UCERT
  • 365일 24시간 지원, 유서트
  • 02-3442-7230(대표), 핫라인 번호 : 010-5027-7786(주말/공휴일)
  • dev_tech@ucert.co.kr

TLS/SSL(전체)

FAQ TOP 10
TLS/SSL 설치
CodeSign
TLS/SSL - CSR생성
프로토콜
전체
인증서문의
에러문의
Apache
IIS
Tomcat
WebtoB
Nginx
OHS
IHS
Exchange
Weblogic
Lighttpd
Websphere
Iplanet
Resin
JBoss
한 서버에 여러 개의 도메인을 사용하는 경우 SSL 설치가 가능합니다.
다만 한 서버에 여러 개의 도메인 설치하여 각 도메인이 같은 포트 사용을 원하실 경우 멀티 또는 와일드 인증서로 발급하여 적용 하는 것을 권장드립니다.

SSL 인증서는 도메인 기준으로 발급 되기에 ip가 변경 되어도 영향을 받지 않습니다.

도메인은 동일하나 서버가 이전하여 ip가 변경 됐다면, 새로운 서버에 기존처럼 인증서 설치를 해주시면 됩니다.

SSL 포트는 443 이외 다른 포트를 사용할 수 있습니다. 
다만 443 이외 포트는 URL 입력시 포트번호와 함께 입력 해 주셔야 합니다.
참고로 포트변경시 방화벽에서의 오픈작업이 필요할 수 있습니다.

EX) 447 포트로 SSL 인증서를 설치 하셨다면, https://(domain):447 형태로 접속이 필요 합니다.
우선, https 통신 여부 확인이 필요 합니다. 
https 접속을 했음에도 열쇠마크가 안나오는 경우 혼합된 컨텐츠(Mixed Content) 관련 내용으로 소스 수정이 필요 합니다. 
브라우저에서는 https로 암호화 통신을 하지만 소스에서는 http 일반 통신을 하여 해당 경고창이 발생 합니다. 
확인 방법은 다음과 같습니다.

1. "Mixed content"오류 확인방법 : Chrome 브라우저 접속->개발자도구(F12)-콘솔)-> Console 탭에서 URL 확인
2. Mixed content 관련 내용으로 나오는 http URL을 https로 수정이 필요 합니다.

※ 열쇠마크가 표시 안 된다고 하여 암호화 통신이 안 되는 것은 아닙니다.
서버 내에서 인증서 설치 확인 및 설치 된 포트의 LISTEN 상태를 확인 해주셔야 합니다.
서버에서 설치 및 포트 확인이 됐다면, 외부에서 설치 된 포트에 대하여 방화벽 오픈 여부를 확인 해주셔야 합니다.
추가적으로 기본 SSL 포트(443) 외의 포트로 설치를 해주셨다면, 다음과 같은 형태로 접속 및 확인을 해주셔야 합니다.
EX) 447 포트로 SSL 인증서를 설치 하셨다면, https://(domain):447 형태로 접속이 필요 합니다.
현재 모든 인증기관은 인증서 발급 전에 CAA 레코드를 확인하기 때문에 CAA 레코드를 설정하지 않은 도메인에 대해서도 오류가 발생할 수 있습니다.
인증기관에서 CAA 오류가 발생하면 인증서 발급이 중단되고, CAA 오류 해결을 요청합니다.

CAA 오류가 발생할 수 있는 경우는 다음과 같습니다.

1. SERVFAIL
'SERVFAIL' 오류는 일반적인 오류 중 하나입니다. 이 오류는 대부분 DNSSEC 유효성 검사 실패를 나타냅니다.
'SERVFAIL' 오류가 발생하면 dnsviz.net과 같은 DNSSEC 디버거를 사용해야 합니다.
이 오류는 보통 "CAA 레코드를 확인할 수 없는 경우" 이므로, 해외 방화벽이 있거나, 해외 접속이 차단되어 인증기관에서 CAA 레코드를 확인할 수 없는 경우에도 나타납니다.

