Profile
nx_OP

2018.10.21

아메트린 서버

타 인증기관의 인증서 설치하기 ( simple 사용자를 위한 Lets encrypt설치 )

조회 수 2038 추천 수 1


현재 이 문서를 보시는 분들은 아마 호스팅 중 simple등급의 호스팅을 신청하신 분들이 다수 일 것 같습니다. 

expert등급 이상의 호스팅을 신청하게 된다면, 자동으로 let's encrypt 인증서를 받게 되지요. 

simple등급을 사용하는 저로서는 인증서를 도체 사용할 수 없는 건가해서 애가 많이 탔습니다. 

그런데 주변에 보니 DV등급의 무료인증서를 발급해 주는 타 인증기관들이 있어, 인증서를 얻는 것은 쉬웠지만, 

호스팅은 따로 호스팅 관리자에게 문의해야 한다는 단점이 있어서 이만..


하지만! studyforus는 패널을 사용하고 있죠 (ispconfig)

패널을 사용한다면 사설인증서 설치 어렵지는 않습니다.


그래서 준비했습니다. 설치 과정을 여러분께 알려 주는 것 말이죠.


1. studyforus 패널에 접속하기


호스팅을 신청하신 분이라면 "studyforus페이지 -> Links -> 패널접속"을 하여

발급받은 (발급한) 아이디와 비밀번호를 입력하신 후, 접속하신다음, 사이트 버튼을 클릭하게 되면

아래 사진과 같이 나오게 됩니다.

( 만약 갓 호스팅을 하시게 된 경우 사이트의 설정을 먼저 하셔야 합니다 ex)사이트 도메인주소 지정, 데이터베이스 계정, php설정등..

설정하는 법은 studyforus 사이트에 나와있습니다)

(필자는 simple호스팅을 사용하고 있음..)


그후 도메인주소를 클릭하세요.

클릭을 하셨다면 사이트 내부설정 페이지가 나오게 됩니다.

내부설정페이지에서 ssl탭을 클릭하세요

(빨간줄 쳐져있는 SSL탭을 클릭)

그후, Web Domain이라는 큼지막하게 쓰여진 글씨 밑에 있는 탭 5개 중 SSL이라는 탭을 클릭하세요


클릭하셨다면, 아래와 같이 행동하세요


1. 내 사이트에 대한 설정 입력

시/군/구를 입력해주세요 ex) Gyeonggi-do

소재지를 입력해주세요 ex) Goyang-si

조직이름을 입력해주세요. 조직이름은 사이트 본명을 입력하셔도 되고, 사이트에 맞게 알아서 입력해주시면 됩니다. ex) apple inc.

조직단위는 말 그대로 조직단위를 뜻합니다. ex) apple inc. secure team

국가는 외국에 거주하시는 분 아니시라면 Korea, Republic of를 선택해주세요.


이제 여기서 가장 중요한 차례입니다.

SSL도메인을 입력하는 것인데요. 여기에 입력될 도메인은 호스팅신청때 등록시킨 사이트의 주소, 즉 현재 호스팅중인 사이트 주소만을 입력해주셔야

합니다!

그리고 타 인증기관에서 인증서를 발급할때 와일드카드 인증서를 발급하려 하신다면 *.도메인 이름 즉, apple.com이 도메인 이름이라면

*.apple.com으로 지정해주셔야 합니다. 만약 일반 인증서 (와일드카드를 지원하지 않는 Domain validation 이나 Organization validation)은 도메인이름만

입력하시면 됩니다 ex) apple.com

(www.apple.com , ww1.apple.com 과 같이 하위도메인을 입력하시면 안됩니다)


모든 입력이 끝나셨다면 저장을 SSL Action탭에서 인증서 생성을 클릭하신후, "저장"버튼을 누르시면 됩니다.

"저장"버튼을 누르셨다면 오른쪽 상단 변경알림 빨간색 원이 사라질때까지 기다려주세요

사라진 후, 다시 사이트 -> SSL 탭을 클릭하셔서, SSL Request와 SSL key가 생성 되었는지 확인해주십시오.

(SSL Request와 SSL key 제외하고 SSL Certificate도 생성되셨을 겁니다. SSL Certificate는 삭제 하지 말아주세요..)

