Let’s Encrypt freeSSL/TLS는 Moziila, Cisco, Akamai, EFF, id entrust 등이 모인
ISRG(internet Security Research Group) SSL 인증기관을 통하여 SSL을 무료로 제공하고 있습니다.
최근에는 Facebook , WordPress를 만드는 Automattic , shopify 등
많은 회사가 스폰서로 참여하는 등 넓은 범위에서 SSL을 활용하고 있습니다.
IWINV는 ‘서버클라우드’ 이용시 Let’s Encrypt FreeSSL/TLS 무료 인증서의 발급/갱신 절차를“기술지원 서비스”를 통해 지원드리고 있습니다.
※ 기술지원 신청에 따른 비용이 발생합니다.
SSL 동작과정
SSL(Secure Socket Layer)은 웹사이트의 전송 데이터를 ‘https 프로토콜‘을 활용하여
암호화 통신하며, 웹사이트 전체나 또는 개인정보 등의 데이터전송 시 암호화하여 안전하게 데이터 전송할 수 있는 기술입니다.
자세한 내용은 아래와 같습니다.
1. 웹 브라우저에서 https://도메인 입력으로 SSL로 암호화된 페이지를 요청합니다.
2. 웹서버에서 Public Key를 인증서와 함께 전송합니다.
3. 웹브라우저에서 인증서가 자신이 신용있다고 판단한 CA(일반적으로 Trusted root CA로 불림)으로부터 서명된것인지 확인합니다.
4. 웹브라우저에서 Public Key를 사용하여 랜덤 대칭 암호화키(Random Sysmmetric encryption Key)를 비롯한 URL, http 데이터들을 암호화하여 전송합니다.
5. 웹서버의 Private Key를 통해 랜덤 대칭 암호화키와 URL, http 데이터를 복호화합니다.
6. 웹서버는 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 활용하여 암호화하여 브라우저로 전송합니다.
7. 웹브라우저에서 대칭 키를 활용하여 http 데이터와 html 문서를 복호화 하여 화면에 표시합니다.
Let’s Encrypt = 무료 SSL 설치방법 [ Windows ]
※ IIS에서 사이트(도메인)에 대한 기본설정이 완료된 이후 진행하셔야 합니다.
※ 기본 요구사항 – IIS 7.5이하 여러 도메인(사이트)에 대한 SSL을 사용하기 위해 모두 동일한 IP 주소로 바인드해야합니다. – V 1.9 이후 최대 100개 도메인(사이트)까지 SAN 인증서를 생성합니다. – IIS 8로 업그레이드 이상 – 와일드 카드 인증서를 지원하지 않습니다. – 최소 .NET 버전 4.5이상 설치되어 있어야 진행할 수 있습니다. |
▶ Win-acme 다운로드 URL : https://github.com/win-acme/win-acme/releases
URL로 접근하여 BIT에 맞는 파일을 내려받은 후 적절한 위치에 압축을 해제합니다.
win-acme.v2.2.6.1571.x64.trimmed.zip
win-acme.v2.2.6.1571.x86.trimmed.zip
win-acme.v2.2.6.1571.arm64.trimmed.zip
Let’s Encrypt 인증서 발행
wacs 실행만 하더라도 설치과정이 진행됩니다.
IIS설정이 되어있는 경우 자동적으로 해당 도메인에 대한 정보를 파악 후 인증서 발급을 진행할 수 있습니다.
발급을 원하는 도메인 항목 선택화면은 하단 이미지처럼 인증서가 발급됩니다.
인증서 설치경로 확인
Windows에서 Apache 웹서버를 운영할 경우 ‘숨김파일 표시’ 체크 후 아래의 폴더를 참조하시기 바랍니다. C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org |
특정 사이트(도메인) 인증서 발급 설정되어 있는 사이트 목록을 선택하는 과정을 생략하실 수 있습니다.
형식 : wacs.exe –manualhost –webroot 예문 : wacs.exe –accepttos –manualhost packet10.ssgstar.com –webroot C:\www\packet10 |
인증서 발급이 정상적으로 완료되면 인증서 설정 및 SSL 인증서 관련 IIS 설정이 완료된 것을 하단 매뉴을 통해 확인할 수 있습니다.
아래와 같이 인증서가 IIS에 추가되어 있음을 확인할 수 있습니다.
SSL 통신에 필요한 포트(443)설정 확인 및 사이트 접속을 확인합니다.
Let’s Encrypt 인증서 갱신
인증서 발급이 완료되면 자동으로 작업 스케줄러에 갱신 작업이 등록되어 별도 진행없이 갱신됩니다.
Let’s Encrypt 인증서 삭제
서버 인증서에서 인증서를 선택 후 제거버튼을 누르면 인증서 제거를 진행하실 수 있습니다.
※ 이 때 443으로 연결된 설정도 삭제되오니 주의가 필요합니다.
무료 인증서 사용 시 주의사항
1. 인증서 관련 피해가 발생 시 손해보험사의 보상을 받으실 수 없습니다.
2. Windows XP SP3 이하 이용자는 정상적인 SSL 통신을 제공받기 어렵습니다.
3. 일부 브라우저의 경우 호환성 문제가 발생할 수 있습니다.
4. 인증서의 만료일은 90일입니다.
※ ‘온라인 기술지원’ 서비스를 통해 iwinv에서 Let’s Encrypt 인증서 발급 시 자동갱신 프로세스가 제공됩니다.
호환성
ISRG Root X1을 신뢰하는 플랫폼
윈도우 >= XP SP3 (자동 루트 인증서 업데이트를 강제로 비활성화하지 않았다는 전제 하)
- iPhone 5 이상은 iOS 10으로 업그레이드 후 ISRG Root X1 신뢰 가능
- 안드로이드 >= 7.1.1 (안드로이드 >= 2.3.6은 특별한 교차 서명으로 기본적으로 신뢰함)
- 우분투 >= xenial / 16.04 (업데이트 적용 후)
- 데비안 >= jessie / 8 (업데이트 적용 후)
- NSS >= 3.26
알려진 비호환성 버전
- 블랙베리 OS < v10.3.3
안드로이드 OS < v2.3.6
- 닌텐도 3DS 게임 기기
- 윈도우 XP SP3 이전 버전
- SHA-2 서명 인증서를 처리할 수 없음
자바 7 < 7u111
- 자바 8 < 8u101
- 윈도우 라이브 메일 (2012버전 메일 클라이언트, 웹메일 아님)
- CRL없이 인증서를 처리할 수 없음
- PS3 게임 기기
- PS4 게임 기기 내 펌웨어 < 5.00
Let’s Encrypt FreeSSL/TLS Major Sponsors