이 문서는 SSL 인증서 발급을 요청하고 발급받은 인증서를 사용하는 방법에 대해 개략적으로 알아본다.
개요
인증서 발급 방법은 발급 기관별로 다르기 때문에 본 문서는 개념적인 흐름만 다룬다.
Step 1) 인증서 발급 준비
Private key와 CSR (Certificate Signing Request) 파일을 생성한다.
openssl 활용 예)
$ > openssl req -new -newkey rsa:2048 -nodes -keyout example_com.key -out example_com.csr
인증 기관에 example_com.csr 파일을 전달하고, example_com.key (private key)는 나중을 위해 보관한다.
Step 2) 인증서 발급
인증 기관에 example_com.csr 파일을 전달하여 인증서를 발급받는다.
인증서 발급 사이트인 COMODO 예):
- Root CA Certificate: AddTrustExternalCARoot.crt
- Intermediate CA Certificate 1: ComodoRSAAddTrustCA.crt OR ComodoECCAddTrustCA.crt
- 인증서 발급 기관에서 제공
- Intermediate CA Certificate 2: ComodoRSADomain/Organization/ExtendedvalidationSecureServerCA.crt OR ComodoRSAECCDomain/Organization/ExtendedvalidationSecureServerCA.crt
- 옵션으로 제공될 경우 사용
- Intermediate CA Certificate 3: ComodoSHA256SecureServerCA.crt
- Your Domain Certificate: STAR_example_com.crt (or the domain you gave them)
Step 3) 인증서 사용
Apache의 경우 private key, domain certificate, 그리고 선택적으로 chain 파일이 필요하다.
브라우저가 인증서를 인식하고 보안 경고가 나타나지 않도록 웹 브라우저 및 다른 종류의 클라이언트와 인증서의 호환성을 개선하려면 체인이 필요하다.
- private key: Step 1) 에서 생성된 파일
- domain certificate: Step 2)에서 발급받은 Domain Certificate
chain: Step 2)에서 발급받은 intermediate 파일을 이용해 생성 text 파일 생성 (순서 중요)
Intermediate 3 + Intermediate 2 + Intermediate 1 + Root Certificate
OR Intermediate 3 + Root Certificate
$ > cat ComodoRSAAddTrustCA.crt ComodoRSADomain/Organization/ExtendedvalidationSecureServerCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle OR $ > cat ComodoSHA256SecureServerCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle