Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • https://www.gogetssl.com/
  • 무료로 자동 리뉴얼해 쓸 수 있는 Let's encrypt 추천 (Let's encrypt)
  • Note

    * 2년 이상 구입 시 주의

    4년 구입시 2년 짜리 인증서 + 2년 후에 무료 리뉴얼 방식

    * 환불 요청 시 사이트 내에서 쓸 수 있는 밸런스로 환불되며 신용카드 취소 요청 시 계속 추가 요청해야하는 불편함 있음


인증서 만들기

...

  • SSL Certificate Details
    • Download all files (ZIP)
      • cat ?.crt + ?.crt + ?.crt >> <domain>.crt 로 아래 순서대로 3개를 다 합쳐 <domain>.crt 파일 생성
        • <domain>.crt
        • COMODO_RSA_Certification_Authority.crt
        • AddTrust_External_CA_Root.crt
    • Download CA + Download CRT 를 cat 으로 합쳐도 동일한 파일 생성됨
    • 혹은 메일로 날아온 "New SSL Certificate[GOGETSSL] ORDERID: ########" 의 Certificate Status: ISSUED 이고 –BEGIN CERTIFICATE-- --END CERTIFICATE-- 가 3쌍인 걸 그대로 복사해서 써도 됨
  • 메일로 날아온 "Your SSL Private Key and CSR for <domain>" 의 Private Key를 복사해 <domain>.key 파일 생성
    • 리뉴얼 시 안 날아옴. 기존에 쓰던 키 계속 사용하면 됨


아파치 설정

...

  • 생성한 인증서를 /usr/local/.key/ 에 저장했다면
  • Code Block
    languagebash
    title/etc/apache2/sites-available/default-ssl.conf
    SSLCertificateFile      /user/local/.key/<domain>.crt
    SSLCertificateKeyFile /user/local/.key/<domain>.key
    SSLCertificateChainFile /user/local/.key/<domain>.crt
    SSLCACertificateFile /user/local/.key/AddTrust_External_CA_Root.crt


    • Note
      titlecrul 60 error

      SSLCertificateChainFile 설정이 안돼있으면 crul <url> 했을 때 아래와 같은 오류 발생함

      CURL 60 : SSL_CACERT SSL certificate problem: unable to get local issuer certificate

  • SSL 설정 테스트

    • https://www.ssllabs.com/ssltest/index.html
      • 인증서 설정을 제대로 했다면 Chain issues가 None이 돼야 함
    • Overal Rating C → A
      • 보안 취약한 Protocols, Cipher suites 제거 + Forward Secrecy
      • Code Block
        languagebash
        title/etc/apache2/mods-available/ssl.conf
        SSLProtocol all -SSLv2 -SSLv3
        SSLHonorCipherOrder on
        SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
      • SSLProtocol

        • 보안 취약한 SSLv3 제거
      • Ciper suites

    • DNS CAA

...