kokeb - blog

UNIX 기준입니다. 아래 명령어를 순서대로 입력해서 private key 와 CSR을 생성합니다. 파일 이름은 임의로 정합니다. 각종 사항을 물어 보는데 임의로 입력 하면 됩니다. 다만, Host name(CN)은 정확하게 입력해야 합니다. Private key는 웹 서버 설치에 사용하면 됩니다.

• openssl genrsa -out ca.pkey.txt
• openssl genrsa -des3 -out ca.pkey.txt 1024
• openssl rsa -in ca.pkey.txt -out privatekey.txt
• openssl req -new -key ca.pkey.txt -out server.csr

CSR이 준비되면 아래와 같은 순서로 인증서를 발급 받습니다. 이미 저는 소유 도메인에 대해 절차를 다 진행했기 스크린 캡쳐를 다시 할 수 없습니다. 메뉴 상의 순서만 보면 아래와 같습니다.

1. Domain 추가 (인증): Domain->Add; 인증서를 발급받을 대상 도메인을 미리 등록해야 합니다. 안내하는 절차를 따르면 됩니다. 인증 관련 이메일이 발송되면 메일에서 요청한 링크에 접속해 인증을 완료하면 됩니다.
2. 인증서 발급 요청: Server Certificates -> New; 아래와 같이 CSR(server.csr)을 입력하라고 나옵니다. 앞서 작성한 CRS을 열어 copy & paste (복사/붙여넣기) 합니다. Submit을 누르고 이후 절차를 진행하면 실시간으로 인증서가 발급됩니다. 발급된 인증서는 언제든지 열람 가능 합니다.

이제 Private key, 발급 받은 인증서, ca root 인증서를 웹 서버에 설치하면 됩니다.

10만원 이하의 인증서를 사서 사용했는데, 호스트 수가 많아지니 이것도 부담. 와일드 카드 인증서는 거의 꿈나라 얘기고...

여기 저기 알아보다 보니 무료 인증서를 발급해 주는 곳을 알게됨. (단일 도메인) Startssl.com 과 cacert.org 이 대표적인데 현재 두곳의 인증서 모두 사용중.

발급 편의성은 두 군데 모두 대동소이 하나 cacert.org 가 접속 속도나 반응 속도가 좋음. Startssl은 작업 도중 브라우저를 재시작 해야하는 경우가 종종 있었음.

아래와 같이 Startssl 인증서는 대부분의 상용 브라우저에서 적절한 인증서로 인식되나, cacert 인증서는 그렇지 않음. 그러나 cacert 도 기능상으로는 제대로된 SSL임. 브라우저가 인식을 안 해줄뿐 암호화된 보안 연결을 제공하는 데는 전혀 문제가 없음.

인증서 설치가 제대로 되었는지는 아래 사이트에서 확인 가능. 확인 사이트는 여러 군데가 있는데 이 곳 UI가장 직관적이고 가독성이 좋음. 인증 경로와SSL설정을 확인할 수 있음. 끝! :-)

http://www.sslshopper.com/ssl-checker.html