SSL | Notion

SSL 패키지 설치

Untitled

설치 확인

Untitled

openssl

자체 사이트 보안 인증서 생성 가능

개인키 생성 (openssl genrsa -out /etc/pki/tls/private/kgitbank.key 2048)

Untitled

생성된 키에 정보 입력

(openssl req -new -key /etc/pki/tls/private/kgitbank.key -out /etc/pki/tls/private/kgitbank.csr)

Untitled

정확하게 입력하지 않으면 실제로 신청했을 때 반려당할 수 있다.

작성한 개인키 확인

(openssl x509 -req -days 365 -in /etc/pki/tls/private/kgitbank.csr -signkey /etc/pki/tls/private/kgitbank.key -out /etc/pki/tls/certs/kgitbank.crt)

Untitled

생성한 개인키, 인증키, 사이트 인증서 3가지 확인(ls -l /etc/pki/tls/private)

Untitled

한 서버에서 키인증과 키 발급을 동시에 발급( ls -l /etc/pki/tls/certs)

Untitled

vi /etc/httpd/conf.d/ssl.conf 편집

Untitled

default → * 로 변경,
DocumentRoot 변경
Sever name 변경
SSL Protocol 변경
SSL CipherSuite 변경

SSLProtocol -All +TLSv1.2	모든 버전을 거부하지만, 대신에 TLSv1.2를 가지고 있으면 허용하겠다. 문제가 될 수 있는건 클라이언트가 정말 옛날 브라우저를 쓰고 있으면 접속이 문제가 될 수 있지만, 요즘은 xp나 7같은 윈도우 버전은 안쓰기 때문에 괜찮을 것이다. 그리고 오히려 우리가 배려해서 허용해주면 보안에 문제가 생길 수 있기때문에 규칙을 세워서 어떻게 할지 정하는게 중요하다.
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHERSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384	기존의 있는 값은 보안이 취약해 비교적 안전한 알고리즘의 묶음으로 변경

SSLProtocol -All +TLSv1.2

모든 버전을 거부하지만, 대신에 TLSv1.2를 가지고 있으면 허용하겠다. 문제가 될 수 있는건 클라이언트가 정말 옛날 브라우저를 쓰고 있으면 접속이 문제가 될 수 있지만, 요즘은 xp나 7같은 윈도우 버전은 안쓰기 때문에 괜찮을 것이다. 그리고 오히려 우리가 배려해서 허용해주면 보안에 문제가 생길 수 있기때문에 규칙을 세워서 어떻게 할지 정하는게 중요하다.

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHERSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384

기존의 있는 값은 보안이 취약해 비교적 안전한 알고리즘의 묶음으로 변경

파일 이름 변경

Untitled

vi /etc/httpd/conf.d/vhost.conf 다시 오픈

Untitled

클라이언트가 http로 접근했을 때 https로 바뀌도록 리다이렉트 추가