만약 생성되지 않는다면, 오류가 발생한 것으로 다시 인증서 생성 절차를 진행하셔야 합니다.

확인이 되셨다면 1단계는 마쳤습니다.


2. 인증서 생성 _ Lets encrypt

이제 인증서를 생성해보아야겠습니다

유료인증서를 발급하는 것보다는 무료인증서를 발급받는 편이 경제적으로 더 이득이겠죠?


일단 발급하기전 미리 준비해두어야 할 것이 있습니다.


1단계에서 마지막으로 인증서를 저장하고 마쳤습니다. 이 인증서는 실제상으로 아무런 인증을 받지 않은 인증서로

보다시피 보안의 가치가 없습니다. (브라우저에서 오류를 뿜어대는 모습을..)

하지만 가치는 없는대신에 CSR생성이 되어있는 것을 보실 수 있습니다.

(CSR은 SSL Request와 같습니다.)


ipsconfig에서 1단계때 입력한 시/군/구, 소재지, 조직이름 등을 이용하여 CSR과 그 Privatekey를 생성한 것 이지요.

그리고 입력된 정보로 인증서를 생성한 것 입니다 (인증되지 않은 인증서)


이 CSR과 Privatekey를 메모장에 붙여넣기 합시다.

( 인증서도 같이 발급되었을텐데, 이 인증서 필드는 그냥 두십시오 (절대 복사 금지))

복사를 하셨다면 인증서를 생성하러 가봅시다

( 사진에 기재된 것 처럼 복사-1, 복사-2로 나누어 해설할 예정이니, 이 이름으로 텍스트를 저장하신다면, 헷갈릴 이유가

없겠죠? )

복사 -1는 SSL key로 따로 복사하실 필요는 없지만 혹시라도 사라질 가능성을 염려해 미리 복사해 두시는게 현명한 방법일듯 합니다.

( SSL key는 인증서 생성때 따로 쓰이지 않아서, 그냥 복사 안하시고 두어도 무방합니다. )


인증서는 간단하고 무료인 Let's encrypt인증서를 발급해보겠습니다.

유료 인증서도 포함하여 기재하겠습니다..

무료이지만 꽤나 안전성은 우수한 인증서 이지요 (Qualys SSL labs에서 hsts와 Lets encrypt인증서 사용할 시 A+를 받는다는 그런..)

simple이 아닌 expert나 unlimited 라면 무료로 제공하지만 저희는 그러지 않는 관계로..


일단 가장 간단하게 발급받을 수 있는 사이트인 sslforfree.com에 접속해보겠습니다

여기에서 "enter your website to secure" 란에 내 도메인주소를 입력합니다

(와일드카드일 경우, *.[내도메인].com 과 [내도메인].com 둘다 입력하셔야 합니다.)

(와일드카드가 아니라면, www.[내도메인].com , [내도메인주소].com 둘다 입력하셔야 합니다)


입력하셨다면 Manual verification DNS를 누르신뒤, Manually verify domain을 누르세요

그리고 스크롤을 한뒤 I Have My Own CSR 란을 누르세요

그뒤 복사-1 (CSR이라 불리는 SSL Request)를 붙여 넣어주세요

그리고 Download SSL certificates를 누르시지 마시고, 내 도메인의 네임서버에 접속하여 2개의 txt레코드를

각각 입력하여 주시면 됩니다.

( TXT 레코드란은 sslforfree사이트에 "Add TXT record with the namehost" 라 적혀있는 부분 2개를 의미하는 것 입니다

와일드카드가 아닌 경우 : _acme-challenge.[도메인 주소] 와 그 밑에 해당되는 value , _acme-challenge.www.[도메인 주소] 그 밑에 해당되는 value 

와일드카드인 경우: _acme-challenge.[도메인 주소] 와 그 밑에 해당되는 value , _acme-challenge.*.[도메인 주소] 그 밑에 해당되는 value ( 아마 이걸 겁니다.. 확실하지는 않음..)

)

이대로 다하셨다면, 지정하신 만큼의 TTL (DNS Caching 수명)이 다할때까지 기다렸다 Download SSL Certificate버튼을 누르시면 됩니다

완료되셨다면, 인증서를 다운로드 받습니다. ( 다운 받으신 인증서 zip파일 (또는 압축파일)에 인증서 두개가 있다면 올바르게 다운받아진 것 입니다.)

만약 완료되시지 않으셨다면 올바른 TXT레코드를 설정하셨는지 확인하시거나 남은 TTL을 기다린후 다시 하시면 될 겁니다..


2. 인증서 생성 _ SSL.COM CA

이번에는 유료 타 인증기관 SSL을 사용해보도록 하겠습니다.

저는 SSL.COM의 인증서를 사용했습니다. COMODO가 대체적으로 싸긴 합니다만.. 그냥 간단한 SSL.COM으로 하였습니다.


SSL.COM에서 회원가입을 하셨다면 SSL / TLS Certificates로 들어가신뒤 하고 싶으신 인증서를 선택하여 구입합니다.

(extended validation이나 Organization Validation은 사업자 인증이 요할 수 있습니다.)


저는 Basic을 구매를 했으나, 구매하고나서라 설정하는 모습을 따로 저장하지를 못해서 무료 90일 인증서를 구입하여 보여드리도록 하겠습니다.

(Domain validate는 전부 아래의 설정 모습과 같습니다. EV와 OV 인증서는 사업자 인증때문에 차이가 조금 있겠지요..?)


구입을 완료하셨다면, 이제 설정을 할 차례입니다.

(인증서 정보가 조금이라도 있으면 다.. 블록처리했습니다..)

빨간 타원이 쳐져있는 "Click here"를 클릭합니다.

클릭하셨다면 이페이지로 오게되는데요.

여기서 *CSR이라 되었는 부분의 우측 커다란 입력란에 복사 -2 (CSR, SSL Request)를 붙여넣습니다.

Serversoftware는 Other로 그냥 둔뒤, Subscriber Agreement는 체크해주시고 다음 단계로 넘어갑시다. (NEXT 버튼 클릭)


올바른 CSR 생성이 1단계에서 되었다면 대부분 중요 빈칸들은 매꿔져 있을 것입니다.

메꾸어 지지 않은 Postalcode (우편번호) 와 Address1을 입력하고, Country에서 국가를 Korea로 바꾼 후

다음으로 넘어갑시다. (NEXT 버튼 클릭)

연락처를 만들어야 하는데요.

"Create New Contact" 를 누르신 후, *가 쳐져있는 빈칸의 내용을 서술하여 넣습니다. ( *First Name, *Last Name 과 같은 *표시가 붙은 양식)

그리고, Roles에서 Administrative를 누르신뒤, create를 누르셔서 연락처 생성을 완료하세요.

( 추가로 연락처를 만드시고 싶다면 "+ Create Contact"를 누르신뒤 연락처를 추가 생성하세요 )

생성 되셨다면, NEXT를 눌러 다음단계로 진입합니다.

도메인 유효성검사를 해야하는데요.

만약 도메인이 SSL을 이미 기본으로 사용중이시라면, options에서 "CSR hash text file using https://"로 바꾸신뒤, 진행하세요.

만약 아니라면 그대로 수정하지 않은채 두시면 됩니다.

ftp 프로그램을 이용해 web폴더에 .well-known폴더를 만들고 그 하위폴더로 pki-validation을 만듭니다. 그뒤 사이트에서 제공하는 텍스트파일

( Upload this file to the location ….. 에서 this file에 링크가 걸려있습니다. 이 링크로 접속하신뒤 텍스트 파일을 다운 받으실 수 있습니다 )

를 pki-validation에 넣습니다.

그뒤 Validate버튼을 누릅니다.


완료되셨다면 인증서 메인으로 이동합니다.


인증서 메인으로 이동하셨다면 우측 certificate download by platform에서 CA bundle을 다운로드 받습니다.

다운로드 된 파일에 인증서가 2개 (또는 2개 이상) 있다면 옳게 설치 된 것입니다.



3. 인증서 설치


설치 받으신 인증서는 어떻게 설치하는지는 동일한 방법으로 진행됩니다.

설치는 되게 쉽습니다.


lets encrypt인증서를 다운 받으셨다면 certificate.crt와 ca_bundle.crt가 있을텐데요.

