IIS 6.0 SSL 설치

IIS 6.0(Microsoft Internet Information Server 6.0) 신규

인증서 설치 순서 고객님께서는 이전에 CSR 생성 과정을 진행해 주셨습니다. 그래서 IIS 인터넷 서비스 관리자에서 "새 인증서를 만듭니다"를 통해서 서버 암호화 키(개인키)를 생성하였고, 생성된 암호화 키(개인키)를 토대로 CSR(Certificate Signing Request)을 저희 애니서트로 보내 주셨습니다. 그리고 애니서트에서는 서버 암호화 키(개인키)와 키쌍(key pair)을 이루는 고객님의 정식 웹서버인증서를 발급하게 됩니다. 이제 고객님의 IIS 5.0 서버인증서 관리자에서 서버 암호화 키(개인키)와 정식 웹서버 인증서를 조합하는("보류 중인 요청을 처리한 다음 인증서를 설치한다") 작업을 하시면, IIS 5.0 서버에 SSL 설치는 마치게 됩니다. ※ IIS 5.0 웹서버의 인증서 설치 순서 1. 발급된 인증서 확인 2. 웹서버로 발급된 인증서 올리기 3. IIS 5.0 웹서버에 인증서 설치하기 4. IIS 5.0 웹서버에 인증서 설치 확인하기 5. IIS 5.0 웹서버 SSL 포트 설정하기 6. 키쌍(key pair, 인증서 및 개인키) 백업 하기 7. SSL 구동 확인 1. 발급된 인증서 확인 먼저 발급된 웹서버 인증서를 확인합니다. 웹서버 인증서는 인증받을 도메인이름으로 발급됩니다. 웹서버인증서 : [인증받은 도메인 이름으로 된].cer 위의 발급된 인증서는 애니서트에서 고객님께 전자 메일로 발급해 드립니다. 그러므로 전자 메일에 발급된 인증서 항목을 알려드리며, 발급된 인증서는 첨부파일로 첨부되어있습니다. 윈도우 PC에서 발급 받으신 웹서버 인증서([인증받은 도메인 이름으로 된].crt 파일)를 열어서(double click) 내용을 확인합니다.(메모장이나 울트라 에디터에서 열지 않습니다.) 웹서버 인증서를 열게 되면 다음과 같은 내용을 확인하실 수 있습니다. [인증서 보기 - 일반] 웹서버 인증서 정보의 [일반] 탭 부분에서 인증서 정보에서 "원격 컴퓨터의 신분을 확인합니다." 메지시를 확인 할 수 있습니다. 그리고 발급 대상에서 고객님이 인증받을 도메인 주소로 신청하신 도메인 주소가 맞는지 확인합니다. 다음으로는 [자세히] 탭 부분에서 [인증서 보기 - 자세히] 발급한 웹서버 인증서의 유효기간을 확인합니다. (유효 기간(시작)과 유효 기간(끝) 정보를 확인합니다.) 그리고 공개 키 부분에서 RSA (1024 Bits) 를 확인합니다. 애니서트에서 발행되는 인증서는 1024 Bits 키를 권고합니다. 꼭 확인해 주시기 바랍니다. 그리고 먼저 CSR(Certificate Signing Request) 파일을 생성하시면서, Apache 웹서버에 개인키도 이미 생성했었습니다. 개인키도 확인해 주시기 바랍니다. (CSR 생성때에 개인키를 체크했으므로, 어디에 개인키가 저장되어있는지 확인만 해 주시면 됩니다.) 2. 웹서버로 발급된 인증서 올리기 발급받으신 인증서를 IIS 웹서버에 복사합니다.(보통 Ftp 로 웹서버로 올려 주시면 됩니다.) 3. IIS 5.0 웹서버에 인증서 설치하기 IIS 서버에서는 인증서 관리를 인터넷 서비스 관리자에서 관리하게 됩니다. 기존에 CSR 생성 과정으로 생성된 서버 암호화 키(개인키)에 정식 웹서버 인증서를 조합하는("보류 중인 요청을 처리한 다음 인증서를 설치한다") 작업을 진행합니다. 다음의 순서를 밟아 주시기 바랍니다. ① 인터넷 서비스 관리자 열기 [시작] -> [프로그램] -> [관리도구] -> [인터넷 서비스 관리자]를 선택합니다. ② 인증서 설치할 웹사이트 등록정보 열기 [인증서를 설치할 웹사이트] 에서 [등록정보]를 엽니다. ( 여러 개의 웹사이트가 있을 경우에는 반드시 인증서 설치할 웹사이트에서 생성되어야 하므로 유의 바랍니다. ) ③ 인증서 설치할 웹사이트 등록정보에서 [디렉터리 보안] 열기 인증서를 설치할 웹사이트의 [등록정보]에서 [디렉터리 보안] 을 선택합니다. ④ 디렉터리 보안에서 [서버 인증서] 열기 [디렉터리 보안]에서 [서버 인증서] 버튼을 선택합니다. ⑤ 웹서버 인증서 마법사 시작 웹서버 인증서 마법사를 시작하게 됩니다. [다음]을 선택합니다. ⑥ 보류중인 인증서 요청 선택(웹서버 인증서 설치 과정 선택) IIS 인증서 마법사에서 [보류중인 요청을 처리한 다음 인증서를 설치합니다]를 선택합니다. (IIS 웹서버에서 CSR 생성한 인증서 요청에 대한 웹서버 인증서 설치(보류중인 인증서 요청을 처리)를 선택합니다.) ⑦ 보류중인 요청 처리(웹서버 인증서 설치) 다음으로, [보류중인 요청을 처리할 정식 웹서버 인증서] 찾아서 불러들입니다. (IIS 웹서버에서 CSR 생성한 인증서 요청에 대한 웹서버 인증서 설치(보류중인 인증서 요청을 처리)합니다.) ⑧ 보류중인 요청 처리 결과(웹서버 인증서 설치 확인) 응답 파일에서 인증서를 설치합니다. 설치하시고자 하시는 인증서의 정보를 확인하시고, 특히 만료일을 확인해 주시기 바랍니다. 다음으로, 웹서버 인증서 마법사를 완료합니다. 4. IIS 5.0 웹서버에 인증서 설치 확인하기 보류중인 요청 처리(웹서버 인증서 설치)한 후에는 다음과 같이 IIS 관리자 [디렉토리 보안] 탭의 [보안 통신] 항목에서 [서버 인증서]과 함께 [편집], [인증서 보기] 항목이 활성화 됩니다. IIS 서버에 설치된 인증서를 확인합니다. 다음의 순서를 밟아 주시기 바랍니다. [인터넷 서비스 관리자] 에서 [디렉토리 보안]의 [보안 통신] 부분에서 [인증서 보기]를 선택합니다. 다음과 같이 웹사이트에 설치된 인증서 정보를 확인해야 합니다. [발급 대상]에서 [인증받은 도메인 주소]를 확인해 주시고, 설치된 인증서의 유효기간 확인해 주십니다. 마지막으로 제일 중요한 부분인 [사용자가 이 인증서와 일치하는 개인 키를 갖고 있습니다.] 항목을 확인해 주셔야 합니다. [사용자가 이 인증서와 일치하는 개인 키를 갖고 있습니다.] 항목이 확인 되지 않는다면, 웹서버에 설치된 인증서는 서버키(암호키)와 웹서버인증서(공개키) 간의 조합된 RSA - SSL 암호화 통신이 되지 않습니다. 5. IIS 5.0 웹서버 SSL 포트 설정하기 [인터넷 서비스 관리자] 에서 [웹사이트] 항목의 SSL 포트 가 활성화 된 것을 보실 수 있습니다. SSL 포트는 https 통신에서 서비스 되는 포트를 설정해 주므로, SSL 기본 포트로 443 포트(http 기본 포트는 80 포트이듯이)를 설정해 줍니다. 6. 키쌍(key pair, 인증서 및 개인키) 백업 하기 혹시라도 모를 재해를 대비해서 시스템에 설치된 키쌍(key pair, 인증서 및 개인키)을 백업합니다. (시스템에 설치된 암호화 키(개인키)와 웹서버인증서(공개키)는 MMC 콘솔으로 관리됩니다.) ① MMC 콘솔 창 열기 [시작] -> [실행]을 선택합니다. [실행] 창에서 mmc을 입력하고 실행합니다. 기본 mmc 콘솔 창 보실 수 있습니다. 이전에 [MMC 인증서 스냅인]을 저장하신 적이 있으시면, ⓐ 이전에 저장된 [MMC 인증서 스냅인] 불러오기를 진행합니다. 저장된 항목이 없다면, ⓑ 기본 mmc 콘솔에서 인증서 스냅인 추가하기를 진행합니다. ⓐ 이전에 저장된 [MMC 인증서 스냅인] 불러오기 기본 mmc 콘솔 창에서 [콘솔] -> [시스템인증서콘솔관리.msc]를 선택합니다. (시스템인증서콘솔관리.msc 는 이전에 저장된 인증서 스냅인이 추가된 mmc 콘솔입니다.) 