IT 자체 서명 보안 (SSL) 인증서를 작성하여 클라이언트 시스템에 배치하는 방법

개발자와 IT 관리자는 의심의 여지없이 SSL 인증서를 사용하여 HTTPS를 통해 일부 웹 사이트를 배포해야 할 필요가 있습니다. 이 프로세스는 프로덕션 사이트에서 매우 간단하지만 개발 및 테스트 목적으로 여기에서 SSL 인증서를 사용해야 할 필요가 있음을 알 수 있습니다.

연간 인증서를 구매하거나 갱신하는 대신 Windows Server의 기능을 사용하여 쉽고 편리하게 이러한 유형의 요구 사항을 완벽하게 충족해야하는 자체 서명 된 인증서를 생성 할 수 있습니다.

IIS에서 자체 서명 된 인증서 만들기

자체 서명 된 인증서를 작성하는 여러 가지 방법이 있지만 Microsoft의 SelfSSL 유틸리티를 사용합니다. 불행히도 IIS에는 포함되어 있지 않지만 IIS 6.0 Resource Toolkit (이 기사 하단에 링크가 있음)의 일부로 자유롭게 사용할 수 있습니다. "IIS 6.0"이라는 이름에도 불구하고이 유틸리티는 IIS 7에서 올바르게 작동합니다..

필요한 것은 IIS6RT를 추출하여 selfssl.exe 유틸리티를 얻는 것뿐입니다. 여기에서 다른 컴퓨터에서 나중에 사용할 수 있도록 Windows 디렉터리 나 네트워크 경로 / USB 드라이브에 복사 할 수 있습니다 (따라서 IIS6RT 전체를 다운로드하고 압축을 풀 필요가 없습니다).

SelfSSL 유틸리티가 준비되면 다음 명령을 관리자로 실행하여 적절하게 값을 바꿉니다.

selfssl / N : CN = / V :

아래 예제는 "mydomain.com"에 대해 자체 서명 된 와일드 카드 인증서를 생성하고 9,999 일 동안 유효하도록 설정합니다. 또한 프롬프트에 대해 yes로 대답하면이 인증서는 IIS의 기본 웹 사이트에있는 포트 443에 바인딩되도록 자동으로 구성됩니다.

이 시점에서 인증서는 사용할 준비가되어 있지만 서버의 개인 인증서 저장소에만 저장됩니다. 이 인증서를 신뢰할 수있는 루트에 설정하는 것이 좋습니다..

시작> 실행 (또는 Windows 키 + R)으로 이동하여 "mmc"를 입력하십시오. UAC 프롬프트를 수신하고 동의하며 빈 관리 콘솔이 열립니다.

콘솔에서 파일> 스냅인 추가 / 제거로 이동하십시오..

왼쪽에서 인증서 추가.

컴퓨터 계정 선택.

로컬 컴퓨터 선택.

로컬 인증서 저장소를 보려면 확인을 클릭하십시오..

Personal> Certificates로 이동하고 SelfSSL 유틸리티를 사용하여 설정 한 인증서를 찾으십시오. 인증서를 마우스 오른쪽 단추로 클릭하고 복사를 선택합니다..

신뢰할 수있는 루트 인증 기관> 인증서로 이동합니다. 인증서 폴더를 마우스 오른쪽 버튼으로 클릭하고 붙여 넣기를 선택하십시오..

SSL 인증서 항목이 목록에 나타나야합니다..

이 시점에서 서버는 자체 서명 된 인증서로 작업 할 때 아무런 문제가 없어야합니다..

인증서 내보내기

모든 클라이언트 컴퓨터 (즉, 서버가 아닌 컴퓨터)에서 자체 서명 된 SSL 인증서를 사용하는 사이트에 액세스하려는 경우 인증서 오류 및 경고의 잠재적 공격을 방지하려면 자체 서명 인증서를 설치해야합니다 각 클라이언트 컴퓨터 (아래에서 자세히 설명 함)에서 이렇게하려면 먼저 클라이언트에 설치할 수 있도록 해당 인증서를 내 보내야합니다..

인증서 관리가로드 된 콘솔에서 신뢰할 수있는 인증 기관> 인증서로 이동합니다. 인증서를 찾아 마우스 오른쪽 단추로 클릭하고 모든 작업> 내보내기를 선택합니다..

개인 키를 내보낼 것인지 묻는 메시지가 표시되면 예를 선택합니다. 다음을 클릭하십시오..

파일 형식의 기본 선택 항목을 그대로두고 다음을 클릭하십시오..

암호를 입력하십시오. 이것은 인증서를 보호하는 데 사용되며 사용자는이 암호를 입력하지 않고 로컬로 가져올 수 없습니다..

인증서 파일을 내보낼 위치를 입력하십시오. 그것은 PFX 형식이 될 것입니다..

설정을 확인하고 마침을 클릭하십시오..

결과로 생성되는 PFX 파일은 클라이언트 컴퓨터에 설치되어 자체 서명 된 인증서가 신뢰할 수있는 출처에서 온 것임을 알려줍니다.

클라이언트 시스템에 배치

서버 측에서 인증서를 만들고 모든 것이 제대로 작동하면 클라이언트 컴퓨터가 해당 URL에 연결할 때 인증서 경고가 표시됩니다. 이는 인증 기관 (귀하의 서버)이 클라이언트의 SSL 인증서에 대한 신뢰할 수있는 출처가 아니기 때문에 발생합니다.

경고를 클릭하고 사이트에 액세스 할 수 있지만 강조 표시된 URL 표시 줄이나 반복되는 인증서 경고의 형태로 반복되는 통지를받을 수 있습니다. 이러한 불편 함을 피하려면 클라이언트 시스템에 사용자 정의 SSL 보안 인증서를 설치하기 만하면됩니다.

사용하는 브라우저에 따라이 과정이 다를 수 있습니다. Internet Explorer와 Chrome은 모두 Windows 인증서 저장소에서 읽지 만 Firefox에는 보안 인증서를 처리하는 사용자 지정 방법이 있습니다..

중요 사항: 너는해야한다. 못 알 수없는 출처의 보안 인증서를 설치하십시오. 실제로 인증서를 생성 한 경우에만 로컬로 인증서를 설치해야합니다. 합법적 인 웹 사이트가 없으면이 단계를 수행해야합니다..

Internet Explorer 및 Google 크롬 - 로컬에서 인증서 설치

참고 : Firefox가 기본 Windows 인증서 저장소를 사용하지 않더라도 여전히 권장되는 단계입니다..

서버 (PFX 파일)에서 클라이언트 시스템으로 내 보낸 인증서를 복사하거나 네트워크 경로에서 사용할 수 있는지 확인하십시오..

위와 완전히 동일한 단계를 사용하여 클라이언트 컴퓨터에서 로컬 인증서 저장소 관리를 엽니 다. 결국 아래 화면과 같은 화면이 나타납니다..

왼쪽에서 인증서> 신뢰할 수있는 루트 인증 기관을 확장합니다. 인증서 폴더를 마우스 오른쪽 버튼으로 클릭하고 모든 작업> 가져 오기를 선택합니다..

컴퓨터에 로컬로 복사 된 인증서를 선택하십시오..

서버에서 인증서를 내보낼 때 할당 된 보안 암호를 입력하십시오..

저장소 "신뢰할 수있는 루트 인증 기관"은 대상으로 미리 채워야합니다. 다음을 클릭하십시오..

설정을 검토하고 마침을 클릭하십시오..

성공 메시지가 나타납니다..

신뢰할 수있는 루트 인증 기관> 인증서 폴더를 새로 고치면 서버에 자체 서명 된 인증서가 저장소에 나열되어 있어야합니다..

이 작업이 완료되면 이러한 인증서를 사용하는 HTTPS 사이트를 탐색하고 경고 또는 프롬프트를 수신 할 수 있어야합니다..

Firefox - 예외 허용

Firefox는 Windows 저장소에서 인증서 정보를 읽지 않기 때문에이 프로세스를 약간 다르게 처리합니다. 인증서 (se-se)를 설치하는 대신 특정 사이트에서 SSL 인증서에 대한 예외를 정의 할 수 있습니다.

인증서 오류가있는 사이트를 방문하면 아래와 같은 경고 메시지가 나타납니다. 파란색 영역은 액세스하려는 각각의 URL의 이름입니다. 해당 URL에서이 경고를 건너 뛰도록 예외를 만들려면 예외 추가 단추를 클릭하십시오..

보안 예외 추가 대화 상자에서 보안 예외 확인을 클릭하여이 예외를 로컬로 구성하십시오..

특정 사이트가 그 자체 내에서 하위 도메인으로 리디렉션하는 경우 URL이 매번 약간 다를 때 여러 보안 경고 메시지가 나타날 수 있습니다. 위에 같은 단계를 사용하여 해당 URL에 대한 예외를 추가하십시오..

결론

위의주의 사항을 반복하여 못 알 수없는 출처의 보안 인증서를 설치하십시오. 실제로 인증서를 생성 한 경우에만 로컬로 인증서를 설치해야합니다. 합법적 인 웹 사이트가 없으면이 단계를 수행해야합니다..

모래밭

Microsoft의 IIS 6.0 Resource Toolkit (SelfSSL 유틸리티 포함) 다운로드