posted by 은이종 은이종 2015. 2. 5. 16:33

Apache네 개의 옵션으로 Chain 인증 설정이 가능한데,

Nginx 는 두 개의 옵션뿐이라서 … Chain 인증이 어렵습니다.

 

1. 발급시 통합 인증서로 발급

유서트 등 인증서 발급업체에서 발급받을 때, ROOT CA , Chain 통합 인증서로 요청하면

통합 인증서 파일 pem으로 발급 가능합니다.

 

 

Apache

Nginx

Conf

SSLCertificateFile

SSLCertificateKeyFile

SSLCertificateChainFile

SSLCACertificateFile

 

ssl_certificate    

ssl_certificate_key

 

SSL file

ADDTRUST_EXTERNAL_CA_ROOT.crt

star.인증서.crt

star.인증서.key

star인증서_ChainBundle.crt

star.인증서.com.key

star.인증서.com.pem

 

참고 ) Chain SSL 인증 관련 확인 사이트

https://www.geocerts.com/ssl_checker



2. 수동으로 통합


SSL certificate chains

Some browsers may complain about a certificate signed by a well-known certificate authority, while other browsers may accept the certificate without issues. This occurs because the issuing authority has signed the server certificate using an intermediate certificate that is not present in the certificate base of well-known trusted certificate authorities which is distributed with a particular browser. In this case the authority provides a bundle of chained certificates which should be concatenated to the signed server certificate. The server certificate must appear before the chained certificates in the combined file:


$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt


The resulting file should be used in the ssl_certificate directive:

server {

    listen              443 ssl;

    server_name         www.example.com;

    ssl_certificate     www.example.com.chained.crt;

    ssl_certificate_key www.example.com.key;

    ...

}

 

통합순서는 crt, Chain, ROOTCA 순으로 통합하면 가능

 

참고 )

http://nginx.org/en/docs/http/configuring_https_servers.html

 


추가적으로 nginx 는 비밀번호 자동입력 옵션이 없으므로

사전에 key 비밀번호는 제거하면 편리하다.

 

 

[root@]cp server.key server.key.org

[root@]openssl rsa -in server.key.org -out server.key

Enter pass phrase for server.key.org:

 


참고2) 


nginx conf 수정후 syntax 확인


/app/nginx/sbin/nginx -t c /app/nginx/conf/nginx.conf




참고3) 


Nginx 재구동 후 적용 확인


openssl s_client -connect localhost:443 < /dev/null 2>&1 | openssl x509 -noout -enddate 


date날짜가 변경한 인증서로 조회가 되면 적용 완료



'Linux' 카테고리의 다른 글

cp -f 등 특정 옵션이 안 먹힐 때, 확인 사항  (0) 2015.03.20
yum histroy 관리법입니다.  (1) 2015.03.06
Nginx SSL Chain 설정 방법  (0) 2015.02.05
Tomcat method 설정  (0) 2015.01.16
dmidecode 리눅스 하드웨어 정보 확인  (0) 2015.01.07
VNC 설정 하기, Port변경  (0) 2014.10.16

댓글을 달아 주세요