SSL 패키지 설치
설치 확인
openssl
자체 사이트 보안 인증서 생성 가능
개인키 생성 (openssl genrsa -out /etc/pki/tls/private/kgitbank.key 2048
)
생성된 키에 정보 입력
(openssl req -new -key /etc/pki/tls/private/kgitbank.key -out /etc/pki/tls/private/kgitbank.csr
)
정확하게 입력하지 않으면 실제로 신청했을 때 반려당할 수 있다.
작성한 개인키 확인
(openssl x509 -req -days 365 -in /etc/pki/tls/private/kgitbank.csr -signkey /etc/pki/tls/private/kgitbank.key -out /etc/pki/tls/certs/kgitbank.crt
)
생성한 개인키, 인증키, 사이트 인증서 3가지 확인(ls -l /etc/pki/tls/private
)
.
한 서버에서 키인증과 키 발급을 동시에 발급( ls -l /etc/pki/tls/certs
)
vi /etc/httpd/conf.d/ssl.conf
편집
SSLProtocol -All +TLSv1.2 | 모든 버전을 거부하지만, 대신에 TLSv1.2를 가지고 있으면 허용하겠다. 문제가 될 수 있는건 클라이언트가 정말 옛날 브라우저를 쓰고 있으면 접속이 문제가 될 수 있지만, 요즘은 xp나 7같은 윈도우 버전은 안쓰기 때문에 괜찮을 것이다. 그리고 오히려 우리가 배려해서 허용해주면 보안에 문제가 생길 수 있기때문에 규칙을 세워서 어떻게 할지 정하는게 중요하다. |
---|---|
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHERSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384 | 기존의 있는 값은 보안이 취약해 비교적 안전한 알고리즘의 묶음으로 변경 |
파일 이름 변경
vi /etc/httpd/conf.d/vhost.conf
다시 오픈
클라이언트가 http로 접근했을 때 https로 바뀌도록 리다이렉트 추가