공유할 서비스 선택

TECH


TECH

Middleware (SSL-1) 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용)

페이지 정보

작성자 미들웨어 아이디로 검색 전체게시물 댓글 0건 조회 5,347회 좋아요 0회 작성일 21-04-08 15:22

본문

안녕하세요. 미들웨어 입니다.

 

그간 미들웨어에 대해 여러 방향으로 다뤄봤는데요, 

이번 장에서는 미들웨어에 빠질수 없는 SSL에 대해 다뤄보려고 합니다.

SSL 설정은 인터넷에 찾아보면 여러 설정하는 방법이 있는데, 중요한건 인증서가 재대로 작동되는지, 만료기간은 언제인지, 브라우저에 접속할 수 없을때 

확인할 수 있는 방법은 어떤 것들이 있는지에 대해 이야기 해보겠습니다.

 

(SSL-1) SSL 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용) 

(SSL-2) SSL 인증서 에러발생시 해결방법 (NSS error-8172, 12276 ??)

 

1. SSL 인증서에 필요한 파일

SSL 인증서 설정하고 제공하는 쪽 <==> 연결하는 쪽 간에 SSL 인증서 통신이 잘 안된다고 할때 확인할 수 있는 방법을 공유합니다.

일반적으로 인증서는 업체를 통해 제공받으며 pem, crt, chain 인증파일을 설정해서 사용합니다.

apache 경우는 위 3개 파일을 모두 설정하고 nginx 경우는 chain 파일을 crt 파일에 접목시켜서 제공하곤 합니다.

 

아래는 샘플로 naver.com:443 인증서에 대해 정상적으로 설정이 되있는지 확인 할 수 있는 빠른 방법 입니다.

크게 3가지가 존재합니다.

 

 

2. 브라우저를 통해 naver.com:443 호출후 인증서가 정상적으로 등록됐는지 확인합니다.
74d2e5abe0eed97f34b722c174b7b528_1618810856_4412.png
 

 

 

3. 인증서가 정상이라면 openssl s_client 명령어로 최종 확인해본다.

아래는 예를들어서 naver.com:443 을 호출해보고 정상인 화면을 보여드렸습니다.

만약 인증서 등록후 정상적으로 설정이 안되고 누락되었다면 아래 verify return:1 값이 아닌 error  호출됩니다.


 ### naver.com 정상 인증서 형태

ijeonghyeon-ui-iMac:$ openssl s_client -connect naver.com:443

CONNECTED(00000006)

depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 

verify return:1

depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1

depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Organization Validation Secure Server CA

verify return:1

depth=0 C = KR, postalCode = 13561, ST = Gyeonggi-do, L = Seongnam-si, street = "6, Buljeong-ro, Bundang-gu", O = NAVER Corp., OU = Information Security Team, OU = "Hosted by Korea Information Certificate Authority, Inc.", OU = SGC SSL Wildcard, CN = *.www.naver.com

verify return:1

---

Certificate chain

 0 s:/C=KR/postalCode=13561/ST=Gyeonggi-do/L=Seongnam-si/street=6, Buljeong-ro, Bundang-gu/O=NAVER Corp./OU=Information Security Team/OU=Hosted by Korea Information Certificate Authority, Inc./OU=SGC SSL Wildcard/CN=*.www.naver.com

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIGLTCCBRWgAwIBAgIRAMxCjJqjd4ZFm2/QKt/z9DcwDQYJKoZIhvcNAQELBQAw

gZYxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO

BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTwwOgYD

VQQDEzNDT01PRE8gUlNBIE9yZ2FuaXphdGlvbiBWYWxpZGF0aW9uIFNlY3VyZSBT

ZXJ2ZXIgQ0EwHhcNMTcwNDEyMDAwMDAwWhcNMTkwNTAxMjM1OTU5WjCCAR8xCzAJ

BgNVBAYTAktSMQ4wDAYDVQQREwUxMzU2MTEUMBIGA1UECBMLR3llb25nZ2ktZG8x

FDASBgNVBAcTC1Nlb25nbmFtLXNpMSMwIQYDVQQJExo2LCBCdWxqZW9uZy1ybywg

QnVuZGFuZy1ndTEUMBIGA1UEChMLTkFWRVIgQ29ycC4xIjAgBgNVBAsTGUluZm9y

 