2. Timeout
CAA는 시간 초과를 쿼리합니다. 일반적으로 네임 서버가 알 수 없는 쿼리 유형으로 DNS 질의를 삭제하도록 잘못 구성된 방화벽을 가지고 있을 때 발생합니다.
이런 경우, DNS 공급자에게 지원을 문의를 제출하고 방화벽이 구성되어 있는지 확인하셔야 합니다. 
CAA는 사이트 소유자가 도메인 이름을 포함한 인증서를 발급할 수 있는 CA (인증 기관)를 지정할 수 있도록 하는 DNS 레코드 유형입니다.
CA가 의도하지 않은 인증서 오용의 위험을 줄이기 위해 RFC 6844에 의해 2013년에 표준화 되었으며, 기본적으로 모든 공용 CA는 공용 DNS의 모든 도메인 이름에 대한 인증서를 발급할 수 있습니다

다음의 경우, 해당 도메인 또는 하위 도메인에 대한 인증서 발급하는 것이 금지됩니다.

1. CA가 CAA레코드를 가지고 있는 도메인에 대한 인증서를 받은 경우
2. CA가 허가된 발급자로 나열되지 않은 경우

CA에서 CAA레코드를 확인 및 검사하지만, CAA를 사용하는 것은 도메인 소유주에게는 선택사항입니다.
구현하려는 경우 여러 CA를 지정할 수 있으며, 다음은 CA에 대한 처리 규칙입니다.

◆ CAA 레코드 없음(No CAA record) : CA 발급가능
◆ CAA 레코드를 포함한 CA(CAA record includes CA) : CA 발급가능
◆ CAA레코드이지만 CA는 포함하지 않음(CAA record, but does not include CA) : CA발급 불가능

◎ issue : CA가 인증서를 발급할 수 있도록 허용( Issuewild가 제한하지 않는 한 와일드 카드 인증서 포함)

◎ Issuewild : CA가 와일드카드 인증서를 발급 할 수 있지만, 와일드카드가 아니면 발급이 불가능

빠른 검사를 통해, https://crt.sh/를 사용하여 도메인에 발급된 인증서를 쿼리합니다.
그러면 해당 도메인의 발급 CA 목록을 반환 할 수 있습니다. 
인증서의 투명성은 SSL인증서를 모니터링 하기 위한 개방형 프레임 워크입니다.
도메인 소유자는 자신의 도메인에 대한 인증서 발급을 모니터링 하고 악용되는 인증서를 감지하는 것을 발견할 수 있습니다.


CT를 사용하면 모든 인증서가 공개되어 전체적으로 웹 PKI 에코 시스템에 대한 통찰력과 투명성을 높여줍니다.
인증서 투명성 프로젝트는 다음 세가지 목표를 달성하는 것을 목적으로 합니다.


1. CA가 해당 도메인의 소유자에게 인증서를 표시하지 않고 도메인에 대한 SSL인증서를 발급을 불가능하게 합니다. (또는 매우 어렵게 만듭니다.)

2. 도메인 소유자 또는 CA가 인증서가 실수로 또는 악의적으로 발급되었는가를 확인할 수 있는 모니터링 시스템을 제공합니다.

3. 실수 또는 악의적으로 발급된 인증서로 사용자를 속이는 것을 방지합니다.


인증서의 투명성 프레임워크는 허위 또는 악의적 인증서가 발견될 수 있는 기존 시스템에 비해 빠르고 효율적으로 탐지될 수 있습니다.
의심스러운 인증서를 조기에 탐지하면 CA와 도메인 소유자는 모두 신속하게 대응하고 인증서를 철회 할 수 있습니다. 

 
인증서는 WEB 혹은 WAS 둘중에 원하시는 프로세스에 설치를 해주시면 됩니다.

다만, 보통의 경우 WEB에 설치를 진행하며 80포트를 이용하는 웹서버에 주로 설치를 진행합니다.

인증서는 WEB 혹은 WAS 둘중에 원하시는 프로세스에 설치를 해주시면 됩니다.

 

다만, 보통의 경우 WEB에 설치를 진행하며 80포트를 이용하는 웹서버에 주로 설치를 진행합니다.

기술지원센터

02-512-5495

dev_tech@ucert.co.kr

|

365일 24시간 지원, 유서트