자주묻는질문(FAQ)
Microsoft IIS 5.x / 6.x 버젼에서 인증서 생성 및 설치안내 메뉴얼
- 관리자
- 2016.12.05 11:12:13
- 2,279
이 문서는 IIS 5.0 을 바탕으로 생성되었으며 IIS 5.0 을 이용한 SSL 설정 가이드 입니다.
SSL을 사용하기 위하여 공인 인증키가 사용자 컴퓨터에 있어야 합니다.
공인 인증키는 '새 인증서 만들기'를 이용하여 개인키 생성후 CSR(Certificate Signing Request)를 인증기관에 보냅니다.
사용자는 인증 기관에서 확장자.crt 의 파일을 받아 서버에 설치 하게 됩니다.
SSL 사용을 위해 개인키 생성부터 서버에 공인 인증키를 접목 시키는 과정을 보여드리겠습니다.
* 특히나, 인증서 설치후 백업은 절대 필요합니다.
※ 주의하셔야 할 사항
= 하나의 사이트에 여러개의 도메인으로 포워딩 되어 있어도 인증서는 사이트 하나에 한개만 적용 가능합니다.
(ex:www.abc.com 인증서 구입 받은후 https://abc.com 접속시 인증서 오류 발생)
해결 방안: 보안서버구축 가이드 읽어 보시면 소스 수정(리다이렉션, 보안로그인 창 생성) 및 도메인별 사이트 분활 셋팅 으로 오류 해결 가능
= 한사이트에 다중으로 인증서 적용은 불가능하게 되어 있습니다.
= SecureBindings 역시 한사이트에 한개의 도메인만 가능합니다. 이유:식별자값이 하나만존재
= IIS 5.0 버전 및 싱글 도메인 인증서 는 SecureBindings 기능을 지원하지 않아 사이트의 포트를 각각 다르게 주셔야 합니다.
= 포트를 다르게 주었을 경우 (https://도메인주소:포트번호) 확인하셔야 합니다.
※SecureBindings 기능 (멀티 도메인 인증서 설치 안내 참고)
[1] 개인키 생성과 CSR 파일 생성
1. 시작 -> 프로그램 -> 관리도구 -> 인터넷 서비스 관리자
2. '인증받을 웹 사이트'로 이동하여 '등록 정보'를 클릭 합니다.
3. '등록 정보' 화면에서 '디렉토리 보안'을 클릭 후 '서버 인증서'를 클릭합니다.
4. '웹서버 인증서 마법사'를 시작합니다. '다음'을 선택합니다.
5. '새 인증서를 만듭니다' 를 체크 후 '다음'을 선택합니다.
6. '요청을 지금 준비하지만 나중에 보냅니다' 를 체크 후 '다음'을 선택합니다.
CSR 파일 생성을 위한 옵션 입니다.
7. 새 인증서 이름을 정해주기 위해 적당한 단어를 넣어 줍니다.
개인키 인증 '비트 길이'를 2048로 설정 합니다.
대부분의 인증기관에서는 2048비트 암호화 키 생성을 권장합니다.
8. '조직'과 '조직구성 단위'
조직(회사)명, '조직구성 단위(부서명)을 영문으로 입력합니다.
인증받기위한 도메인의 등록 정보를 반드시 참조하여 입력해야 합니다.
등록정보 확인은 whois.co.kr , Network Solutions, KRNIC 등에서 확인할 수 있습니다.
입력란에 특수 문자 (< > ~ ! @ # $ % ^ * / ( ) ?) 는 사용 할 수 없습니다.
9. 인증 받을 도메인 이름을 입력 합니다.
* 발급 완료된 인증서는 재발급 또는 변경이 불가하므로 CSR 생성시 절대 주의 바랍니다.
* "일반이름" 의 secure.nanuminet.com 과 nanuminet.com 은 서로 다른 별개의 인증서가 되므로, 실제 적용될 웹사이트 도메인주소와 동일하게 입력해야 합니다.
10. 지역 정보를 입력합니다.
국가/지역(국가 코드) : KR
시/도 : Seoul
구/군 : Secho
11. CSR(Certificate Signing Request)인증서 요청 파일 이름을 입력합니다.
12. 인증서 요청 파일 정보를 입력한 내용이 맞는지 확인합니다.
13. '마침'을 클릭한 후 저장된 곳에 파일을 확인합니다. C:certreq.txt
14. certreq.txt 파일을 열어 모든 문장을 복사합니다.
처음 -BEGIN NEW CERTIFICATE REQUEST 부터 마지막 -END NEW CERTIFICATE REQUESET
복사 합니다.
15. CSR(Certificate Signing Request)접수를 위해 문저 전체를 복사한 파일을 인증기관의 메일로
붙여 넣기 하여 보냅니다.
인증 기관의 인증 절차가 끝나면, 인증 기관의 답신 메일로(인증 기관에 따라 다를수 있음) 확장자가 .crt 인 파일을 받을 수 있습니다.
* Multi-Domain SSL 의 경우 1개의 웹 사이트에서만 CSR 값 을 생성합니다.
[2] 웹 서버에 인증서 설치 하기
1. 인증 기관에서 받은파일(도메인 .crt)을 서버에 복사 합니다.
[rapidssl.com 에서 파일을 발급할때는 1개의 파일이 고객님 메일로 첨부 되어 갑니다.]
♣ 도메인.crt
※멀티도메인 ssl 일경우 cer 파일한개 첨부.
2. 시작--> 프로그램 --> 관리도구 --> 인터넷 서비스 관리자를 선택합니다.
3. 등록할 웹 사이트의 등록 정보를 확인합니다.
4. '디렉터리 보안'에 '서버 인증서'를 선택 합니다.
5. '웹 서버 인증서 마법사'가 나타나면 '다음'을 선택 합니다.
6. '보류 중인 요청을 처리한 다음 인증서를 설치합니다.'를 선택합니다.
이미 인증서가 설치된 서버에서는 다음과 같은 메세지가 나타납니다. (처음 인증서를 설치하므로
자세한 설명은 하지 않습니다.)처음 설치자는 해당되지 않습니다.
※ 멀티도메인경우 최초 인증서 적용후 추가적용시 기존인증서 가지고오기로 적용하시면 됩니다.
7. 인증 기관에서 받은 파일을 불러옵니다.
인증 기관에서 받은파일(도메인 .crt)
8. 인증서에 대한 상세 정보창이 아래와 유사하게 나타납니다. (보안을 위해 상세내용 기제가 삭제되어 있습니다.)
9. 인증서 마법사를 완료했다는 창이 나타납니다.
10. 다시 인증할 도메인의 등록 정보 를 보면 SSL포트 란이 활성화 된것을 볼 수 있습니다.
11. SSL포트 란에 443 을 입력하고 '확인'을 선택합니다. 방화벽이 설정되어 있는 경우 Inbound 포트를 활성화 시켜줍니다.
루트 CA인증서를 설치하기 위해서 Comodossl측에서 받은 인증서 파일을 설치 합니다.
인증서 파일은 총 3개의 인증서 파일이 메일에 첨부되어 있습니다.
♣ AddTrustExternalCARoot.crt
♣ UTNAddTrustServerCA.crt
♣ 사용자파일.crt
12.시작 --> 실행 --> mmc 를 입력 후 확인을 선택 합니다.
13.'콘솔' 창이 활성화 됩니다.
14.'콘솔'에 '스냅인 추가/제거'를 선택 합니다.
15.'스냅인 추가/제거'창에서 '추가'를 클릭합니다.
16.'독립 실행형 스냅인 추가' 에서 '인증서'를 선택 후 추가 클릭 합니다.
17.'인증서 스냅인'에서 '컴퓨터 계정'을 선택 후 '다음'을 클릭 합니다.
18.'컴퓨터 선택' 에서 '로컬 컴퓨터:(이 콘솔이 실행되고 있는 컴퓨터)'를 선택 후 '마침'을 클릭합니다.
19.'독립 실행형 스냅인 추가'에서 '닫기'를 클릭하여 창을 닫습니다.
20.'스냅인 추가/제거'에서 확인을 눌러 창을 닫습니다.
21.'신뢰할 수 있는 루트 인증 기관'->'인증서'에 오른쪽 마우스를 클릭하여 '모든 작업'->'가져오기'를 클릭합니다.
22.'인증서 가져오기 마법사'가 나타납니다.
23.'찾아보기'를 클릭하여 인증서 중 하나의 경로를 지정합니다.
24.'모든 인증서를 다음 저장소에 저장'을 체크 하고 '다음'을 클릭합니다.
