공유할 서비스 선택

TECH


TECH

Middleware (SSL-1) 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용)

페이지 정보

작성자 미들웨어 아이디로 검색 전체게시물 댓글 0건 조회 5,346회 좋아요 0회 작성일 21-04-08 15:22

본문

안녕하세요. 미들웨어 입니다.

 

그간 미들웨어에 대해 여러 방향으로 다뤄봤는데요, 

이번 장에서는 미들웨어에 빠질수 없는 SSL에 대해 다뤄보려고 합니다.

SSL 설정은 인터넷에 찾아보면 여러 설정하는 방법이 있는데, 중요한건 인증서가 재대로 작동되는지, 만료기간은 언제인지, 브라우저에 접속할 수 없을때 

확인할 수 있는 방법은 어떤 것들이 있는지에 대해 이야기 해보겠습니다.

 

(SSL-1) SSL 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용) 

(SSL-2) SSL 인증서 에러발생시 해결방법 (NSS error-8172, 12276 ??)

 

1. SSL 인증서에 필요한 파일

SSL 인증서 설정하고 제공하는 쪽 <==> 연결하는 쪽 간에 SSL 인증서 통신이 잘 안된다고 할때 확인할 수 있는 방법을 공유합니다.

일반적으로 인증서는 업체를 통해 제공받으며 pem, crt, chain 인증파일을 설정해서 사용합니다.

apache 경우는 위 3개 파일을 모두 설정하고 nginx 경우는 chain 파일을 crt 파일에 접목시켜서 제공하곤 합니다.

 

아래는 샘플로 naver.com:443 인증서에 대해 정상적으로 설정이 되있는지 확인 할 수 있는 빠른 방법 입니다.

크게 3가지가 존재합니다.

 

 

2. 브라우저를 통해 naver.com:443 호출후 인증서가 정상적으로 등록됐는지 확인합니다.
74d2e5abe0eed97f34b722c174b7b528_1618810856_4412.png
 

 

 

3. 인증서가 정상이라면 openssl s_client 명령어로 최종 확인해본다.

아래는 예를들어서 naver.com:443 을 호출해보고 정상인 화면을 보여드렸습니다.

만약 인증서 등록후 정상적으로 설정이 안되고 누락되었다면 아래 verify return:1 값이 아닌 error  호출됩니다.


 ### naver.com 정상 인증서 형태

ijeonghyeon-ui-iMac:$ openssl s_client -connect naver.com:443

CONNECTED(00000006)

depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 

verify return:1

depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1

depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organization Validation Secure Server CA

verify return:1

depth=0 C = KR, postalCode = 13561, ST = Gyeonggi-do, L = Seongnam-si, street = "6, Buljeong-ro, Bundang-gu", O = NAVER Corp., OU = Information Security Team, OU = "Hosted by Korea Information Certificate Authority, Inc.", OU = SGC SSL Wildcard, CN = *.www.naver.com

verify return:1

---

Certificate chain

 0 s:/C=KR/postalCode=13561/ST=Gyeonggi-do/L=Seongnam-si/street=6, Buljeong-ro, Bundang-gu/O=NAVER Corp./OU=Information Security Team/OU=Hosted by Korea Information Certificate Authority, Inc./OU=SGC SSL Wildcard/CN=*.www.naver.com

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIGLTCCBRWgAwIBAgIRAMxCjJqjd4ZFm2/QKt/z9DcwDQYJKoZIhvcNAQELBQAw

gZYxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO

BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTwwOgYD

VQQDEzNDT01PRE8gUlNBIE9yZ2FuaXphdGlvbiBWYWxpZGF0aW9uIFNlY3VyZSBT

ZXJ2ZXIgQ0EwHhcNMTcwNDEyMDAwMDAwWhcNMTkwNTAxMjM1OTU5WjCCAR8xCzAJ

BgNVBAYTAktSMQ4wDAYDVQQREwUxMzU2MTEUMBIGA1UECBMLR3llb25nZ2ktZG8x

FDASBgNVBAcTC1Nlb25nbmFtLXNpMSMwIQYDVQQJExo2LCBCdWxqZW9uZy1ybywg

QnVuZGFuZy1ndTEUMBIGA1UEChMLTkFWRVIgQ29ycC4xIjAgBgNVBAsTGUluZm9y

 


### error 발생된 ssl 인증서 형태

CONNECTED(00000005)

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=21:unable to verify the first certificate

verify return:1

 

 

4. 인증서 생성 날짜 확인

인증서 -> 세부사항 -> 유효한 날짜 확인을 해서 "다음전에 유효하지 않음" 보다 호출하는 쪽 서버의 OS 버전이 높아야 합니다.
호출하는 쪽 서버의 버전이 2010년 OS 일경우 인증서 생성 일이 2017이므로 정상적인 SSL 인증서 호출이 되지 않습니다..

74d2e5abe0eed97f34b722c174b7b528_1618810904_0751.png
 

 

 

 

 

이상으로 3가지 방법에 대해 SSL이 현재 어떤 상태인지 확인해보는 방법에 대해 설명해봤습니다.

 

댓글목록

등록된 댓글이 없습니다.

TECH 목록
번호 제목 작성자 작성일 조회수
188 OS OSworker 아이디로 검색 전체게시물 01-23 251
Red Hat 업무별 직군들에 대해 알아보겠습니다. #AM #GPS #TSE #TAM

카테고리 : OS

251 0
작성자 : OSworker 24/01/23
187 Middleware 미들웨어 아이디로 검색 전체게시물 01-19 177
(오픈소스 활용-26) scouter 2.22 에서 Weblogic14 모니터링 등록 중 이슈 조치방법

카테고리 : Middleware

177 0
작성자 : 미들웨어 24/01/19
186 OS OSworker 아이디로 검색 전체게시물 01-15 513
[보안취약점] OpenSSH 보안이슈 `cve-2023-48795`

카테고리 : OS

513 0
작성자 : OSworker 24/01/15
185 Middleware 미들웨어 아이디로 검색 전체게시물 01-06 250
(오픈소스 활용-25) scouter 2.22 에서 JEUS8 모니터링 등록 하는 방법

카테고리 : Middleware

250 0
작성자 : 미들웨어 24/01/06
184 OS OSworker 아이디로 검색 전체게시물 12-30 201
Red Hat z-stream 패키지를 어떻게 구분하나요? 또 z-stream이란 무엇인가요?

카테고리 : OS

201 0
작성자 : OSworker 23/12/30
183 OS OSworker 아이디로 검색 전체게시물 12-24 275
[issue] RHEL8 버전 설치시 swap 이 최대 128G 까지만 된다?

카테고리 : OS

275 0
작성자 : OSworker 23/12/24
182 Middleware 미들웨어 아이디로 검색 전체게시물 12-22 224
(오픈소스 활용-24) 리눅스 java, python 우선순위 설정방법 - (update-alternatives 명령어)

카테고리 : Middleware

224 0
작성자 : 미들웨어 23/12/22
181 OS OSworker 아이디로 검색 전체게시물 12-17 595
OS 모니터링 하실 때 많이 사용되는 SAR에 대해 아시죠?

카테고리 : OS

595 0
작성자 : OSworker 23/12/17
180 Middleware 미들웨어 아이디로 검색 전체게시물 12-07 396
(Apache) Apache 2.4.37 & Weblogic-14 연동방법 (mod_wl_24.so 활용)

카테고리 : Middleware

396 0
작성자 : 미들웨어 23/12/07
179 OS OSworker 아이디로 검색 전체게시물 11-27 651
요즘 이슈인 SUSE Liberty VS Red Hat Enterprise Linux 에 대해 들어보셨나요?

카테고리 : OS

651 0
작성자 : OSworker 23/11/27
Total 198건
게시물 검색

주식회사 클럭스| 대표 : 이찬호| 사업자등록번호 : 107-87-27655
주소 : 서울특별시 영등포구 국회대로 800, 여의도파라곤
E-mail : sales@chlux.co.kr
Copyright © 클럭스 www.chlux.co.kr All rights reserved.
상단으로Top