rw-r--r-- 1 root root  7580 2022-05-16 17:28 도메인.pfx

-rw-r--r-- 1 root root  1702 2022-05-16 17:28 도메인_SHA256WITHRSA.key

-----------------------------------------------------------------------------------------

 ChainCA 디렉토리내의 파일들을 이전 디렉토리 (/usr/local/apache/conf/certs/[년도]/[도메인]) 으로 이동

 # cd ChainCA

-----------------------------------------------------------------------------------------

AAACertificateServices.crt

rsa-dv.chain-bundle.pem

SectigoRSAAddTrustCA.crt

SectigoRSADomainValidationSecureServerCA.crt

-----------------------------------------------------------------------------------------

 # mv -v * ../ 

 

4. 인증서에 암호가 걸려있을 경우 nopass.key 파일로 변경 (암호가 없을 경우 진행 X)

 ※ 인증서에 암호가 걸려있을 경우 graceful 진행후 Apache 가 정상구동되지 않는다. (포트가 정상적으로 올라오지 않음)

     그럴경우 openssl 명령어를 이용하여 nopass.key 파일로 변경이 필요하다

 ※ SSLCertificateKeyFile 부분을 도메인.nopass.key 로 변경

 

 # openssl rsa -in 도메인.key -out 도메인_nopass.key

 

5. Apache ssl 설정파일 수정

-----------------------------------------------------------------------------------------

<VirtualHost *:446>

    ServerAdmin webmaster@hanbiro.com

    DocumentRoot /home/touchwa.com/study/public_html

    ServerName study.touchwa.com

    ErrorLog "logs/study.touchwa.com-error_log"

    CustomLog "logs/study.touchwa.com-access_log" common

 

    SSLEngine on

    SSLProtocol all -SSLv2 -SSLv3

    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128:DHES-RSA-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHAAES256-SHA:AES:CAMESIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

 

    SSLHonorCipherOrder on

 

    SSLCertificateFile  conf/certs/2022/study.touchwa.com/study_touchwa_com.crt

    SSLCertificateKeyFile  conf/certs/2022/study.touchwa.com/study_touchwa_com_SHA256WITHRSA.key

    SSLCertificateChainFile  conf/certs/2022/study.touchwa.com/rsa-dv.chain-bundle.pem

    SSLCACertificateFile  conf/certs/2022/study.touchwa.com/AAACertificateServices.crt

</VirtualHost>

-----------------------------------------------------------------------------------------

SSLCertificateFile -> 도메인.crt

SSLCertificateKeyFile -> 도메인_SHA256WITHRSA.key

SSLCertificateChainFile -> rsa-dv.chain-bundle.pem

SSLCACertificateFile -> AAACertificateServices.crt

 

6. Apache configtest 진행

# /usr/local/apache/bin/apachectl configtest

 

7. Apache graceful 진행

# /usr/local/apache/bin/apachectl graceful

 

8. httpd 프로세스 체크

# ps -ef | grep httpd

# netstat -tnlp | grep 80

# netstat -ntlp | grep 443

 

9. 웹사이트 https://도메인 접근하여 인증서 적용 확인

 

처리결과 :

1. 신규 적용 :  SSL 인증서 적용으로 https 접근가능

2. 갱신 : SSL 인증서 유효기간 갱신