내 호스팅 패널로 이동하신뒤, 사이트의 SSL탭으로 이동합니다.


거기에서 SSL Certificate에 있는 자체서명인증서(ispconfig에서 생성한 인증서)를 제거하신뒤,  certificate.crt를 메모장으로 연다음 -----begin certificate-----로 시작하는 텍스트 파일을 복사하여 SSL Certificate로

붙여 넣습니다.

그뒤 ca_bundle.crt파일을 SSL Certificate와 동일한 방법으로 메모장로 연다음 -----begin certificate-----로 시작하는 텍스트를 복사하여 SSL Bundle에 붙여넣기 합니다.

그다음 SSL Action에서 인증서 저장을 누르신뒤 저장 버튼을 누르신다면 설치가 완료됩니다.


이게 다냐구요?


네. 이게 답니다....


유료 SSL설치 방법도 동일하게 진행하시면 됩니다. 다만 발급기관 마다 인증서에 붙이는 이름은 다를텐데, 대부분이 SSL번들은 CA_bundle로 표기하기에 내 SSL인증서와 구분되어있습니다.

여기서 주의할 점이 한가지 있습니다.


ispconfig의 오류인지는 모르겠지만 여러 인증서를 뭉쳐놓은 CA_bundle은 인식하지 못하고 튕겨버리는 문제가 가끔씩 발생하곤 합니다.

그럴때에는 그냥 아예 CA_bundle를 빼버리거나 최종 윗 RootCertificate만 따로 복사하여 CA_bundle로 사용하시는게 현명한 방법일 듯합니다


하지만, Qualys ssl labs의 인증서 테스트 결과는 체인인증서 몇개가 빠져있기에 문제가 생기곤 하는데(A+에서 B가 된다던가..), 일반 사람들이 사이트를 방문하면, 브라우저에서 인증서가 왠만하면 신뢰됨으로 떠서

문제는 없습니다..(ssl labs의 인증서 테스트 결과에서 보면 모든 OS에서 신뢰됨으로 뜨기에 문제는..없지요)


그래도 이게 거슬리시다면, ispconfig가 아닌 다른 패널을 이용하는 타 호스팅업체를 살펴보시는게? 좋을 방법일듯 싶네요..


이것으로 "타 인증기관의 인증서 설치하기 ( simple 사용자를 위한 Lets encrypt설치 )"를 끝마치도록 하겠습니다.


긴 글보시느라.. 수고 많으셨습니다..







Profile
0
Lv

6개의 댓글

Profile
마스터
2018.10.21
자세한 설명 감사합니다.

포인트 드리겠습니다!
Profile
Whois
2018.10.22
SSL 인증서 필드가 비어있습니다. 라고 뜨면서 1번에서 막히네요.;
뭘 잘못한걸까요?
Profile
title: 투명 아이콘슬기
2018.10.22

인증서 등록하는 법이 올라왔네요..나중에 참고해봐야겠네요!

------

일부 내용과 다른 부분과 함께 설명이 수정되어야할부분이 있네요.

첫 무료 인증서 등록부분 부터 인증서 발급까지 내용이 다른부분이 있네요.

패널에서 인증서 발급받기전 셋팅부분에서는 저장옵션 선택 후 저장하게되면 저장이 안됩니다. 필드가 비어있다고..

그리고 설명엔 Manual Verification 이지만 이미지는 Manual Verification DNS이네요.


Profile
nx_OP
2018.10.22
밑에 필드는 아무것도 입력안하시면 됩니다
단지 위에 인증서 정보만 입력하면, 생성이 될텐데요..
다시 확인해보겠습니다
Profile
nx_OP
2018.10.22
생성 버튼을 눌러야 하군요! 잘못 오인했습니다.
수정했습니다..
Profile
kgoon
2020.11.23

감사합니다. 수동 생성을 했어야 하는데 처음에 자동으로 생성을 해서 조금 헤매었네요...

잘 되네요~~

번호 제목 글쓴이 날짜 조회 수
[아메트린 서버] 타 인증기관의 인증서 설치하기 ( simple 사용자를 위한 Lets encrypt설치 ) 6 nx_OP 2018.10.21 2038