이전에 저장된 [MMC 인증서 스냅인] 불러왔습니다. 저장된 [MMC 인증서 스냅인] 으로 "② 로컬컴퓨터에 설치된 키쌍(key pair, 인증서 및 개인키) 백업" 순서를 진행해 주시면 됩니다. ⓑ 기본 mmc 콘솔에서 인증서 스냅인 추가하기 기본 mmc 콘솔 창에서 [콘솔] -> [스냅인 추가/제거]를 선택합니다. [스냅인 추가/제거] 창에서 [추가]를 선택합니다. [스냅인 추가] 창에서 [인증서]를 추가합니다. [인증서 스냅인] 창에서 [컴퓨터 계정]을 선택합니다. 다음 옵션으로는 스냅인이 관리될 대상을 [로컬 컴퓨터]를 선택합니다. 인증서 스냅인 추가 완료되었습니다. [닫기]를 선택합니다. [스냅인 추가/제거] 창에서 [인증서(로컬 컴퓨터)] 항목이 추가된 것을 확인합니다. mmc 콘솔 창에서 [인증서(로컬 컴퓨터)] 항목이 추가되었습니다. "② 로컬컴퓨터에 설치된 키쌍(key pair, 인증서 및 개인키) 백업" 순서를 진행해 주시면 됩니다. ② 로컬컴퓨터에 설치된 키쌍(key pair, 인증서 및 개인키) 백업 IIS 서버에서는 CSR 생성할 때에 시스템에 암호화 키(개인키)를 생성합니다. IIS 서버는 웹서버인증서(공개키)가 설치되면서 이미 생성된 암호화 키(개인키)와 웹서버인증서(공개키)를 하나의 키쌍(key pair, 인증서 및 개인키)으로 조합됩니다. 그래서 다음과정으로 키쌍(key pair, 인증서 및 개인키)을 백업받습니다. [인증서(로컬 컴퓨터)]에서 [개인] -> [인증서] 항목에 3. IIS 5.0 웹서버에 인증서 설치하기에서 생성한 키쌍(key pair, 인증서 및 개인키-인증받은 도메인 이름으로 표시됩니다)을 볼 수 있습니다. 키쌍(key pair, 인증서 및 개인키)을 선택하고, 마우스 오른쪽 버튼으로 빠른 메뉴를 엽니다. 빠른 메뉴에서 [모든 작업] -> [내보내기]를 선택합니다. 그러면 [인증서 내보내기 마법사] 창이 나타나며, 키쌍(key pair, 인증서 및 개인키)을 내보내는 백업 작업을 합니다. 키쌍(key pair, 인증서 및 개인키) 백업 옵션 [예, 개인키를 내보냅니다.]를 선택합니다. 파일 내보내기 형식으로 [개인 정보 교환-PKCS #12(.PFX)]를 선택합니다. 암호화 키(개인키)의 암호를 설정합니다. (암호화 키(개인키)의 암호는 반드시 기억하고 있어야 합니다. 암호화 키(개인키)의 암호를 분실하게 되면 백업하신 키쌍(key pair, 인증서 및 개인키)을 사용할 수 없게 됩니다.) 내보낼 키쌍(key pair, 인증서 및 개인키)의 파일이름을 입력합니다. 키쌍(key pair, 인증서 및 개인키) 내보내기를 완료합니다. 키쌍(key pair, 인증서 및 개인키) 내보내기를 결과를 확인합니다. 내보낼 키쌍(key pair, 인증서 및 개인키)의 파일이 생성되었습니다. 보안된 PC의 저장장치 등 안전한 곳에 보관합니다. ③ MMC 인증서 스냅인을 저장합니다. 먼저 인증서 스냅인이 저장이 되었다면 "7. SSL 구동 확인" 으로 진행합니다. IIS 서버에 설치되는 인증서는 MMC 인증서 스냅인을 통해 관리되므로, 인증서 스냅인을 저장해 놓습니다. (스냅인 저장으로 인증서가 백업되지는 않습니다. MMC에서 인증서 스냅인(snap-in) 추가된 사항만 저장되는 것입니다.) mmc 콘솔 주메뉴에서 [다른 이름으로 저장]을 선택합니다. 적당한 경로와 적당한 이름으로 저장해 놓습니다. mmc 인증서 스냅인을 저장 완료되었습니다. 