WEB

AlphaSSL 와일드카드 인증서 설치와 OCSP 설정 (Nginx용)

우성군 3 1848 0


1. 와일드카드 인증서와 Letsencrypt 인증서와의 비교


현재 제 홈페이지에는 AlphaSSL의 와일드카드 인증서가 설치되어 있습니다.


와일드카드 인증서는 *.wsgvet.com의 형태로 모든 서브도메인에 대하여 HTTPS 인증이 가능합니다.


그래서 서브도메인을 추가로 만들어도 언제든지 인증이 쉽게 된다는 장점이 있습니다.


Letsencrypt와의 차이점을 살펴보면


Letsencrypt의 경우 멀티도메인, 멀티서브도메인이 지원됩니다. (Letsencrypt 설치하기 : https://www.wsgvet.com/web/179 )


이 말은 1개의 인증서에 여러개의 도메인, 그리고 여러개의 서브도메인이 동시에 인증되는 것입니다.


예를 들어, test.com, 1.test.com, 2.test.com, 1.abc.com, abc.com 과 같이 도메인이 달라도, 그리고 여러 서브도메인이 있어도 됩니다.


다만 와일드카드 인증서가 아니기 때문에 서브도메인을 추가하고 싶다면 인증서를 새로 발급받아야 합니다.



AlphaSSL 와일드카드 인증서의 경우 무한 서브도메인이 지원됩니다.


간단하게 wsgvet.com이라는 도메인이 있다고 보면, *.wsgvet.com가 모두 된다고 보면 됩니다.


1.wsgvet.com, 2.wsgvet.com 등등...


그래서 서브도메인을 새로 만들어도 언제든지 적용이 가능한 장점이 있습니다.


단점이라고 하면 멀티도메인은 지원되지 않기 때문에 1개의 도메인만 인증이 가능하다는 것입니다.



 

2. 인증서 발급받기​


우선 인증서를 발급 받으려면 key파일 및 csr 파일을 생성해야 합니다. 

(참조링크 : https://www.wsgvet.com/web/21)


 

openssl req -nodes -newkey rsa:4096 -keyout privkey.pem -out request.csr


위 명령어를 Putty에 넣으면 key 파일을 생성한 후 csr파일 생성을 위한 정보를 물어봅니다.


rsa:4096 대신 rsa:2048을 넣어도 됩니다. 다만 4096이 보안에 더 좋습니다.



나머지 부분은 적당히 넣으면 되는데 제일 중요한 부분이 Common Name 입니다.


Common Name (e.g. server FQDN or YOUR name) []: 이렇게 나와있는 부분인데요.


와일드카드 인증서이기 때문에 *.domain.com 이라고 적어야 합니다.


그러면 domain.com + *.domain.com이 모두 적용된다고 보면 됩니다.


이제 CSR파일이 생성되었을텐데요.


해당 파일을 열어보면 


 

-----BEGIN CERTIFICATE REQUEST-----

MIIEyzCCArMCAQAwgYUxCzAJBgNVBAYTAktSMQ4wDAYDVQQIDAVEQUVHVTEPMA0G

...............................................................

n7cqjalGp/T0R+rKQ7YkGmlykuOqNqhhBnyw30k2tg==

-----END CERTIFICATE REQUEST-----

 


위와 같은 형식으로 나와있을 것입니다.


이 내용을 인증서 발급업체에 넘기거나, 패널에 입력하면 됩니다.



그리고 인증서가 메일로 오는데, 해당 도메인에 대한 email이 있어야 됩니다. (참조링크 : https://www.wsgvet.com/home/495)


 

admin@domain.com

administrator@domain.com

hostmaster@domain.com

postmaster@domain.com

webmaster@domain.com

 


대략 위 5가지 형태 중의 하나는 가지고 있어야 제대로 인증서를 받을 수 있습니다.


제대로 인증서가 생성이 되고, 도메인 메일로 요청이 들어갔다면


대략 5~10분 정도 기다리면 해당 메일로 밑과 같은 내용의 메일이 들어올 것입니다.


 

An application for a SSL Certificate has been placed with AlphaSSL for *.domain.com and Order ID CEDX0000000. 


In order for AlphaSSL to issue the SSL Certificate, the domain owner or administrator must approve the order.  Please follow the below link to choose to APPROVE or NOT APPROVE the application.


Only if you approve the application will the SSL Certificate be issued. 


https://regist.alphassl.com/ra/dvApproval/dvApproval/DvApproval.do?r=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 


Make sure your browser address bar contains the complete unbroken URL. 


For your information, the Applicant has provided the following details: 


Domain Name: *.domain.com 

Applicant Email Address: admin@domain.com


If you have any questions about this application, please contact us using the details below. 



Kind Regards, 


AlphaSSL Support Team 

 


그러면 가운데에 있는 링크를 클릭하여 승인버튼을 누릅니다.