25.'인증서 가져오기 마법사'를 완료 하였습니다.
26.'완료'메세지 입니다.
루트 인증서가 완료되면 아래 창에 'AddTrust External CA Root'가 등록이 되었습니다.
src="/add/img/ssl23-8.gif">
이와 같은 방법으로 나머지 파일 UTNAddTrustServerCA.crt 를 같은 방법으로 등록합니다.
27.모든 사항이 적용된후 IIS 를 다시 시작합니다.
C:>iisreset/restart
-->
SSL 이 모두 적용 되었습니다. 이제 사용자의 페이지는 http:// 와 https:// 모두 사용이 가능합니다.
회원 가입등과 같은 중요 정보의 보안이 요구되는 페이지는 https:// 로 접속하여 보안에 더욱 주의하시길 바랍니다.
*인증서 설치후에는 필히! 백업(개인키포함)을 한후 별도의 안전한 곳에 보관을 해야 합니다. 인증서을 백업하지 않은 상태에서 서버 재세팅시(개인키변경) 복구가 되지 않으므로
인증서를 백업해야 하며, 기존 발급된 인증서로는 재설치가 되지 않습니다.
(*인증서 발급후 5일 이후에는 재발급이 되지 않으므로 절대 주의가 필요합니다.!)
[3] 보안 인증키 백업
보안 인증키 백업을 통하여 만약의 사태를 대비 하시길 바랍니다.
1. 시작 --> 실행 --> mmc 를 입력 후 확인을 선택 합니다.
2. '콘솔' 창이 활성화 됩니다.
3. '콘솔'에 '스냅인 추가/제거'를 선택 합니다.
4. '스냅인 추가/제거'창에서 '추가'를 클릭합니다.
5. '독립 실행형 스냅인 추가' 에서 '인증서'를 선택 후 추가 클릭 합니다.
6. '인증서 스냅인'에서 '컴퓨터 계정'을 선택 후 '다음'을 클릭합니다.
7. 컴퓨터 선택에서 '로컬 컴퓨터:(이 콘솔이 실행되고 있는 컴퓨터)'를 선택 후 '마침'을 클릭합니다.
8. '독립 실행형 스냅인 추가'에서 '닫기'를 클릭하여 창을 닫습니다.
9. '스냅인 추가/제거'에서 확인을 눌러 창을 닫습니다.
10. '콘솔'창에서 '콘솔 루트 --> 인증서 --> 개인 --> 인증서' 를 선택 합니다.
11. 우측 창에 나타난 인증서에 오른쪽 마우스키를 눌러 '모든작업 --> 내보내기'를 선택 합니다.
12. '인증서 내보내기 마법사'를 시작합니다.
13. '인증서 내보내기 마법사'에서 '예, 개인 키를 내보냅니다'를 선택한 후 '다음'을 클릭합니다.
14. '인증서 내보내기 마법사'에서 '개인정보교환', '강력한 보호 사용'을 선택후 '다음'을 클릭합니다.
15. '인증서 내보내기 마법사'에서 암호를 입력한 후 '다음'을 클릭합니다.
16. '인증서 내보내기 마법사'에서 저장할 위치를 지정후 '다음'을 클릭합니다.
17. 설정을 지정했다는 메세지가 나타납니다.
18. 인증서 내보내기가 완료 되었습니다.
2. '인증받을 웹 사이트'로 이동하여 '등록 정보'를 클릭 합니다.
3. '등록 정보' 화면에서 '디렉토리 보안'을 클릭 후 '서버 인증서'를 클릭합니다.
4. '웹서버 인증서 마법사'를 시작합니다. '다음'을 선택합니다.
5. '새 인증서를 만듭니다' 를 체크 후 '다음'을 선택합니다.
6. '요청을 지금 준비하지만 나중에 보냅니다' 를 체크 후 '다음'을 선택합니다.
CSR 파일 생성을 위한 옵션 입니다.
7. 새 인증서 이름을 정해주기 위해 적당한 단어를 넣어 줍니다.
개인키 인증 '비트 길이'를 1024로 설정 합니다.
대부분의 인증기관에서는 1024 비트 암호화 키 생성을 권장합니다.
8. '조직'과 '조직구성 단위'
조직(회사)명, '조직구성 단위(부서명)을 영문으로 입력합니다.
인증받기위한 도메인의 등록 정보를 반드시 참조하여 입력해야 합니다.
등록정보 확인은 whois.co.kr , Network Solutions, KRNIC 등에서 확인할 수 있습니다.
입력란에 특수 문자 (< > ~ ! @ # $ % ^ * / ( ) ?) 는 사용 할 수 없습니다.
9. 인증 받을 도메인 이름을 입력 합니다.
* 발급 완료된 인증서는 재발급 또는 변경이 불가하므로 CSR 생성시 절대 주의 바랍니다.
* "일반이름" 의 secure.nanuminet.com 과 nanuminet.com 은 서로 다른 별개의 인증서가 되므로, 실제 적용될 웹사이트 도메인주소와 동일하게 입력해야 합니다.
10. 지역 정보를 입력합니다.
국가/지역(국가 코드) : KR
시/도 : Seoul
구/군 : Secho
11. CSR(Certificate Signing Request)인증서 요청 파일 이름을 입력합니다.
12. 인증서 요청 파일 정보를 입력한 내용이 맞는지 확인합니다.
13. '마침'을 클릭한 후 저장된 곳에 파일을 확인합니다. C:certreq.txt
14. certreq.txt 파일을 열어 모든 문장을 복사합니다.
처음 -BEGIN NEW CERTIFICATE REQUEST 부터 마지막 -END NEW CERTIFICATE REQUESET
복사 합니다.
15. CSR(Certificate Signing Request)접수를 위해 문저 전체를 복사한 파일을 인증기관의 메일로
붙여 넣기 하여 보냅니다.
인증 기관의 인증 절차가 끝나면, 인증 기관의 답신 메일로(인증 기관에 따라 다를수 있음) 확장자가 .crt 인 파일을 받을 수 있습니다.
* Multi-Domain SSL 의 경우 1개의 웹 사이트에서만 CSR 값 을 생성합니다.
[2] 웹 서버에 인증서 설치 하기
1. 인증 기관에서 받은파일(도메인 .crt)을 서버에 복사 합니다.
[rapidssl.com 에서 파일을 발급할때는 1개의 파일이 고객님 메일로 첨부 되어 갑니다.]
♣ 도메인.crt
※멀티도메인 ssl 일경우 cer 파일한개 첨부.
2. 시작--> 프로그램 --> 관리도구 --> 인터넷 서비스 관리자를 선택합니다.
3. 등록할 웹 사이트의 등록 정보를 확인합니다.
4. '디렉터리 보안'에 '서버 인증서'를 선택 합니다.
5. '웹 서버 인증서 마법사'가 나타나면 '다음'을 선택 합니다.
6. '보류 중인 요청을 처리한 다음 인증서를 설치합니다.'를 선택합니다.
이미 인증서가 설치된 서버에서는 다음과 같은 메세지가 나타납니다. (처음 인증서를 설치하므로
자세한 설명은 하지 않습니다.)처음 설치자는 해당되지 않습니다.
※ 멀티도메인경우 최초 인증서 적용후 추가적용시 기존인증서 가지고오기로 적용하시면 됩니다.
7. 인증 기관에서 받은 파일을 불러옵니다.
인증 기관에서 받은파일(도메인 .crt)
8. 인증서에 대한 상세 정보창이 아래와 유사하게 나타납니다. (보안을 위해 상세내용 기제가 삭제되어 있습니다.)
9. 인증서 마법사를 완료했다는 창이 나타납니다.
10. 다시 인증할 도메인의 등록 정보 를 보면 SSL포트 란이 활성화 된것을 볼 수 있습니다.
11. SSL포트 란에 443 을 입력하고 '확인'을 선택합니다. 방화벽이 설정되어 있는 경우 Inbound 포트를 활성화 시켜줍니다.
루트 CA인증서를 설치하기 위해서 Comodossl측에서 받은 인증서 파일을 설치 합니다.
인증서 파일은 총 3개의 인증서 파일이 메일에 첨부되어 있습니다.
♣ AddTrustExternalCARoot.crt
♣ UTNAddTrustServerCA.crt
♣ 사용자파일.crt
12.시작 --> 실행 --> mmc 를 입력 후 확인을 선택 합니다.
13.'콘솔' 창이 활성화 됩니다.
14.'콘솔'에 '스냅인 추가/제거'를 선택 합니다.
15.'스냅인 추가/제거'창에서 '추가'를 클릭합니다.
