CRT 형태로 받아 IIS에서 인증서만 불러왔을 때 나오는 에러로 IIS 가이드를 참고하여 MMC 작업을 진행 해주셔야 합니다.
MMC 등록 후 인증서 정보를 확인 했을 때, 다음과 같은 메세지로 표기가 된 인증서로 교체 작업을 진행해야 합니다.
서버에 루트 및 체인 인증서가 포함되어 있지 않아 나오는 에러 문구로 저희 사이트의 IIS 가이드를 참고하여 MMC 작업을 진행 해주시면 해결이 됩니다.
IIS에서 인증서를 가져올 수 있지만 바인딩 작업 시 QnA Top10 질문에 "하나 이상의 중간 인증서.." 같은 에러가 발생 할 수 있기에
서버에 루트 및 체인 인증서를 넣어주는 MMC 작업을 권고 드립니다.
아래의 방법으로 확인이 가능 합니다.
1. 서버에서 확인 방법 입니다.
1) 인터넷 정보 서비스(IIS)관리 를 실행 합니다.
* 시작 - 관리도구 - 인터넷 정보 서비스(IIS)관리
2) 클릭하면 좌측 메뉴의 '인터넷 정보 서비스' 항목을 클릭 합니다.
* 클릭 후 오른쪽 상태창을 보면 버전정보가 나옵니다.
2. 윈도우 OS 버전 별로 IIS 버전을 구분 합니다.
- Windows Server 2003> IIS 6
- Windows Server 2008> IIS 7
- Windows Server 2012> IIS 8
- Windows Server 2016> IIS 10
4개 파일이 모두 합쳐진 PFX 확장자 형태의 인증서가 필요 합니다.
IIS 서버는 바인딩 편집에서 인증서 작업만 진행 해주시면 바로 적용이 되어 재기동은 필요하지 않습니다.
SSLv2에서 다수 취약점이 발견되었습니다.(RFC발표내용. http://tools.ietf.org/html/rfc6176)
때문에 SSLv3만 사용을 추천 드립니다. 아래 내용으로 설정하시면 SSLv3만 사용하실 수 있습니다.
SSLEngine on
SSLProtocol -all +SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "/usr/local/apache/ssl/www.ucert.co.kr.crt"
SSLCertificateKeyFile "/usr/local/apache/ssl/www.ucert.co.kr.key"
SSLCertificateChainFile "/usr/local/apache/ssl/www.ucert.co.kr.ca-bundle"
SSLCACertificateFile "/usr/local/apache/ssl/root.crt"
감사합니다. 좋은 하루 되세요.^^
Apache 시작 중 아래 로그 처리 방법에 대해 안내 드립니다.
[로그 내용]
[Fri Jun 24 14:52:10 2011] [warn] VirtualHost number1.ucert.co.kr:80 overlaps with VirtualHost number2.ucert.co.kr:80 , the first has precedence, perhaps you need a NameVirtualHost directive
[해결 방법]
NameVirtualHost *:80
을 선언 후
<VirtualHost number1.ucert.co.kr:80>나 <VirtualHost number2.ucert.co.kr:80>를
<VirtualHost *:80>로 수정 합니다.
감사합니다 좋은 하루 되세요.!
안녕하세요 유서트입니다.
이번 저희 고객님들 중 OHS서버 설정을 지원 드린적이 있었습니다.
내용은 아래와 같은 로그가 발생 되지만 실제로는 서버에는 문제가 발생하거나 하지 않았습니다.
[로그내용]
[Wed May 11 09:00:07 2011] [error] mod_ossl: SSL call to NZ function nzos_Handshake failed with error 29014 (www.ucert.co.kr:443, client 121.191.151.39)
[Wed May 11 09:00:07 2011] [error] mod_ossl: Unknown error
[로그원인]
신뢰 할 수 없는 인증서를 사용 중일 경우 발생
[실제원인]
이번 2048bit 고도화 작업이 진행 됨에 따라 모든 인증기관의 CA인증서가 업데이트 처리되어 저희 업체에서는 하위 웹 브라우저 및 모바일 기기 호환을 위해 기본적으로 cross인증서를 임포트하여 설치를 진행 드리고 있는데요~
위 내용이 실제 로그가 발생하게 된 원인이 되었습니다.
접속 사용자 PC에 이미 업데이트 된 CA인증서가 설치 되어있을 경우 cross인증서로 Chan화 시킨 저희 인증서를 무시하고 접속자 사용자
PC에 업데이트 된 CA인증서를 먼저 불러와 위 관련 로그가 발생 되고 있었습니다.^^;
OHS사용자 분들 중 관련 로그가 발생 된다면 cross인증서를 사용 중 인지 확인 해 보시고 cross인증서를 사용 중에 있으시다면
이 로그는 corss인증서가 정상적으로 잘 설치되었다고 나오는 로그이니 걱정을 안하셔도 될 것 같습니다~
감사합니다 좋은 하루 되세요.!
안녕하세요 유서트입니다.
얼마 전에 lighttpd 를 설치하는 작업이 있어서 정리 해 보았습니다.
SSL 설정 관련은 openssl을 설치하고 라이브러리 참조하여 lighttpd 컴파일 시 옵션을 같이 넣어주시면 됩니다.
[회사 규정상 SSL 설치 관련은 공유 드릴 수 없어 SSL 내용만 제외 시키고 작성 하였습니다.]
추가 . PCRE 설치
[root@localhost ~]# yum install pcre-devel
1. Zlib 설치
[root@localhost ~]# cd /usr/local/src
[root@localhost src]# wget http://zlib.net/fossils/zlib-1.2.3.tar.gz
[root@localhost src]# tar zxvf zlib-1.2.3.tar.gz
[root@localhost src]# tar xvfz zlib-1.2.3.tar.gz
[root@localhost src]# cd zlib-1.2.3
[root@localhost zlib-1.2.3]# ./configure --shared
[root@localhost zlib-1.2.3]# make
[root@localhost zlib-1.2.3]# make install
2. Lighttpd 설치
[root@localhost src]# wget http://www.lighttpd.net/download/lighttpd-1.4.19.tar.gz
[root@localhost src]# tar xvfz lighttpd-1.4.19.tar.gz
[root@localhost src]# cd lighttpd-1.4.19
[root@localhost lighttpd-1.4.19]# ./configure \
--prefix=/usr/local/lighttpd \
--enable-shared \
--with-ldap \
--with-pcre \
--with-zlib \
--without-bzip2
[root@localhost lighttpd-1.4.19]# make
[root@localhost lighttpd-1.4.19]# make install
[root@localhost lighttpd-1.4.19]# pwd
[root@localhost lighttpd-1.4.19]# /usr/local/src/lighttpd-1.4.19
[root@localhost lighttpd-1.4.19]# sed -e 's/FOO/lighttpd/g' doc/rc.lighttpd.redhat > /etc/init.d/lighttpd
[root@localhost lighttpd-1.4.19]# vi /etc/rc.d/init.d/lighttpd
LIGHTTPD_CONF_PATH="/usr/local/lighttpd/conf/lighttpd.conf" 로 수정
lighttpd="/usr/local/lighttpd/sbin/lighttpd" 로 수정
[root@localhost lighttpd-1.4.19]# chmod 755 /etc/rc.d/init.d/lighttpd
[root@localhost lighttpd-1.4.19]# vi /etc/sysconfig/lighttpd
LIGHTTPD_CONF_PATH=/usr/local/lighttpd/conf/lighttpd.conf
[root@localhost lighttpd-1.4.19]# useradd -s /sbin/nologin www
[root@localhost lighttpd-1.4.19]# cd /usr/local/lighttpd/
[root@localhost lighttpd]# mkdir conf logs htdocs
[root@localhost lighttpd]# touch logs/error_log
[root@localhost lighttpd]# touch logs/access_log
[root@localhost lighttpd]# chown -Rf www.www /usr/local/lighttpd/logs /usr/local/lighttpd/htdocs
[root@localhost lighttpd]# chmod 100 logs/
[root@localhost lighttpd]# chmod 711 conf/
[root@localhost lighttpd]# cd conf/
[root@localhost conf]# vi lighttpd.conf
복사하여 붙여 넣기
----------------------------------------------------------------------------------
# lighttpd configuration file
#
# use it as a base for lighttpd 1.0.0 and above
#
# $Id: lighttpd.conf,v 1.7 2004/11/03 22:26:05 weigon Exp $
############ Options you really have to take care of ####################
## modules to load
# at least mod_access and mod_accesslog should be loaded
# all other module should only be loaded if really neccesary
# - saves some time
# - saves memory
server.modules = (
# "mod_rewrite",
# "mod_redirect",
# "mod_alias",
"mod_access",
# "mod_cml",
# "mod_trigger_b4_dl",
# "mod_auth",
# "mod_status",
# "mod_setenv",
# "mod_fastcgi",
# "mod_proxy",
# "mod_simple_vhost",
# "mod_evhost",
# "mod_userdir",
# "mod_cgi",
# "mod_compress",
# "mod_ssi",
# "mod_usertrack",
# "mod_expire",
# "mod_secdownload",
# "mod_rrdtool",
"mod_accesslog" )
## a static document-root, for virtual-hosting take look at the
## server.virtual-* options
server.document-root = "/usr/local/lighttpd/htdocs/"
## where to send error-messages to
server.errorlog = "/usr/local/lighttpd/logs/error_log"
# files to check for if .../ is requested
index-file.names = ( "index.php", "index.html", "index.htm", "default.htm" )
## set the event-handler (read the performance section in the manual)
# server.event-handler = "freebsd-kqueue" # needed on OS X
# mimetype mapping
mimetype.assign = (
".pdf" => "application/pdf",
".sig" => "application/pgp-signature",
".spl" => "application/futuresplash",
".class" => "application/octet-stream",
