UCERT
  • 365일 24시간 지원, 유서트
  • 02-3442-7230(대표), 핫라인 번호 : 010-5027-7786(주말/공휴일)
  • dev_tech@ucert.co.kr

TLS/SSL(전체)

FAQ TOP 10
TLS/SSL 설치
CodeSign
TLS/SSL - CSR생성
프로토콜
전체
인증서문의
에러문의
Apache
IIS
Tomcat
WebtoB
Nginx
OHS
IHS
Exchange
Weblogic
Lighttpd
Websphere
Iplanet
Resin
JBoss

1. Apache 환경 설정 파일

vi /usr/local/apache/conf/httpd.conf
변경전 Timeout 300
변경후 Timeout 1200

클라이언트의 요청에 의해 서버와 연결이 되었을 때 클라이언트와  서버간에 아무런 메시지가 발생하지 않았을 때
오류로 처리될 시간을 초단위로 설정 합니다.
초기값은 1200이며 보통은 300초로 지정을 합니다. 네트웍의 속도가 나쁠수록 수치값은 높게 설정하는 것이 좋습니다..

변경전 KeepAliveTimeout 15
변경후 KeepAliveTimeout 30

아파치 서버는 같은 접속상태의 클라이언트에서 여기서 지정한 초만큼의 요청이 없었을 때 접속을 끊게 됩니다.

2. PHP 환경 설정 파일

vi /etc/php.ini

변경 전 session.gc_maxlifetime = 1440
변경 후 session.gc_maxlifetime = 10800

변경 전 session.cookie_lifetime = 0
변경 후 session.cookie_lifetime = 86400

변경 전 session.cache_limiter = nocache
변경 후 session.cache_limiter = nocache, must-revalidate

1. 에러 내용
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed
 at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:150)
 at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1584)
 at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:174)
 at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:168)
 at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:848)
 at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:106)
 at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:495)
 at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:433)
 at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:877)
 at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1089)
 at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1116)
 at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1100)
 at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:402)
 at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
 at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:133)
 at com.spit.sso.client.SpitSsoClient.sunLoginHttpByPdId14(Unknown Source)
 at ecss.sokbo.controller.SokbologinNewController.referenceData(Unknown Source)

2. 원인
인증서 만료일자가 지났을 경우 발생

3.해결방법
인증서를 갱신 합니다. 만료일이 지나지 않았는데 발생 할 경우 서버의 시간을 현재시간과 동기화 합니다.
시간 동기화 : /usr/bin/rdate -s time.bora.net && /sbin/clock -w

1. 에러 내용

[Thu Feb 17 23:37:42 2011] [error] (OS 10061)대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다.  : proxy: HTTP: attempt to connect to 127.0.0.1:8888 (localhost) failed
[Thu Feb 17 23:37:42 2011] [error] ap_proxy_connect_backend disabling worker for (localhost)
[Thu Feb 17 23:37:46 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:37:49 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:37:55 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:37:58 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:38:01 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:38:28 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:38:31 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:38:38 2011] [error] proxy: HTTP: disabled connection for (localhost)
[Thu Feb 17 23:39:06 2011] [error] (OS 10061)대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다.  : proxy: HTTP: attempt to connect to 127.0.0.1:8888 (localhost) failed
[Thu Feb 17 23:39:06 2011] [error] ap_proxy_connect_backend disabling worker for (localhost)
[Thu Feb 17 23:39:06 2011] [error] (OS 10061)대상 컴퓨터에서 연결을 거부했으므로 연결하지 못했습니다.  : proxy: HTTP: attempt to connect to 127.0.0.1:8888 (localhost) failed

2. 원인

mod_proxy 모듈 설정 오류

3. 해결 방법

8888포트가 127.0.0.1(롤백IP) Listen상태인지를 확인 후 mod_proxy를 재설정 합니다.

1. 현상

특정 조건에서 브라우저를 사용하여 IIS 웹 서버에 연결을 시도할 때 응답을 중지하도록 SSL 연결을 통해 나타날 수 있습니다.

2. 원인

서버와 라우터 간의 MTU 세그먼트 값 설정에 따른 리턴 값 처리로 인하여 SSL통신에 장애가 발생 할 수 있는 내용입니다.
[참고] http://support.microsoft.com/kb/285821 

3. 블랙홀 라우터 검증 방법

[참고] http://support.microsoft.com/kb/159211/EUC-KR 
[참고] http://support.microsoft.com/kb/314825


내부 보안 통제로 인한 ICMP 프로토콜 제어 시에도 위와 같은 문제가 발생 될 수 있습니다.

1. UPDATE 형식

ROOT CA 자동 업데이트는 WINHTTP서버를 통한 WINDOW 자동 UPDATE와 같은 형식으로 진행 됩니다.

2. UPDATE 설정 방법

- WINHTTP서버에서 WINDOW 자동 UPDATE설정
- 프로그램 추가/제거 -> WINDOWS구성요소 -> 루트인증서 업데이트 확인란에 선택

3. Proxy 사용 시 설정 방법

사용 포트는 80포트이며 프록시 설정 시 시작 -> 실행 -> proxycfg 를 통해 구성을 확인 할 수 있습니다.

4. UDDATE 실패 로그 확인

위 ROOT CA인증서 업데이트로 인해 문제가 발생 했을 시 응용 프로그램 로그에 이벤트 ID 8이 기록됩니다.

[참고] http://support.microsoft.com/kb/317541/ko

1. Exchange SSL 통신 시 지원 가능

SMTPS POP3S IMAP4 등의 SSL 보안 통신을 지원 합니다.

2. 공용 CA 사용 시 사용 가능한 기능

외부 서비스 시 Exchange ActiveSync Outlook Anywhere를 사용 할 수 없습니다.

- POP3 및 IMAP4 클라이언트의 Exchange 액세스
- Outlook Web Access
- 외부에서 Outlook 사용
- Exchange ActiveSync
- 자동 검색
- 도메인 보안

3. 결론

결과 적으로 Exchange 와 AD간 회사 네트워크 안에서는 자체 서명 인증서를 사용하셔도 무방합니다.
그러나 회사 외부에서 암호화를 필요로 하는경우 Exchange 접근 요소가 있을 경우 공용 CA를 배표하는 것이 좋습니다.

Error 내용

Tomcat 5.x SSL 통신 사용 시 GET 한글 파라미터 처리 방법

Error 발생이유

Tomcat 5.0 GET 한글깨짐 현상

해결방법

443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="config/www.ucert.co.kr.jks"
keystorePass="password"
clientAuth="false" sslProtocol="TLS" URIEncoding=EUC-KR/>

위와 내용의 분홍색 글씨와 같이 URIEncoding값을 지정 합니다.

1. cd c:\inetpub\adminscripts

2. 명령 프롬프트에서 다음 명령을 입력하여 기본 웹 사이트의 SSL 바인딩을 확인
Ex) adsutil get w3svc/1/SecureBindings

3. 바인딩 제거
Ex) adsutil set w3svc/1/SecureBindings ""

1. “https://...” 서버가 작동하고 있는지 확인 합니다.

2. SSL Port(기본적으로 443 Port)가 열려 있는지 확인합니다.

SSL 보안 인증서는 기본적으로 443 Port를 이용하게 되어 있습니다.

다른 Port를 사용하시려 한다면 443 Port 이후의 Port를 사용 하시면 되고, 방화벽에서 inbound 형식으로 열어 주셔야 합니다.

https://www.ucert.co.kr:44* (44*은 적용한 Port 번호 입니다.)

기술지원센터

02-512-5495

dev_tech@ucert.co.kr

|

365일 24시간 지원, 유서트