5주-5일차 (HTTPS , FTPS )

WINDOWS

HTTPS

인증서 (HTTPS : 443 PORT)

공인인증서 - 신뢰할 수 있는 인증 기관에서 발급한 인증서

    - 루트인증 기관 밑으로 여러 인증기관이 다시 인증하는 형태

    - 문제점 인증서가 로컬의 C:\NPKI\ 인증서에 저장이 되어있어서 전세계 인증이 안됨

  => 전세계 표준은 브라우저에 저장하는 것 이다.

루트 인증기관 - KISA

사설인증서 - 신뢰할 수 없는 인증기관에서 발급한 인증서입니다.

    - 사용하는데 지장은 없다. (종단간 인증 등등)

    - 회사 내부등에서 사용하는 등의 목적으로는 지장이 전혀 없음

구축

1. IIS 설치

2. 전역설정에서 인증서 

    자체 서명된 인증서 만들기

3. 인증서를 부여하고자 하는 웹사이트 우클릭 바인딩편집

4.  추가 => 종류 https => SSL인증서 에서 인증하고자하는 웹사이트 선택 확인

5. 접속하는 곳에서 https로 접속 (443 PORT)

    

FTPS

구축

1. FTP 사이트 추가

2. 인증서 필요 - 위에서 만든 사설 인증서 선택

(필요 - 반드시 인증서가 있어야함

허용 - 없어도 접속을 허용함)

LINUX

설치

yum install -y mod_ssl openssl

SSL 문서 만들기

1. 필요한 소프트웨어

SSL 암호화를 위해 OpenSSL과 mod_ssl이 필요하다. 

# yum install mod_ssl openssl

2. self-signed certificate 생성

OpenSSL

# private key 생성

openssl genrsa -out ca.key 1024

#CSR 생성

openssl req -new -key ca.key -out ca.csr

# Self signed key 생성

openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

다음 위치에 files을 복사한다.

# cp ca.crt /etc/pki/tls/certs

# cp ca.key /etc/pki/tls/private/ca.key

# cp ca.csr /etc/pki/tls/private/ca.csr

구축

1. httpd 구축

openssl genrsa -out ca.key 2048

openssl req -new -key ca.key -out ca.csr

Country Name (2 letter code) [XX]:KO

State or Province Name (full name) []:Seoul  

Locality Name (eg, city) [Default City]:Jongro-gu

Organization Name (eg, company) [Default Company Ltd]:KGITBANK 

Organizational Unit Name (eg, section) []:Cloud

Common Name (eg, your name or your server's hostname) []:jjy

Email Address []:galid1@naver.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:kgitbank

openssl x509 -req -days 1825 -in ca.csr -signkey ca.key -out -ca.crt  (x509 - 표준 방식)

4.  SSL VirtualHost 추가

SSL은 443 포트를 사용하기 때문에 이를 위한 Virtualhost를 추가한다.

httpd 설정 파일을 편집기로 열어 마지막 위치에 아래 내용을 입력한다. httpd.conf 파일 내에 예제로 적혀있는 내용이 있으니 복사&붙여넣기 하면 된다.

 vi /etc/httpd/conf/httpd.conf

# SSL Virtual host add

NameVirtualHost *:443

# SSL Virtual host add

<VirtualHost *:443>

    SSLEngine on

    SSLCertificateFile /etc/pki/tls/certs/ca.crt

    SSLCertificateKeyFile /etc/pki/tls/private/ca.key

    ServerAdmin root@babo.com

    DocumentRoot /ssl/

    ServerName ssl.babo.com

#    ErrorLog logs/ssl_starkapin_com_error_log

#    CustomLog logs/ssl_starkapin_com_error_log common

</VirtualHost>