How to set up http/2(h2) on nginx (and spdy…)

2018-06-27 KENNETH 0

참조 URL : http://nginx.org/en/docs/http/ngx_http_v2_module.html 먼저… spdy 설정은 하지 않는다… 그냥 h2 지원만 해주면 된다는 것…! openssl, nginx 등은 설치 되어 있다고 가정 한다.   nginx 환경 확인 http_v2_module 을 지원하는지 (결과에 문자열이 보이는 지) 확인 하자   nginx 설정 중요한 부분은 “listen” 지시자의 마지막에 “http2” 가 추가 되는 것… 그 이외의 부분은 SSL 적용에 대한 내용 이다.   지원 여부 확인 (by chrome) 크롬브라우저의 개발자모드(F12) -> Network 탭 -> 출력되는 항목의 제목 필드를 마우스 우클릭 후 (protocol 항목 추가 선택) 이후 브라우저를 리프레시 하여 “protocol” 필드에 “h2″가 출력되면 완료 된 것.      

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE in PHP (after update centos-7.4)

2017-11-14 KENNETH 0

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE CentOS-7.4 업데이트 이후 PHP측의 별다른 설정 내지는 설치 관련 작업 이슈가 없었음에도 발생   1. 테스트 코드 <? error_reporting(E_ALL); ini_set("display_errors", 1); var_dump(openssl_get_cert_locations()); fsockopen("ssl://fcstdpay.inicis.com",443); ?> 정작 작동을 안하는 부분은 fsockopen(”ssl://fcstdpay.inicis.com”,443); 이 부분으로.. 상단은 그냥 에러 참고용…     2. 발생 에러 PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 Call Stack: 0.0003 348216 1. {main}() /home/jirak.net/public_html/bb.php:0 0.0004 348696 2. fsockopen() /home/jirak.net/public_html/bb.php:4 PHP Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 [ more… ]

No Image

[AWS] certificate arn:aws:iam server-certificate not found when configure ELB

2017-06-06 KENNETH 0

1. 상황 ELB 구성 작업 시 HTTPS 프로토콜을 추가하면 SSL 인증서를 지정하는 항목이 나옴 해당 설정을 완료후 마지막 ”launch”를 클릭하면 certificate arn:aws:iam server-certificate not found 오류가 발생 하면서 ELB 구성(생성)이 완료 되지 않음   2. 확인 2.1 SSL 인증서 오류 문제 private key certificate file of domain certificate chain ELB 등록시 필요한 3요소에는 문제가 없음 실제 아파치에 직접 적용을 해봐도 문제가 없음 물론 같은 방식으로 지금까지 잘 사용했고 이후 설명하는 방법에서도 같은 인증서 파일들을 이용해 성공 했기 때문에 인증서(파일)의 문제로 보기 어려움   2.2 시간적 특이사항 아마도 나중에 다시 해봤으면 성공 했지 싶음 하지만 내겐 그만한 시간이 없고, 약 1시간 가까이 테스트를 해본 결과 되지 않았음   2.3  ELB 방식의 차이? Application Load Balancer Classic Load Balancer 모두 동일한 결과가 나왔음   2.4 유추한 문제 웹 기반 콘솔에서는 더이상 안되겠다는 판단 인증서 업로드가 안되기 때문에 마지막 단계에서 파일을 찾지 못한다고 [ more… ]

No Image

Mozilla SSL Configuration Generator

2016-10-14 KENNETH 0

URL : https://mozilla.github.io/server-side-tls/ssl-config-generator/   웹서버,openssl 버전 별로 SSL 설정을 자동화 해서 안내 해줌… 세상에 이걸 첨 알다니.. ㅋㅋㅋㅋㅋㅋ   샘플로 한번 해보자면 1. httpd-2.4 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security "max-age=15768000" … </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLHonorCipherOrder on # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000)   2. httpd-2.2 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security [ more… ]

No Image

Unable to validate certificate chain in aws elb – comodossl

2016-09-05 KENNETH 0

AWS ELB 설정시 SSL 인증서를 등록하는 중에… 이와같은 에러를 만났다면.. 발급받은 인증서 파일들에는 문제가 없음을 가정한다. 이 문제는 마지막 항목인 ”Certificate Chain”의 입력값을 지적하는 내용이다.   아마도 당신이 발급받은 체인 인증서 목록은 아래와 같을 것이다. AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 이중에서… COMODO.. 로 시작하는 두개의 파일이 있는데… 그중 COMODORSADomainValidationSecureServerCA.crt 파일의 내용을 먼저 입력하고.. 그 다음 COMODORSAAddTrustCA.crt 파일의 내용을 입력해 보자.. 명령어로 굳이 설명하면.. cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt 를 실행해서 출력된 값을 넣어보자..   그렇다면 정상적인 등록이 될것이다…