본문 바로가기
서버,보안

MS iis 6.0 ssl 설치하기

by 세이박스 2008. 10. 26.
반응형

  IIS 6.0(Microsoft Internet Information Server 6.0) 신규

고객님께서는 이전에 CSR 생성 과정을 진행해 주셨습니다.
그래서 IIS 인터넷 정보 서비스(IIS) 관리에서 "새 인증서를 만듭니다"를 통해서 서버 암호화 키(개인키)를 생성하였고, 생성된 암호화 키(개인키)를 토대로 CSR(Certificate Signing Request)을 저희 애니서트로 보내 주셨습니다.
그리고 애니서트에서는 서버 암호화 키(개인키)와 키쌍(key pair)을 이루는 고객님의 정식 웹서버인증서를 발급하게 됩니다.
이제 고객님의 IIS 6.0 서버인증서 관리자에서 서버 암호화 키(개인키)와 정식 웹서버 인증서를 조합하는("보류 중인 요청을 처리한 다음 인증서를 설치한다") 작업을 하시면, IIS 6.0 서버에 SSL 설치는 마치게 됩니다.


※ IIS 6.0 웹서버의 인증서 설치 순서

1. 발급된 인증서 확인
2. 웹서버로 발급된 인증서 올리기
3. IIS 6.0 웹서버에 인증서 설치하기
4. IIS 6.0 웹서버에 인증서 설치 확인하기
5. IIS 6.0 웹서버 SSL 포트 설정하기
6. 루트 & 체인 인증서 설치하기
7. 키쌍(key pair, 인증서 및 개인키) 백업 하기
8. SSL 구동 확인


1. 발급된 인증서 확인

먼저 발급된 웹서버 인증서를 확인합니다. 웹서버 인증서는 인증받을 도메인이름으로 발급됩니다.

웹서버인증서 : [인증받은 도메인 이름으로 된].cer
루트인증서 : Wildcard_Root.cer
체인인증서 : Wildcard_Chain.cer

위의 발급된 인증서는 애니서트에서 고객님께 전자 메일로 발급해 드립니다.
그러므로 전자 메일에 발급된 인증서 항목을 알려드리며, 발급된 인증서는 첨부파일로 첨부되어있습니다.

윈도우 PC에서 발급 받으신 웹서버 인증서([인증받은 도메인 이름으로 된].cer파일)를 열어서(double click) 내용을 확인합니다.(메모장이나 울트라 에디터에서 열지 않습니다.)
웹서버 인증서를 열게 되면 다음과 같은 내용을 확인하실 수 있습니다.

[인증서 보기 - 일반]

웹서버 인증서 정보의 [일반] 탭 부분에서 인증서 정보에서 "정보가 부족하므로 이 인증서를 확인할 수 없습니다." 메시지를 확인 할 수 있습니다.
현재 발급된 인증서는 함께 드린 루트&체인 인증서가 설치되지 않아서 경고 메시지가 나오는 것이므로 위와 같은 메시지가 나오는 것이 맞습니다. 가이드 순서대로 설치를 진행하시고 나면 정상적인 메시지를 확인하실 수 있습니다.
그리고 발급 대상에서 고객님이 인증받을 도메인 주소로 신청하신 도메인 주소가 맞는지 확인합니다.

다음으로는 [자세히] 탭 부분에서

[인증서 보기 - 자세히]

발급한 웹서버 인증서의 유효기간을 확인합니다. (유효 기간(시작)과 유효 기간(끝) 정보를 확인합니다.)
그리고 공개 키 부분에서 RSA (1024 Bits) 를 확인합니다. 애니서트에서 발행되는 인증서는 1024 Bits 키를 권고합니다. 꼭 확인해 주시기 바랍니다.

2. 웹서버로 발급된 인증서 올리기

발급받으신 인증서를 IIS 웹서버에 복사합니다.(보통 Ftp 로 웹서버로 올려 주시면 됩니다.)

3. IIS 6.0 웹서버에 인증서 설치하기

IIS 서버에서는 인증서 관리를 인터넷 정보 서비스(IIS) 관리에서 관리하게 됩니다.
기존에 CSR 생성 과정으로 생성된 서버 암호화 키(개인키)에 정식 웹서버 인증서를 조합하는("보류 중인 요청을 처리한 다음 인증서를 설치한다") 작업을 진행합니다.
다음의 순서를 밟아 주시기 바랍니다.

① 인터넷 정보 서비스(IIS) 관리 열기

[시작] -> [모든 프로그램] -> [관리도구] -> [인터넷 정보 서비스(IIS) 관리]를 선택합니다.



② 인증서 설치할 웹사이트 속성 열기

[인증서를 설치할 웹사이트] 에서 [속성]을 엽니다.
( 여러 개의 웹사이트가 있을 경우에는 반드시 인증서 설치할 웹사이트에서 생성되어야 하므로 유의 바랍니다. )


③ 인증서 설치할 웹사이트 등록정보에서 [디렉터리 보안] 열기

인증서를 설치할 웹사이트의 [등록정보]에서 [디렉터리 보안] 을 선택합니다.


④ 디렉터리 보안에서 [서버 인증서] 열기

[디렉터리 보안]에서 [서버 인증서] 버튼을 선택합니다.


⑤ 웹서버 인증서 마법사 시작

웹서버 인증서 마법사를 시작하게 됩니다. [다음]을 선택합니다.


⑥ 보류중인 인증서 요청 선택(웹서버 인증서 설치 과정 선택)

IIS 인증서 마법사에서 [보류중인 요청을 처리한 다음 인증서를 설치합니다]를 선택합니다.
(IIS 웹서버에서 CSR 생성한 인증서 요청에 대한 웹서버 인증서 설치(보류중인 인증서 요청을 처리)를 선택합니다.)


⑦ 보류중인 요청 처리(웹서버 인증서 설치)

다음으로, [보류중인 요청을 처리할 정식 웹서버 인증서] 찾아서 불러들입니다.
(IIS 웹서버에서 CSR 생성한 인증서 요청에 대한 웹서버 인증서 설치(보류중인 인증서 요청을 처리)합니다.)


⑧ 보류중인 요청 처리 결과(웹서버 인증서 설치 확인)

응답 파일에서 인증서를 설치합니다.
설치하시고자 하시는 인증서의 정보를 확인하시고, 특히 만료일을 확인해 주시기 바랍니다.


다음으로, 웹서버 인증서 마법사를 완료합니다.


4. IIS 6.0 웹서버에 인증서 설치 확인하기

보류중인 요청 처리(웹서버 인증서 설치)한 후에는
다음과 같이 IIS 관리자 [디렉토리 보안] 탭의 [보안 통신] 항목에서
[서버 인증서]과 함께 [편집], [인증서 보기] 항목이 활성화 됩니다.

IIS 서버에 설치된 인증서를 확인합니다.
다음의 순서를 밟아 주시기 바랍니다.

[인터넷 정보 서비스(IIS) 관리] 에서 [디렉토리 보안]의 [보안 통신] 부분에서 [인증서 보기]를 선택합니다.




다음과 같이 웹사이트에 설치된 인증서 정보를 확인해야 합니다.
[발급 대상]에서 [인증받은 도메인 주소]를 확인해 주시고, 설치된 인증서의 유효기간 확인해 주십니다.
마지막으로 제일 중요한 부분인 [사용자가 이 인증서와 일치하는 개인 키를 갖고 있습니다.] 항목을 확인해 주셔야 합니다.
[사용자가 이 인증서와 일치하는 개인 키를 갖고 있습니다.] 항목이 확인 되지 않는다면, 웹서버에 설치된 인증서는 서버키(암호키)와 웹서버인증서(공개키) 간의 조합된 RSA - SSL 암호화 통신이 되지 않습니다.



5. IIS 6.0 웹서버 SSL 포트 설정하기


[인터넷 정보 서비스(IIS) 관리] 에서 [웹사이트] 항목의 SSL 포트 가 활성화 된 것을 보실 수 있습니다.
SSL 포트는 https 통신에서 서비스 되는 포트를 설정해 주므로, SSL 기본 포트로 443 포트(http 기본 포트는 80 포트이듯이)를 설정해 줍니다.


6. 루트 & 체인 인증서 설치하기

본 인증서는 루트&체인 인증서를 별도로 설치해 주셔야 합니다.
다음 순서대로 루트인증서와 체인인증서를 각각 설치해 주시기 바랍니다.
두 인증서의 설치방법은 동일합니다.

① MMC 콘솔 창 열기

[시작] -> [실행]을 선택합니다.



[실행] 창에서 mmc을 입력하고 실행합니다.


기본 mmc 콘솔 창 보실 수 있습니다.

기본 mmc 콘솔 창에서 [콘솔] -> [스냅인 추가/제거]를 선택합니다.



[스냅인 추가/제거] 창에서 [추가]를 선택합니다.








② 인증서 가져오기

신뢰된 루트 인증 기관에서 [모든 작업] -> [가져오기]를 선택합니다.













 

7. 키쌍(key pair, 인증서 및 개인키) 백업 하기

혹시라도 모를 재해를 대비해서 시스템에 설치된 키쌍(key pair, 인증서 및 개인키)을 백업합니다.
(시스템에 설치된 암호화 키(개인키)와 웹서버인증서(공개키)는 MMC 콘솔으로 관리됩니다.)
<인증서는 개인키와 함께 꼭 백업을 해두셔야 하며, 백업을 하지 않아 발생하는 문제에 대해서는 재발급 비용이 추가될 수 있습니다.>

① 로컬컴퓨터에 설치된 키쌍(key pair, 인증서 및 개인키) 백업

IIS 서버에서는 CSR 생성할 때에 시스템에 암호화 키(개인키)를 생성합니다.
IIS 서버는 웹서버인증서(공개키)가 설치되면서 이미 생성된 암호화 키(개인키)와 웹서버인증서(공개키)를 하나의 키쌍(key pair, 인증서 및 개인키)으로 조합됩니다.
그래서 다음과정으로 키쌍(key pair, 인증서 및 개인키)을 백업받습니다.

[인증서(로컬 컴퓨터)]에서 [개인] -> [인증서] 항목에 3. IIS 6.0 웹서버에 인증서 설치하기에서 생성한 키쌍(key pair, 인증서 및 개인키-인증받은 도메인 이름으로 표시됩니다)을 볼 수 있습니다.
키쌍(key pair, 인증서 및 개인키)을 선택하고, 마우스 오른쪽 버튼으로 빠른 메뉴를 엽니다.
빠른 메뉴에서 [모든 작업] -> [내보내기]를 선택합니다.


그러면 [인증서 내보내기 마법사] 창이 나타나며, 키쌍(key pair, 인증서 및 개인키)을 내보내는 백업 작업을 합니다.


키쌍(key pair, 인증서 및 개인키) 백업 옵션 [예, 개인키를 내보냅니다.]를 선택합니다.


파일 내보내기 형식으로 [개인 정보 교환-PKCS #12(.PFX)]를 선택합니다.


암호화 키(개인키)의 암호를 설정합니다.
(암호화 키(개인키)의 암호는 반드시 기억하고 있어야 합니다. 암호화 키(개인키)의 암호를 분실하게 되면 백업하신 키쌍(key pair, 인증서 및 개인키)을 사용할 수 없게 됩니다.)


내보낼 키쌍(key pair, 인증서 및 개인키)의 파일이름을 입력합니다.


키쌍(key pair, 인증서 및 개인키) 내보내기를 완료합니다.


키쌍(key pair, 인증서 및 개인키) 내보내기를 결과를 확인합니다.

내보낼 키쌍(key pair, 인증서 및 개인키)의 파일이 생성되었습니다. 보안된 PC의 저장장치 등 안전한 곳에 보관합니다.

② MMC 인증서 스냅인을 저장합니다.

IIS 서버에 설치되는 인증서는 MMC 인증서 스냅인을 통해 관리되므로, 인증서 스냅인을 저장해 놓습니다.
(스냅인 저장으로 인증서가 백업되지는 않습니다. MMC에서 인증서 스냅인(snap-in) 추가된 사항만 저장되는 것입니다.)

mmc 콘솔 주메뉴에서 [다른 이름으로 저장]을 선택합니다.


적당한 경로와 적당한 이름으로 저장해 놓습니다.


mmc 인증서 스냅인을 저장 완료되었습니다. 나중에 인증서를 관리할 때에 저장된 mmc 인증서 스냅인을 불러서 사용할 수 있습니다.

 

8. SSL 구동 확인

① 443 포트(HTTPS 통신) 네트웍 활성 확인
C:\>%windir%\system32\netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
... ...
C:\> 

② 방화벽과 L4 Switch 장비 설정 확인
고객님의 웹서버와 연계되어 설정된 방화벽 장비와 L4 Switch 장비의 설정을 80 포트 설정된 것 같이 443 포트에도 설정되어야 합니다.

③ HTTPS 보안 통신으로 페이지를 확인
웹 브라우져를 통해서 https://[인증받은 도메인]/[테스트페이지].html 페이지를 확인해 봅니다.


[보안정보 확인창]

접속시에 위와 같은 보안정보 확인 창을 보실 수도 있으나, 이것은 전체 페이지를 암호화 처리했을 경우에 몇몇 이미지나 object 태그의 codebase 부분에 절대경로가 설정된 경우에 보안 정보를 나타내는 정보 창이므로, [아니오]를 선택합니다.

그러면, 웹 브라우져 하단 상태표시줄에 HTTPS 암호화 상태를 나타내는 노란 자물쇠를 확인해 보실 수 있습니다.

[SSL 128 bit 확인]


노란 자물쇠에 마우스 포인터를 가르키고 잠시 기다리면 128 bit 암호화 처리 상태를 확인해 보실 수 있습니다.
그리고 노란 자물쇠를 double click 하면, 서버에 설치된 인증서를 확인해 보실 수 있습니다.


[인증서 보기 - 일반]


인증서 용도가 [● 원격 컴퓨터의 신분을 확인합니다.] 라는 웹서버 인증서로 설정된 것을 확인할 수 있습니다.
다음으로 인증서 자세히 보기 부분에서 설치된 웹서버 인증서의 유효기간을 확인합니다. (유효 기간(시작)과 유효 기간(끝) 정보를 확인합니다.) 그리고 공개 키 부분에서 RSA (1024 Bits) 를 확인합니다.


[인증서 보기 - 자세히]


SSL 설치가 완료 되었습니다.
출처 : http://www.anycert.co.kr/support/4_1ssl_install_cer05_2.html

반응형