공유할 서비스 선택

TECH


TECH

Middleware (SSL-1) 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용)

페이지 정보

작성자 미들웨어 아이디로 검색 전체게시물 댓글 0건 조회 5,356회 좋아요 0회 작성일 21-04-08 15:22

본문

안녕하세요. 미들웨어 입니다.

 

그간 미들웨어에 대해 여러 방향으로 다뤄봤는데요, 

이번 장에서는 미들웨어에 빠질수 없는 SSL에 대해 다뤄보려고 합니다.

SSL 설정은 인터넷에 찾아보면 여러 설정하는 방법이 있는데, 중요한건 인증서가 재대로 작동되는지, 만료기간은 언제인지, 브라우저에 접속할 수 없을때 

확인할 수 있는 방법은 어떤 것들이 있는지에 대해 이야기 해보겠습니다.

 

(SSL-1) SSL 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용) 

(SSL-2) SSL 인증서 에러발생시 해결방법 (NSS error-8172, 12276 ??)

 

1. SSL 인증서에 필요한 파일

SSL 인증서 설정하고 제공하는 쪽 <==> 연결하는 쪽 간에 SSL 인증서 통신이 잘 안된다고 할때 확인할 수 있는 방법을 공유합니다.

일반적으로 인증서는 업체를 통해 제공받으며 pem, crt, chain 인증파일을 설정해서 사용합니다.

apache 경우는 위 3개 파일을 모두 설정하고 nginx 경우는 chain 파일을 crt 파일에 접목시켜서 제공하곤 합니다.

 

아래는 샘플로 naver.com:443 인증서에 대해 정상적으로 설정이 되있는지 확인 할 수 있는 빠른 방법 입니다.

크게 3가지가 존재합니다.

 

 

2. 브라우저를 통해 naver.com:443 호출후 인증서가 정상적으로 등록됐는지 확인합니다.
74d2e5abe0eed97f34b722c174b7b528_1618810856_4412.png
 

 

 

3. 인증서가 정상이라면 openssl s_client 명령어로 최종 확인해본다.

아래는 예를들어서 naver.com:443 을 호출해보고 정상인 화면을 보여드렸습니다.

만약 인증서 등록후 정상적으로 설정이 안되고 누락되었다면 아래 verify return:1 값이 아닌 error  호출됩니다.


 ### naver.com 정상 인증서 형태

ijeonghyeon-ui-iMac:$ openssl s_client -connect naver.com:443

CONNECTED(00000006)

depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 

verify return:1

depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1

depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organization Validation Secure Server CA

verify return:1

depth=0 C = KR, postalCode = 13561, ST = Gyeonggi-do, L = Seongnam-si, street = "6, Buljeong-ro, Bundang-gu", O = NAVER Corp., OU = Information Security Team, OU = "Hosted by Korea Information Certificate Authority, Inc.", OU = SGC SSL Wildcard, CN = *.www.naver.com

verify return:1

---

Certificate chain

 0 s:/C=KR/postalCode=13561/ST=Gyeonggi-do/L=Seongnam-si/street=6, Buljeong-ro, Bundang-gu/O=NAVER Corp./OU=Information Security Team/OU=Hosted by Korea Information Certificate Authority, Inc./OU=SGC SSL Wildcard/CN=*.www.naver.com

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIGLTCCBRWgAwIBAgIRAMxCjJqjd4ZFm2/QKt/z9DcwDQYJKoZIhvcNAQELBQAw

gZYxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO

BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTwwOgYD

VQQDEzNDT01PRE8gUlNBIE9yZ2FuaXphdGlvbiBWYWxpZGF0aW9uIFNlY3VyZSBT

ZXJ2ZXIgQ0EwHhcNMTcwNDEyMDAwMDAwWhcNMTkwNTAxMjM1OTU5WjCCAR8xCzAJ

BgNVBAYTAktSMQ4wDAYDVQQREwUxMzU2MTEUMBIGA1UECBMLR3llb25nZ2ktZG8x

FDASBgNVBAcTC1Nlb25nbmFtLXNpMSMwIQYDVQQJExo2LCBCdWxqZW9uZy1ybywg

QnVuZGFuZy1ndTEUMBIGA1UEChMLTkFWRVIgQ29ycC4xIjAgBgNVBAsTGUluZm9y

 


