openssl 버전 업그레이드 및 TLS 1.2 버전 적용

openssl 버전 업그레이드 및 TLS 1.2 버전 적용

QA

openssl 버전 업그레이드 및 TLS 1.2 버전 적용

본문

안녕하세요.

먼저 그누보드와는 거리가 있는 질문을 드리게되어 죄송합니다.

 

현재 운영중인 서버가 OS도 구형이고, openssl 버전도 낮아서 https(ssl인증서) 적용이 되지않는 문제가 발생하였는데,

현재 사정상 서버 공간을 임대하여 서버를 운영중인 상황이다보니, 호스팅 업체에 도움도 받지 못하는 상황이기에... 

서버관련 지식이 있으신분이 있으시다면, 도움을 받고자 이렇게 글을 남겼습니다.

 

현재 아래와 같은 상황입니다.

 

1. HTTPS 적용을 위해 가비아 SSL 인증서 구매

2. 인증서 초기 인증 작업 완료

3. SSL인증서 서버에 설치 완료

4. https 로 도메인 접속시 크롬에서 아래와 같은 오류 발생

지원되지 않는 프로토콜을 사용합니다. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

(클라이언트와 서버가 일반적인 SSL 프로토콜 버전 또는 암호화 제품군을 지원하지 않습니다.)

 

5. 가비아에 해당 문제 문의

>인증서는 정상 설치로 확인되고, 다만 이용중인 서버의 https 통신 관련 프로토콜이 tls1.0만 지원되니 TLS 1.2 버전 이상을 적용하라

 

6. TLS 1.2 버전을 적용하기 위해서는 OpenSSL 1.0.1 이상 버전 설치가 필요

>현재 오픈ssl 버전 : OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

 

*구글링을 해보면 OpenSSL 업그레이드에 대한 방법들이 나와있기는 한데, 운영중인 서버가 문제가 있을까봐 염려가 되어, 서버전문가가 아닌 제가 선뜻 따라하기가 두렵네요.

 

 

요약해서 질문을 드리자면..

 

1. OpenSSL 업그레이드 작업이 운영중인 서버에 영향을 끼칠만한 작업일까요?

 

2. ssl 적용하는데 비슷한 문제로 경험을 해보신 분들의 조언을 구하고 싶습니다.

 

3. 서버 지식이 적은 본인이 하기 힘든 상황이라면, 전문가의 도움을 받아야할 것 같은데, 서버 개발자 연계에 추천할만한 사이트가 있다면 공유 부탁드립니다.

이 질문에 댓글 쓰기 :

답변 2

업그레이드하면 운영하는데 큰 문제는 없을건데요

pg연동이나 문자발송 쓰게되면 오히려 더 좋구요 

지도연동할때도 필요하구요 

(백업도 미리해보세요 문제된다 생각하면요)

1. OpenSSL 업그레이드 작업이 운영중인 서버에 영향을 끼칠만한 작업일까요?

>root권한 필수

php를 rpm 혹은 yum 방식의 패키지로 설치했다면, openssl(modssl과 php종속) 업그레이드시 에러가 생길 수 있습니다.(소스설치 일경우는 모듈 올리고 재컴파일)

보안모듈 관련 삭제 및 링크해제시 openssl(예:libssl.so, libcrypto.so)로 시스템에 치명적인 오류가 생길 수 있습니다.(예: yum이 실행 안된다거나 되던게 안됨.)

 

2. ssl 적용하는데 비슷한 문제로 경험을 해보신 분들의 조언을 구하고 싶습니다.

>tls1.2이상에서 싸이퍼 관련 설정을 잘 하셔야 합니다. 대체로 메뉴얼에 있으니 따라하시면 되고, ssl발급시 비밀번호를 넣어두면, 아파치 재가동이나, 서버리부팅시 웹서버가 자동으로 구동이 안되므로 임의의 파일에 패스워드를 넣고 SSLPassPhraseDialog에 입력 하시면 됩니다. 요즘은 비밀번호를 따로 안넣는 추세입니다.

 

crt, key,chain 관련 확장자가 crt나 pem으로 되어있을 경우 그냥 로드해도 읽혀 집니다. 간헐적으로 변환작업이 필요할때가 있습니다.

 

SSLProtocol을 설정을 어떻게 하느냐에 따라 약간의 보안점수가 올라갈 수 있습니다.

 

443구축시 보통 VirtualHost로 진행을 합니다.(httpd일경우)

 

443포트 외부접속 허용해 주셔야 합니다.

 

80번 포트에서 443으로 자동 리다이렉트 설정을 해줘야, kisa(인터넷진흥원-보안체크담당)에서 이쁨을 받습니다.

 

서버를 닫아야하고, 백업 필수입니다.(Files && DB)

 

ssl 판매사중 k로 시작하는 업체가 대체로 쌉니다.

 

보통 보안모듈 회사는 sectigo를 많이 이용합니다.

 

이정도면 될 듯 합니다.(글 문맥이 이상해도 이해해 주시길 빕니다. 졸려서요.)

 

3. 서버 지식이 적은 본인이 하기 힘든 상황이라면, 전문가의 도움을 받아야할 것 같은데, 서버 개발자 연계에 추천할만한 사이트가 있다면 공유 부탁드립니다.

그누 커뮤니티에도 숨격진 실력자 분이 많이 있는것으로 압니다. 파란 사이트에도 있고요.

처음이시면, ssl 버전업 관련은 경험자에게 맡기심이 안전합니다.

관련 블로그 링크 올려드립니다. 한번 봐보셔요~

https://itbest.tistory.com/6

답변을 작성하시기 전에 로그인 해주세요.
전체 11
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT