메뉴 닫기

Let’s Encrypt 무료 SSL 인증서 적용하기 [ WINDOWS ]

 

 

 

 

Let’s Encrypt FreeSSL/TLS은 Mozilla, Cisco, Akamai, EFF, id entrust 등이 모여서
ISRG(Internet Security Research Group)라는 SSL 인증기관을 만들어 SSL을 무료로 제공하고 있으며, 
최근에는 Facebook, 워드프레스를 만드는 Automattic, shopify 등 많은 회사가 스폰서로 참여하고 있습니다.

IWINV 계정클라우드 웹호스팅 서비스에서 제공하는 Let’s Encrypt FreeSSL/TLS 무료 인증서는
90일간 유효한 인증서 이며, 한번의 클릭으로 자동 발급, 90일 이전에 자동으로 갱신 하여 드립니다.

 [ 신청하기 ]

IWINV &  CLOUDV 는 모든 고객님들께 Let’s Encrypt FreeSSL/TLS 무료 인증서의 발급/갱신 절차를 
“기술지원 서비스”를 통해  제공합니다. [ 단, 소정의 작업비용이 발생 할 수 있습니다. ]

※  IWINV &  CLOUDV 에서 발급받은 Let’sencrypt 인증서는 자동 갱신 프로세스가 마련되어 있으며,
      “기술지원 서비스” 요청시 제공 됩니다.

 

[ 2017년 4월 IWINV 이벤트 – “SSL 설치비 반값 이벤트 바로보기” ]

 

SSL 간단한 동작 과정


 SSL(Secure Socket Layer)은 웹사이트의 전송 데이터를 https 프로토콜을 사용하여 암호화 통신하며,
웹사이트 전체 또는 개인정보 등의 데이터 전송시 암호화여 안전한 데이터 전송이 가능하게 해주는 기술입니다.

1. 웹브라우저에서 https://도메인 입력으로 SSL로 암호화된 페이지를 요청.
2. 웹서버에서 Public Key를 인증서와 함께 전송.
3. 웹브라우저에서 인증서가 자신이 신용있다고 판단한 CA(일반적으로 trusted root CA라고 불림)로부터 
    서명된 것인지 확인.
4. 웹브라우저에서 Public Key를 사용해서 랜덤 대칭 암호화키(Random symmetric encryption key)를 비롯한
    URL, http 데이터들을 암호화해서 전송.
5. 웹서버의 Private Key를 이용해서 랜덤 대칭 암호화키와 URL, http 데이터를 복호화.
6. 웹서버는 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 이용하여 암호화해서
    브라우저로 전송.
7. 웹브라우저에서 대칭 키를 이용해서 http 데이터와 html문서를 복호화하고, 화면에 표시.

 

Windows Server 에 Let’s Encrypt Free/SSL 반영하기


※  IIS에서 사이트(도메인)에 대한 기본설정이 완료 된 후 진행 하여야 합니다.
※  기본 요구사항
    – IIS 7.5 이하에서 여러 도메인(사이트)에 대해 SSL을 사용하려면 모두 동일한 IP 주소로 바인드 해야 한다.
    – V 1.9이후 부터 최대 100개 도메인(사이트)까지 SAN 인증서를 생성합니다
    – IIS 8로 업그레이드 +
    – 와일드 카드 인증서를 지원하지 않는다.
    – 최소 .NET 버전 4.5이상을 설치되어 있어야 한다.


 
▶ Let’s Encrypt-win-simple 다운로드
다운로드 URL : https://github.com/Lone-Coder/letsencrypt-win-simple/releases
[ 위 URL 에서 다운로드 받은 후 적절한 위치에 다운로드 후 압축 해제 ]

▶ Let’s Encrypt 인증서 발행
    letsencrypt.exe 실행 만으로 인증서 설치 과정이 진행됩니다.

 IIS의 사이트 설정 내용을 확인 후 발급을 원하는 도메인 항목 선택하면 다음과 같이 인증서가 발급 됩니다.

 

인증서 설치 경로 확인

( Windows에서 APACHE 웹서버를 운영하는 경우 아래의 인증서 경로를 참조하시기 바랍니다. )
Saving Certificate to
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\xxxx.xxxx.com-crt.der

Saving Issuer Certificate to
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\ca-0A0141420000015385736A0B85ECA708-crt.pem

Saving Certificate to
C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\xxxx.xxxx.com-all.pfx

마지막으로 유저 생성 및 비밀번호에 대해 추가할 것인지 확인합니다. ( y/n )
Do you want to specify the user the task will run as? (y/n)  —-  “n” 입력후 Enter

특정 사이트(도메인)에 대한 인증서 발급
설정되어 있는 사이트 목록을 선택하는 과정을 생략할 수 있습니다.

형식 : letsencrypt.exe –manualhost <domain-name> –webroot <document-root>
예문 : letsencrypt.exe –accepttos –manualhost packet10.ssgstar.com –webroot C:\www\packet10    

인증서 발급이 완료 되면 인증서 설정 및 ssl 인증서 관련 IIS 설정이 완료 된 것을 다음 메뉴에서 확인 할 수 있습니다.

아래와 같이 인증서가 IIS에 추가되어 있음을 확인 할 수 있습니다.

SSL 통신에 필요한 포트(443) 설정 확인 및 사이트 접속 확인

 

▶ Let’s Encrypt 인증서 갱신
배치 파일을 만들어 갱신할 수 있으며 명령어를 직접 입력하여 갱신도 가능합니다.

인증서 갱신을 하게 되면 다음과 같이 진행됩니다.

인증서 갱신 스케줄러 등록을 통해 정기적인 자동 갱신을 반영할 수 있습니다.
SCHTASKS /Create /SC MONTHLY /TN letsencrypt /TR “letsencrypt.exe –accepttos –manualhost 도메인 –webroot C:\경로”

※ 참고사항으로 Let’s Encrypt SSL 인증서 갱신과 관련하여 linux에서는 발급 후 1일 이후 부터 갱신이 가능하지만
     Windows의 letsencrypt.exe 로는 갱신이 되지 않고 있습니다.
     ( –renew 옵션이 존재하나 모든 인증서의 갱신이 아닌 갱신이 필요한 인증서의 갱신 체크만 진행 됩니다. )
     때문에 실재 인증서 갱신은 인증서 발급명령과 동일하게 진행하여야 되며, 추후 letsencrypt-win-simple 의 업데이트시 갱신 관련  
     옵션의 추가를 학인해볼 필요가 있습니다.

▶ Let’s Encrypt 인증서 삭제
Windows 의 경우 2017년 3월 기준으로 인증서 삭제 옵션을 제공되지 않고 있습니다. 
따라서 저장된 인증서 경로에서 해당 도메인의 폴더를 삭제하고, SSL 설정을 수정해 주어야 하는 번거로움이 있으니
주의 하시기 바랍니다.

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다