### error 발생된 ssl 인증서 형태

CONNECTED(00000005)

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=21:unable to verify the first certificate

verify return:1

 

 

4. 인증서 생성 날짜 확인

인증서 -> 세부사항 -> 유효한 날짜 확인을 해서 "다음전에 유효하지 않음" 보다 호출하는 쪽 서버의 OS 버전이 높아야 합니다.
호출하는 쪽 서버의 버전이 2010년 OS 일경우 인증서 생성 일이 2017이므로 정상적인 SSL 인증서 호출이 되지 않습니다..

74d2e5abe0eed97f34b722c174b7b528_1618810904_0751.png
 

 

 

 

 

이상으로 3가지 방법에 대해 SSL이 현재 어떤 상태인지 확인해보는 방법에 대해 설명해봤습니다.

 

댓글목록

등록된 댓글이 없습니다.

TECH 목록
번호 제목 작성자 작성일 조회수
198 OS OSworker 아이디로 검색 전체게시물 03-24 53
RHEL7 to RHEL8 leapp으로 마이그레이션 하는 방법에 대해~

카테고리 : OS

53 0
작성자 : OSworker 24/03/24
197 Middleware 미들웨어 아이디로 검색 전체게시물 03-21 42
(오픈소스 활용-27) Redis Cache 란? 활용방법과 다운로드

카테고리 : Middleware

42 0
작성자 : 미들웨어 24/03/21
196 OS OSworker 아이디로 검색 전체게시물 03-17 68
Convert2RHEL를 사용하여 CentOS 7.9 에서 RHEL7.9로 전환해보겠습니다.

카테고리 : OS

68 0
작성자 : OSworker 24/03/17
195 Middleware 미들웨어 아이디로 검색 전체게시물 03-07 84
(weblogic 활용) WebLogic Kubernetes Toolkit-UI (무료) 설치 및 구성가이드

카테고리 : Middleware

84 0
작성자 : 미들웨어 24/03/07
194 OS OSworker 아이디로 검색 전체게시물 02-28 156
RHEL8부터는 네트워크 본딩을 구성하려면 nmcli 유틸리티를 사용해야 합니다. 레드햇 권고입니다.

카테고리 : OS

156 0
작성자 : OSworker 24/02/28
193 Middleware 미들웨어 아이디로 검색 전체게시물 02-20 201
(AI-2) Chat-GPT 4All - 허깅페이스 & LLM 국내 인기순위 (Open Ko-LLM LeaderBoard)

카테고리 : Middleware

201 0
작성자 : 미들웨어 24/02/20
192 OS OSworker 아이디로 검색 전체게시물 02-19 261
[질문] free 메모리에서 Used가 너무 높게 나오는데, ps 명령어에는 사용율이 없습니다.

카테고리 : OS

261 0
작성자 : OSworker 24/02/19
191 Middleware 미들웨어 아이디로 검색 전체게시물 02-06 259
(AI-1) Chat-GPT 4All - PC 설치 방법

카테고리 : Middleware

259 0
작성자 : 미들웨어 24/02/06
190 OS OSworker 아이디로 검색 전체게시물 02-05 332
1월31일에 발표된 보안취약점 CVE-2024-21626에 대해 알아보겠습니다.

카테고리 : OS

332 0
작성자 : OSworker 24/02/05
189 OS OSworker 아이디로 검색 전체게시물 01-31 315
OS 백업 아직도 3rd part 사용하시나요? 이제는 OS 에 포함된 ReaR 사용해보세요~!

카테고리 : OS

315 0
작성자 : OSworker 24/01/31
Total 198건
게시물 검색

주식회사 클럭스| 대표 : 이찬호| 사업자등록번호 : 107-87-27655
주소 : 서울특별시 영등포구 국회대로 800, 여의도파라곤
E-mail : sales@chlux.co.kr
Copyright © 클럭스 www.chlux.co.kr All rights reserved.
상단으로Top