나중에 인증서를 관리할 때에 저장된 mmc 인증서 스냅인을 불러서 사용할 수 있습니다. 7. SSL 구동 확인 ① 443 포트(HTTPS 통신) 네트웍 활성 확인 ▣ C:\>%windir%\system32\netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:443 0.0.0.0:0 LISTENING ... ... C:\> ② 방화벽과 L4 Switch 장비 설정 확인 고객님의 웹서버와 연계되어 설정된 방화벽 장비와 L4 Switch 장비의 설정을 80 포트 설정된 것 같이 443 포트에도 설정되어야 합니다. ③ HTTPS 보안 통신으로 페이지를 확인 웹 브라우져를 통해서 https://[인증받은 도메인]/[테스트페이지].html 페이지를 확인해 봅니다. [보안정보 확인창] 접속시에 위와 같은 보안정보 확인 창을 보실 수도 있으나, 이것은 전체 페이지를 암호화 처리했을 경우에 몇몇 이미지나 object 태그의 codebase 부분에 절대경로가 설정된 경우에 보안 정보를 나타내는 정보 창이므로, [아니오]를 선택합니다. 그러면, 웹 브라우져 하단 상태표시줄에 HTTPS 암호화 상태를 나타내는 노란 자물쇠를 확인해 보실 수 있습니다. [SSL 128 bit 확인] 노란 자물쇠에 마우스 포인터를 가르키고 잠시 기다리면 128 bit 암호화 처리 상태를 확인해 보실 수 있습니다. 그리고 노란 자물쇠를 double click 하면, 서버에 설치된 인증서를 확인해 보실 수 있습니다. [인증서 보기 - 일반] 인증서 용도가 [● 원격 컴퓨터의 신분을 확인합니다.] 라는 웹서버 인증서로 설정된 것을 확인할 수 있습니다. 다음으로 인증서 자세히 보기 부분에서 설치된 웹서버 인증서의 유효기간을 확인합니다. (유효 기간(시작)과 유효 기간(끝) 정보를 확인합니다.) 그리고 공개 키 부분에서 RSA (1024 Bits) 를 확인합니다. [인증서 보기 - 자세히] SSL 설치가 완료 되었습니다. 루트/체인인증서 설치 웹서버 인증서 설치 실제 사이트에 인증서 옮기기 SSL을 페이지에 적용하기 http://www.anycert.co.kr/support/trust_02.html#5 루트/체인인증서 설치   '루트인증서'와 '체인인증서'를 다음과 같이 설치한다. 우선 메일로 수취한 루트인증서(IPSServidores.cer)와 체인인증서(IPSCACLASEA1.cer)를 하드 디스크에 복사한다. 시작->'실행'->mmc 라고 치면 콘솔창을 볼 수 있다. '콘솔'->'스냅인추가/제거'를 선택하고, '추가'버튼을 클릭한다. 항목에서 '인증서' 항목을 고르고, '컴퓨터계정'->'로컬컴퓨터'를 선택한다. '마침'->'닫기'->'확인'을 누르면 '인증서(로컬컴퓨터)'항목이 추가된다.     인증서(로컬컴퓨터) 각 폴더에는 다음의 정보들이 들어있다.       개인 - 인증기관에서 발급된 인증서       신뢰된루트인증기관 - 신뢰된 인증기관의 목록       중개인증기관 - 중개 역할을 하는 인증기관의 목록       REQUEST - 인증서를 발급 받기 위해 생성한 개인키 '신뢰된루트인증기관' 폴더에서 오른쪽 버튼을 눌러 '모든작업'->'가져오기'를 선택. 루트인증서(IPSServidores.cer) 파일을 선택한다. '모든 인증서를 다음 저장소에 저장'->'찾아보기' 클릭 '실제 저장소 표시'에 체크->'신뢰된루트인증기관'->'로컬컴퓨터' 선택 '다음'->'마침' 클릭하고 선택된 인증서가 목록에 추가되었는지 확인한다. '중개인증기관' 폴더에서 오른쪽 버튼을 눌러 '모든작업'->'가져오기'를 선택. 체인인증서(IPSCACLASEA1.cer) 파일을 선택한다. '모든 인증서를 다음 저장소에 저장'->'찾아보기' 클릭 '실제 저장소 표시'에 체크->'중개인증기관'->'로컬컴퓨터' 선택 '다음'->'마침' 클릭하고 선택된 인증서가 목록에 추가되었는지 확인한다. 웹서버 인증서 설치 발급 받으신 웹서버 인증서(인증받은 도메인이름으로 된) 파일을 하드 디스크에 복사한다. 