".ps" => "application/postscript",
".torrent" => "application/x-bittorrent",
".dvi" => "application/x-dvi",
".gz" => "application/x-gzip",
".pac" => "application/x-ns-proxy-autoconfig",
".swf" => "application/x-shockwave-flash",
".tar.gz" => "application/x-tgz",
".tgz" => "application/x-tgz",
".tar" => "application/x-tar",
".zip" => "application/zip",
".mp3" => "audio/mpeg",
".m3u" => "audio/x-mpegurl",
".wma" => "audio/x-ms-wma",
".wax" => "audio/x-ms-wax",
".ogg" => "application/ogg",
".wav" => "audio/x-wav",
".gif" => "image/gif",
".jpg" => "image/jpeg",
".jpeg" => "image/jpeg",
".png" => "image/png",
".xbm" => "image/x-xbitmap",
".xpm" => "image/x-xpixmap",
".xwd" => "image/x-xwindowdump",
".css" => "text/css",
".html" => "text/html",
".htm" => "text/html",
".js" => "text/javascript",
".asc" => "text/plain",
".c" => "text/plain",
".cpp" => "text/plain",
".log" => "text/plain",
".conf" => "text/plain",
".text" => "text/plain",
".txt" => "text/plain",
".dtd" => "text/xml",
".xml" => "text/xml",
".mpeg" => "video/mpeg",
".mpg" => "video/mpeg",
".mov" => "video/quicktime",
".qt" => "video/quicktime",
".avi" => "video/x-msvideo",
".asf" => "video/x-ms-asf",
".asx" => "video/x-ms-asf",
".wmv" => "video/x-ms-wmv",
".bz2" => "application/x-bzip",
".tbz" => "application/x-bzip-compressed-tar",
".tar.bz2" => "application/x-bzip-compressed-tar"
)
# Use the "Content-Type" extended attribute to obtain mime type if possible
#mimetype.use-xattr = "enable"
## send a different Server: header
## be nice and keep it at lighttpd
server.tag = "lighttpd/1.4.19"
#### accesslog module
accesslog.filename = "/usr/local/lighttpd/logs/access_log"
## deny access the file-extensions
#
# ~ is for backupfiles from vi, emacs, joe, ...
# .inc is often used for code includes which should in general not be part
# of the document-root
url.access-deny = ( "~", ".inc" )
$HTTP["url"] =~ "\.pdf$" {
server.range-requests = "disable"
}
##
# which extensions should not be handle via static-file transfer
#
# .php, .pl, .fcgi are most often handled by mod_fastcgi or mod_cgi
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )
######### Options that are good to be but not neccesary to be changed #######
## bind to port (default: 80)
server.port = 80
## bind to localhost (default: all interfaces)
#server.bind = "grisu.home.kneschke.de"
## error-handler for status 404
#server.error-handler-404 = "/error-handler.html"
#server.error-handler-404 = "/error-handler.php"
## to help the rc.scripts
#server.pid-file = "/var/run/lighttpd.pid"
###### virtual hosts
##
## If you want name-based virtual hosting add the next three settings and load
## mod_simple_vhost
##
## document-root =
## virtual-server-root + virtual-server-default-host + virtual-server-docroot
## or
## virtual-server-root + http-host + virtual-server-docroot
##
#simple-vhost.server-root = "/home/weigon/wwwroot/servers/"
#simple-vhost.default-host = "grisu.home.kneschke.de"
#simple-vhost.document-root = "/pages/"
##
## Format: <errorfile-prefix><status-code>.html
## -> ..../status-404.html for 'File not found'
#server.errorfile-prefix = "/home/weigon/projects/lighttpd/doc/status-"
## virtual directory listings
#dir-listing.activate = "enable"
## enable debugging
#debug.log-request-header = "enable"
#debug.log-response-header = "enable"
#debug.log-request-handling = "enable"
#debug.log-file-not-found = "enable"
### only root can use these options
#
# chroot() to directory (default: no chroot() )
#server.chroot = "/"
## change uid to <uid> (default: don't care)
server.username = "www"
## change uid to <uid> (default: don't care)
server.groupname = "www"
#### compress module
#compress.cache-dir = "/tmp/lighttpd/cache/compress/"
