Page tree
Skip to end of metadata
Go to start of metadata

인증서 구입


  • https://www.gogetssl.com/
  • 무료로 자동 리뉴얼해 쓸 수 있는 Let's encrypt 추천 (Let's encrypt)
  • * 2년 이상 구입 시 주의

    4년 구입시 2년 짜리 인증서 + 2년 후에 무료 리뉴얼 방식

    * 환불 요청 시 사이트 내에서 쓸 수 있는 밸런스로 환불되며 신용카드 취소 요청 시 계속 추가 요청해야하는 불편함 있음


인증서 만들기


  • SSL Certificate Details
    • Download all files (ZIP)
      • cat ?.crt + ?.crt + ?.crt >> <domain>.crt 로 아래 순서대로 3개를 다 합쳐 <domain>.crt 파일 생성
        • <domain>.crt
        • COMODO_RSA_Certification_Authority.crt
        • AddTrust_External_CA_Root.crt
    • Download CA + Download CRT 를 cat 으로 합쳐도 동일한 파일 생성됨
    • 혹은 메일로 날아온 "New SSL Certificate[GOGETSSL] ORDERID: ########" 의 Certificate Status: ISSUED 이고 –BEGIN CERTIFICATE-- --END CERTIFICATE-- 가 3쌍인 걸 그대로 복사해서 써도 됨
  • 메일로 날아온 "Your SSL Private Key and CSR for <domain>" 의 Private Key를 복사해 <domain>.key 파일 생성
    • 리뉴얼 시 안 날아옴. 기존에 쓰던 키 계속 사용하면 됨


아파치 설정


  • 생성한 인증서를 /usr/local/.key/ 에 저장했다면
  • /etc/apache2/sites-available/default-ssl.conf
    SSLCertificateFile      /user/local/.key/<domain>.crt
    SSLCertificateKeyFile /user/local/.key/<domain>.key
    SSLCertificateChainFile /user/local/.key/<domain>.crt
    SSLCACertificateFile /user/local/.key/AddTrust_External_CA_Root.crt


    • crul 60 error

      SSLCertificateChainFile 설정이 안돼있으면 crul <url> 했을 때 아래와 같은 오류 발생함

      CURL 60 : SSL_CACERT SSL certificate problem: unable to get local issuer certificate

  • SSL 설정 테스트

    • https://www.ssllabs.com/ssltest/index.html
      • 인증서 설정을 제대로 했다면 Chain issues가 None이 돼야 함
    • Overal Rating C → A
      • 보안 취약한 Protocols, Cipher suites 제거 + Forward Secrecy
      • /etc/apache2/mods-available/ssl.conf
        SSLProtocol all -SSLv2 -SSLv3
        SSLHonorCipherOrder on
        SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
      • SSLProtocol

        • 보안 취약한 SSLv3 제거
      • Ciper suites

    • DNS CAA


인증서 도메인 변경


  • Comodo 는 구매 후 1년, 나머지는 30일 내에 도메인 변경 가능
  • https://my.gogetssl.com
    • SSL Management > View on SSL certificate > Reissue
    • Step1 CSR Configuration 작성
      • Online CSR Generator 로 신규 작성
        • Certificate Signing Request(CSR) 을 붙여넣음
    • Step2 Select validation method
    • 완료되면 SSL Certificate Details로 이동
  • 인증서 만들기 진행