그리고 5~10분 정도 기다리면 드디어 인증서가 들어있는 메일이 옵니다.


해당 메일의 제일 밑을 보면



 

-----BEGIN CERTIFICATE-----

MIIIQjCCByqgAwIBAgIMKTRATFJJHhZAcgA+MA0GCSqGSIb3DQEBCwUAMEwxCzAJ

................................................................

8HQQiUkf

-----END CERTIFICATE-----

 


위와 같은 내용이 있는데 이게 바로 인증서 내용물이라고 보시면 됩니다.


해당 내용을 복사해서 


domainssl.pem 이라고 파일을 저장합니다.



 

3. Nginx에 쓸 수 있게 가공하기​


이제 중간 인증서 내용을 추가해줘야 합니다.



https://www.alphassl.com/support/install-root-certificate.html


위 링크에 들어가보면



 

SHA-256 - Orders March 31, 2014 and After


AlphaSSL SHA-256 R1 Intermediate Certificates

AlphaSSL CA - SHA256 - G2

SHA256 - RSA - 2048

Valid until: 20 February 2024

 


위와 같은 제목이 있는 인증서 내용을 붙이면 됩니다.


지금 AlphaSSL의 중간인증서 내용은


 

-----BEGIN CERTIFICATE-----

MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw

MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj

kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL

dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs

MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA

cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn

kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het

ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C

AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE

VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw

b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu

Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6

Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X

yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0

XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS

xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG

l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV

odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm

MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ

Uw== 

-----END CERTIFICATE-----

 


위와 같습니다.


이제 아까 저장한 domainssl.pem 파일을 열어서 바로 밑에 넣어줍니다.


그러면 domainssl.pem 내용은


 

-----BEGIN CERTIFICATE-----

MIIIQjCCByqgAwIBAgIMKTRATFJJHhZAcgA+MA0GCSqGSIb3DQEBCwUAMEwxCzAJ

................................................................

8HQQiUkf

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw

MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj

kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL

dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs

MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA

cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn

kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het

ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C

AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE

VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw

b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu

Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6

Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X

yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0

XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS

xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG

l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV

odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm

MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ

Uw== 

-----END CERTIFICATE-----

 


위와 같이 될 것입니다.


내용물의 가운데 내용이


 

-----END CERTIFICATE----------BEGIN CERTIFICATE-----


위와 같이 가로로 붙거나


 

-----END CERTIFICATE-----


-----BEGIN CERTIFICATE-----

 


이렇게 뛰어져도 안되고 정확하게 아래위로 붙어야 됩니다.


이제 저장하면 제대로 된 인증서가 만들어졌다고 보면 됩니다.


실제 Nginx에서 필요한 인증서는 바로 이것입니다.


그리고 제일 처음에 만들었던 privkey.pem 파일이 키 파일이 되는 것입니다.


이 2개만 있으면 HTTPS 통신에 적합합니다.



 

4. OCSP Stapling을 위한 인증서 만들기


Nginx에서 HTTPS 설정을 하다보면 OCSP Stapling이라는 것이 있습니다.


이것은 미리 인증서 서버에 요청하여 인증한 내역을 받아두는 것입니다.


그러면 외부에서 홈페이지 접속할 때 속도가 빨라집니다.



Nginx에서


 

ssl_trusted_certificate /your/ssl/certificate/chain.pem;

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 8.8.4.4 valid=300s;

resolver_timeout 10s;

 


위와 같은 부분이 추가된다고 보시면 됩니다.


이제 chain.pem 인증서를 만들 것입니다.


순서가 중간인증서 -> Root 인증서 순서로 붙어있으면 됩니다.


중간인증서는 아까 봤던 바로 그 내용



 

-----BEGIN CERTIFICATE-----

MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw

MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj

kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL

dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs

MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA

cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn

kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het

ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C

AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE

VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw

b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu

Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6

Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X

yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0

XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS

xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG

l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV

odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm

MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ

Uw== 

-----END CERTIFICATE-----

 


위 내용입니다.



이제 Root 인증서를 받아야 되는데요.


마찬가지로 https://www.alphassl.com/support/install-root-certificate.html 여기에 있습니다.


 

Download the Root Certificates here (Right Click Save-as):


Root CA

crt DER Format | .pem Format | .txt Format - this root CA certificate does not need need to be installed on your webserver

 


위와 같이 있는 내용을 받으시면 됩니다.