#compress.filetype = ("text/plain", "text/html")
#### proxy module
## read proxy.txt for more info
#proxy.server = ( ".php" =>
# ( "localhost" =>
# (
# "host" => "192.168.0.101",
# "port" => 80
# )
# )
# )
#### fastcgi module
## read fastcgi.txt for more info
## for PHP don't forget to set cgi.fix_pathinfo = 1 in the php.ini
#fastcgi.server = ( ".php" =>
# ( "localhost" =>
# (
# "socket" => "/tmp/php-fastcgi.socket",
# "bin-path" => "/usr/local/bin/php"
# )
# )
# )
#### CGI module
#cgi.assign = ( ".pl" => "/usr/bin/perl",
# ".cgi" => "/usr/bin/perl" )
#
#### SSL engine
#ssl.engine = "enable"
#ssl.pemfile = "C:/lighttpd/sbin/server.pem"
#### status module
#status.status-url = "/server-status"
#status.config-url = "/server-config"
#### auth module
## read authentication.txt for more info
#auth.backend = "plain"
#auth.backend.plain.userfile = "lighttpd.user"
#auth.backend.plain.groupfile = "lighttpd.group"
#auth.backend.ldap.hostname = "localhost"
#auth.backend.ldap.base-dn = "dc=my-domain,dc=com"
#auth.backend.ldap.filter = "(uid=$)"
#auth.require = ( "/server-status" =>
# (
# "method" => "digest",
# "realm" => "download archiv",
# "require" => "user=jan"
# ),
# "/server-config" =>
# (
# "method" => "digest",
# "realm" => "download archiv",
# "require" => "valid-user"
# )
# )
#### url handling modules (rewrite, redirect, access)
#url.rewrite = ( "^/$" => "/server-status" )
#url.redirect = ( "^/wishlist/(.+)" => "http://www.123.org/$1" )
#### both rewrite/redirect support back reference to regex conditional using %n
#$HTTP["host"] =~ "^www\.(.*)" {
# url.redirect = ( "^/(.*)" => "http://%1/$1" )
#}
#
# define a pattern for the host url finding
# %% => % sign
# %0 => domain name + tld
# %1 => tld
# %2 => domain name without tld
# %3 => subdomain 1 name
# %4 => subdomain 2 name
#
#evhost.path-pattern = "/home/storage/dev/www/%3/htdocs/"
#### expire module
#expire.url = ( "/buggy/" => "access 2 hours", "/asdhas/" => "access plus 1 seconds 2 minutes")
#### ssi
#ssi.extension = ( ".shtml" )
#### rrdtool
#rrdtool.binary = "/usr/bin/rrdtool"
#rrdtool.db-name = "/var/www/lighttpd.rrd"
#### setenv
#setenv.add-request-header = ( "TRAV_ENV" => "mysql://user@host/db" )
#setenv.add-response-header = ( "X-Secret-Message" => "42" )
## for mod_trigger_b4_dl
# trigger-before-download.gdbm-filename = "/home/weigon/testbase/trigger.db"
# trigger-before-download.memcache-hosts = ( "127.0.0.1:11211" )
# trigger-before-download.trigger-url = "^/trigger/"
# trigger-before-download.download-url = "^/download/"
# trigger-before-download.deny-url = "http://127.0.0.1/index.html"
# trigger-before-download.trigger-timeout = 10
## for mod_cml
## don't forget to add index.cml to server.indexfiles
# cml.extension = ".cml"
# cml.memcache-hosts = ( "127.0.0.1:11211" )
#### variable usage:
## variable name without "." is auto prefixed by "var." and becomes "var.bar"
#bar = 1
#var.mystring = "foo"
## integer add
#bar += 1
## string concat, with integer cast as string, result: "www.foo1.com"
#server.name = "www." + mystring + var.bar + ".com"
## array merge
#index-file.names = (foo + ".php") + index-file.names
#index-file.names += (foo + ".php")
#### include
#include /etc/lighttpd/lighttpd-inc.conf
## same as above if you run: "lighttpd -f /etc/lighttpd/lighttpd.conf"
#include "lighttpd-inc.conf"
#### include_shell
#include_shell "echo var.a=1"
## the above is same as:
#var.a=1
----------------------------------------------------------------------------------
여기까지
3. lighttpd 시작
[root@localhost conf]# /etc/rc.d/init.d/lighttpd start
lighttpd (을)를 시작 중: [ OK ]
감사합니다. 좋은 하루 되세요.!
기술지원센터
02-512-5495
dev_tech@ucert.co.kr
|
365일 24시간 지원, 유서트