시작버튼 > 프로그램 > 관리도구 > 인터넷 서비스 관리자를 선택한다. 임시사이트를 선택한 후 마우스 오른쪽 버튼을 클릭해서 등록정보를 본다. "디렉터리 보안" 탭을 누른다. "보안 통신"에서 "서버 인증서"를 선택하면 웹서버인증 마법사 화면이 나타난다. "보류 중인 요청을 처리한 다음 인증서를 설치한다"를 선택한다. 인증서를 저장한 경로를 찾아서 파일을 열고 "다음" "마침"을 눌러 인증서를 설치한다. "웹사이트" 탭의 "웹 사이트 확인" 부분에서 SSL 포트번호에 443을 입력하고 "확인"을 눌러 443포트를 활성화 시킨다. 이로써 인증서 설치가 완료도었다. 실제 사이트에 인증서 옮기기       일단 임시사이트에서 인증서 설치가 완료되셨으면 다음과 같은 작업을 해주십시오. 이번에는 실제로 인증서를 설치하고자 하는 사이트의 등록정보를 열어주십시오. '디렉터리 보안'탭 --> 서버인증서 --> '다음' 을 클릭하시면 3가지의 질문이 나옵니다. 그 중에서 "현재 인증서를 바꿉니다"를 선택하시고 '다음'을 누릅니다. 그러면, 사용할 수 있는 인증서의 목록이 나오는데 이 중에서 설치하고자 하는 인증서를 선택하여 '다음' -> '다음' -> '마침' 하시면 인증서 옮기는 작업이 완료됩니다.       이로서 인증서 설치 작업이 완료되었습니다. 키쌍(key pair, 인증서 및 개인키) 백업 받기 시작->실행->mmc 라고 치면 콘솔이 나옵니다. 예전에 저장된 mmc가 있으시면 저장된 mmc를 불러 오시면 됩니다. 저장된 것이 없다면, 다음 단계를 밟아주세요. 콘솔에서 "스냅인추가/제거"를 누르고, "추가"를 선택합니다. 항목에서 "인증서" 항목을 고르고, "컴퓨터계정"->"로컬컴퓨터"를 선택합니다. "마침" -> "닫기" -> "확인"을 누르면 "인증서(로컬컴퓨터)" 항목이 추가됩니다. 인증서(로컬컴퓨터) 각 폴더에는 다음의 정보들이 들어있습니다. 　　인증서는 “개인 ”라는 폴더에 저장 되어 있습니다. "개인->인증서" 폴더에 들어 있는 목록 중에서 백업 시킬 웹서버 인증서를 선택합니다. 오른쪽 버튼을 눌러 "모든작업->내보내기"를 선택합니다. "다음"을 눌러 "예, 개인키를 내보냅니다"를 선택합니다. "다음"을 눌러 "개인정보교환"을 선택합니다. "다음"을 눌러 인증서를 저장할 경로를 지정합니다. 인증서는 *.pfx라는 확장자를 가지게됩니다. 패스워드를 작성합니다. 패스워드는 반드시 기억하고 있어야 합니다. 패스워드를 분실하게 되면 백업하신 인증서를 사용할 수 없게 됩니다. 작업을 마치면 지정한 경로에 인증서가 저장됩니다. 콘솔창을 닫으시고 “콘솔 설정을 저장하시겠습니까?”라는 메시지가 나오면 “예”를 클릭하십시오. 이 MMC를 저장하여 나중에 사용할 수도 있습니다. 생성된 *.pfx파일(인증서)을 플로피디스크에 저장하거나 보안된 PC의 저장장치 등 안전한 곳에 보관합니다. 키쌍(key pair, 인증서 및 개인키) 백업은 기존의 개인키 백업한 것과는 다른 인증서와 개인키의 조합된 키쌍을 백업한 것입니다. 서버 인증서를 재설치하실 경우에는 백업하신 키쌍과 루트인증서(IPSServidores.cer), 체인인증서(IPSCACLASEA1.cer) 를 재설치하시면 되겠습니다. SSL을 페이지에 적용하기 이제 귀사의 웹사이트에는 http://와 https://의 접속이 모두 가능합니다. http://로 접속하게 되면 일반접속이 되며 https://로 접속하면 보안접속이 이루어집니다. 중요한 페이지들(로그인, 회원가입, 결제 등)은 모두 https://로 불러오도록 지금 바로 설정해주십시오. ======================== <출처: http://www.anycert.co.kr/support/4_1ssl_install_cer05_2.html >