현재 AlphaSSL의 Root 인증서는 


 

-----BEGIN CERTIFICATE-----

MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw05ODA5MDExMjAw

MDBaFw0yODAxMjgxMjAwMDBaMFcxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT

aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ

jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp

xy0Sy6scTHAHoT0KMM0VjU/43dSMUBUc71DuxC73/OlS8pF94G3VNTCOXkNz8kHp

1Wrjsok6Vjk4bwY8iGlbKk3Fp1S4bInMm/k8yuX9ifUSPJJ4ltbcdG6TRGHRjcdG

snUOhugZitVtbNV4FpWi6cgKOOvyJBNPc1STE4U6G7weNLWLBYy5d4ux2x8gkasJ

U26Qzns3dLlwR5EiUWMWea6xrkEmCMgZK9FGqkjWZCrXgzT/LCrBbBlDSgeF59N8

9iFo7+ryUp9/k5DPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMBAf8E

BTADAQH/MB0GA1UdDgQWBBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0B

AQUFAAOCAQEA1nPnfE920I2/7LqivjTFKDK1fPxsnCwrvQmeU79rXqoRSLblCKOz

yj1hTdNGCbM+w6DjY1Ub8rrvrTnhQ7k4o+YviiY776BQVvnGCv04zcQLcFGUl5gE

38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP

AbEVtQwdpf5pLGkkeB6zpxxxYu7KyJesF12KwvhHhm4qxFYxldBniYUr+WymXUad

DKqC5JlR3XC321Y9YeRq4VzW9v493kHMB65jUr9TU/Qr6cf9tveCX4XSQRjbgbME

HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==

-----END CERTIFICATE-----

 


위 내용입니다.


이제 중간인증서 -> Root 인증서 순서로 붙여봅니다.


 

-----BEGIN CERTIFICATE-----

MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw

MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj

kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL

dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs

MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA

cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn

kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het

ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C

AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE

VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw

b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu

Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6

Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X

yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0

XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS

xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG

l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV

odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm

MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ

Uw== 

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG

A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv

b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw05ODA5MDExMjAw

MDBaFw0yODAxMjgxMjAwMDBaMFcxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i

YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT

aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ

jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp

xy0Sy6scTHAHoT0KMM0VjU/43dSMUBUc71DuxC73/OlS8pF94G3VNTCOXkNz8kHp

1Wrjsok6Vjk4bwY8iGlbKk3Fp1S4bInMm/k8yuX9ifUSPJJ4ltbcdG6TRGHRjcdG

snUOhugZitVtbNV4FpWi6cgKOOvyJBNPc1STE4U6G7weNLWLBYy5d4ux2x8gkasJ

U26Qzns3dLlwR5EiUWMWea6xrkEmCMgZK9FGqkjWZCrXgzT/LCrBbBlDSgeF59N8

9iFo7+ryUp9/k5DPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMBAf8E

BTADAQH/MB0GA1UdDgQWBBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0B

AQUFAAOCAQEA1nPnfE920I2/7LqivjTFKDK1fPxsnCwrvQmeU79rXqoRSLblCKOz

yj1hTdNGCbM+w6DjY1Ub8rrvrTnhQ7k4o+YviiY776BQVvnGCv04zcQLcFGUl5gE

38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP

AbEVtQwdpf5pLGkkeB6zpxxxYu7KyJesF12KwvhHhm4qxFYxldBniYUr+WymXUad

DKqC5JlR3XC321Y9YeRq4VzW9v493kHMB65jUr9TU/Qr6cf9tveCX4XSQRjbgbME

HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==

-----END CERTIFICATE-----

 


위와 같이 나옵니다.


이제 이 내용을 chain.pem 으로 저장하고 웹서버의 ssl 인증서가 있는 폴더 넣고 Nginx에 적용하면 됩니다.


Nginx에 구체적으로 적용하는 방법은 https://www.wsgvet.com/ubuntu/68 여기에 자세히 적어뒀습니다.

 

 

 

5. ECDSA 인증서 발급 후 하이브리드 인증서 설정하기​


추가로 ECDSA 인증서를 발급 받아 하이브리드 인증서 설정도 가능합니다.


https://www.wsgvet.com/home/492 여기에 Letsencrpyt용으로 적어뒀는데요.


 

openssl ecparam -genkey -name secp384r1 > privkeyecdsa.pem


위와 같이 privkeyecdsa.pem 키 파일을 생성하고


 

openssl req -new -sha256 -key privkeyecdsa.pem -nodes -out requestecdsa.csr


위와 같이 CSR파일을 생성할 수 있습니다.


마찬가지로 Common Name (e.g. server FQDN or YOUR name) []: 이 부분만 주의해주시구요.


그후 과정은 동일합니다.



참 쉽죠? ^^

, , , , ,

3 Comments
선구자 2016.12.14 08:17  
출근길에 핸드폰으로 보고있는데
보기만 해도 어렵네요

하지만 우성군님이 잘 정리해주셔서
따라하면 잘 될것같아요

고생하셨습니다
감사합니다
우성군 2016.12.14 11:19  
[@선구자] 댓글내용 확인
선구자 2016.12.14 13:10  
[@우성군] 댓글내용 확인