### error 발생된 ssl 인증서 형태

CONNECTED(00000005)

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.hi-table.com

verify error:num=21:unable to verify the first certificate

verify return:1

 

 

4. 인증서 생성 날짜 확인

인증서 -> 세부사항 -> 유효한 날짜 확인을 해서 "다음전에 유효하지 않음" 보다 호출하는 쪽 서버의 OS 버전이 높아야 합니다.
호출하는 쪽 서버의 버전이 2010년 OS 일경우 인증서 생성 일이 2017이므로 정상적인 SSL 인증서 호출이 되지 않습니다..

74d2e5abe0eed97f34b722c174b7b528_1618810904_0751.png
 

 

 

 

 

이상으로 3가지 방법에 대해 SSL이 현재 어떤 상태인지 확인해보는 방법에 대해 설명해봤습니다.

 

댓글목록

등록된 댓글이 없습니다.

TECH 목록
번호 제목 작성자 작성일 조회수
158 OS OSworker 아이디로 검색 전체게시물 07-28 452
Red Hat Enterprise Linux 9 의 새로운기능에 대해 알아보기 part -1

카테고리 : OS

452 0
작성자 : OSworker 23/07/28
157 Middleware 미들웨어 아이디로 검색 전체게시물 07-24 784
(Oracle Cloud) OCI 자격증 기출문제 "OCI Architect Associate"

카테고리 : Middleware

784 2
작성자 : 미들웨어 23/07/24
156 OS osgusu 아이디로 검색 전체게시물 07-23 486
[Storage / Filesystem] VDO(Virtual Data Optimizer)란 무엇인가?

카테고리 : OS

486 0
작성자 : osgusu 23/07/23
155 Middleware 미들웨어 아이디로 검색 전체게시물 07-07 614
클라우드 네이티브란 무엇인가?

카테고리 : Middleware

614 0
작성자 : 미들웨어 23/07/07
154 Middleware 미들웨어 아이디로 검색 전체게시물 06-23 623
(Oracle Cloud) OCI 자격증 기출문제 "OCI Foundation" -2

카테고리 : Middleware

623 0
작성자 : 미들웨어 23/06/23
153 Middleware 미들웨어 아이디로 검색 전체게시물 06-12 890
(Oracle Cloud) OCI 자격증 접수 및 문제유형 "OCI Foundation" -1

카테고리 : Middleware

890 0
작성자 : 미들웨어 23/06/12
152 Middleware 미들웨어 아이디로 검색 전체게시물 05-23 768
(오픈소스 활용-20) apache, nginx (prefork & worker) 방식에 따른 MaxClient 적용방법

카테고리 : Middleware

768 0
작성자 : 미들웨어 23/05/23
151 OS leechanho 아이디로 검색 전체게시물 05-23 1012
[쉘스크립트] RHEL8 리눅스 보안설정 자동화 스크립트

카테고리 : OS

1,012 0
작성자 : leechanho 23/05/23
150 Middleware 미들웨어 아이디로 검색 전체게시물 05-10 1845
(오픈소스 활용-19) MobarXTerm 을 활용한 GUI(X11) 실행방법

카테고리 : Middleware

1,845 0
작성자 : 미들웨어 23/05/10
149 OS leechanho 아이디로 검색 전체게시물 04-24 839
[Linux] RHEL-HA_운영 메뉴얼

카테고리 : OS

839 0
작성자 : leechanho 23/04/24
Total 198건
게시물 검색

주식회사 클럭스| 대표 : 이찬호| 사업자등록번호 : 107-87-27655
주소 : 서울특별시 영등포구 국회대로 800, 여의도파라곤
E-mail : sales@chlux.co.kr
Copyright © 클럭스 www.chlux.co.kr All rights reserved.
상단으로Top