16.'독립 실행형 스냅인 추가' 에서 '인증서'를 선택 후 추가 클릭 합니다.
17.'인증서 스냅인'에서 '컴퓨터 계정'을 선택 후 '다음'을 클릭 합니다.
18.'컴퓨터 선택' 에서 '로컬 컴퓨터:(이 콘솔이 실행되고 있는 컴퓨터)'를 선택 후 '마침'을 클릭합니다.
19.'독립 실행형 스냅인 추가'에서 '닫기'를 클릭하여 창을 닫습니다.
20.'스냅인 추가/제거'에서 확인을 눌러 창을 닫습니다.
21.'신뢰할 수 있는 루트 인증 기관'->'인증서'에 오른쪽 마우스를 클릭하여 '모든 작업'->'가져오기'를 클릭합니다.
22.'인증서 가져오기 마법사'가 나타납니다.
23.'찾아보기'를 클릭하여 인증서 중 하나의 경로를 지정합니다.
24.'모든 인증서를 다음 저장소에 저장'을 체크 하고 '다음'을 클릭합니다.
25.'인증서 가져오기 마법사'를 완료 하였습니다.
26.'완료'메세지 입니다.
루트 인증서가 완료되면 아래 창에 'AddTrust External CA Root'가 등록이 되었습니다.
src="/add/img/ssl23-8.gif">
이와 같은 방법으로 나머지 파일 UTNAddTrustServerCA.crt 를 같은 방법으로 등록합니다.
27.모든 사항이 적용된후 IIS 를 다시 시작합니다.
C:>iisreset/restart
-->
SSL 이 모두 적용 되었습니다. 이제 사용자의 페이지는 http:// 와 https:// 모두 사용이 가능합니다.
회원 가입등과 같은 중요 정보의 보안이 요구되는 페이지는 https:// 로 접속하여 보안에 더욱 주의하시길 바랍니다.
*인증서 설치후에는 필히! 백업(개인키포함)을 한후 별도의 안전한 곳에 보관을 해야 합니다. 인증서을 백업하지 않은 상태에서 서버 재세팅시(개인키변경) 복구가 되지 않으므로
인증서를 백업해야 하며, 기존 발급된 인증서로는 재설치가 되지 않습니다.
(*인증서 발급후 5일 이후에는 재발급이 되지 않으므로 절대 주의가 필요합니다.!)
[3] 보안 인증키 백업
보안 인증키 백업을 통하여 만약의 사태를 대비 하시길 바랍니다.
1. 시작 --> 실행 --> mmc 를 입력 후 확인을 선택 합니다.
2. '콘솔' 창이 활성화 됩니다.
3. '콘솔'에 '스냅인 추가/제거'를 선택 합니다.
4. '스냅인 추가/제거'창에서 '추가'를 클릭합니다.
5. '독립 실행형 스냅인 추가' 에서 '인증서'를 선택 후 추가 클릭 합니다.
6. '인증서 스냅인'에서 '컴퓨터 계정'을 선택 후 '다음'을 클릭합니다.
7. 컴퓨터 선택에서 '로컬 컴퓨터:(이 콘솔이 실행되고 있는 컴퓨터)'를 선택 후 '마침'을 클릭합니다.
8. '독립 실행형 스냅인 추가'에서 '닫기'를 클릭하여 창을 닫습니다.
9. '스냅인 추가/제거'에서 확인을 눌러 창을 닫습니다.
10. '콘솔'창에서 '콘솔 루트 --> 인증서 --> 개인 --> 인증서' 를 선택 합니다.
11. 우측 창에 나타난 인증서에 오른쪽 마우스키를 눌러 '모든작업 --> 내보내기'를 선택 합니다.
12. '인증서 내보내기 마법사'를 시작합니다.
13. '인증서 내보내기 마법사'에서 '예, 개인 키를 내보냅니다'를 선택한 후 '다음'을 클릭합니다.
14. '인증서 내보내기 마법사'에서 '개인정보교환', '강력한 보호 사용'을 선택후 '다음'을 클릭합니다.
15. '인증서 내보내기 마법사'에서 암호를 입력한 후 '다음'을 클릭합니다.
16. '인증서 내보내기 마법사'에서 저장할 위치를 지정후 '다음'을 클릭합니다.
17. 설정을 지정했다는 메세지가 나타납니다.
18. 인증서 내보내기가 완료 되었습니다.