인증기관 허가(CAA, Certificate Authority Authorization)

2020-01-30 KENNETH 0

인증기관 허가(CAA, Certificate Authority Authorization) 참조URL(한글) : https://letsencrypt.org/ko/docs/caa/ 참조URL(영문) : https://letsencrypt.org/docs/caa/   개요 (letsencrypt 사이트 발췌… 귀챦아서.. ㅎ) CAA는 사이트 소유자가 도메인 이름을 포함한 인증서를 발급할 수 있는 CA (인증 기관)를 지정할 수 있도록 하는 DNS 레코드 유형입니다. CA가 의도하지 않은 인증서 오용의 위험을 줄이기 위해 RFC 6844에 의해 2013년에 표준화되었습니다. 기본적으로 모든 공용 CA는 공용 DNS의 모든 도메인 이름에 대한 인증서를 발급할 수 있습니다 (단, 해당 도메인 이름의 제어를 확인한 경우). 즉 많은 공용 CA의 유효성 검사 프로세스 중 하나에 버그가 있는 경우, 모든 도메인 이름이 잠재적으로 영향을 받습니다. CAA는 도메인 소유자가 이 위험을 줄일 수 있는 방법을 제공합니다.   설명하는것은 여기 까지고.. ㅎ 좀 극단적으로 표현하자면 내 사이트의 인증서는 “여기(발급업체)” 에서 발급하는거야(여기 것만 유효한거야) 라는 표현정도랄까…   적용방법 DNS에 직접 작업을 진행하는 형태이고 만약 사용중인(또는 발급예정인) 인증기관이 “letsencrypt.org”라고 한다면 이러한 형태로 레코드를 추가하면 되겠다. 보다 정확한 레코드 생성을 [ more… ]

[openssl] “Mac verify error: invalid password?” when Changing from pfx to pem certificates

2019-05-29 KENNETH 0

1. 목적 윈도우용으로 발급되었던 인증서 PFX 파일을 아파치 환경에서 사용하기 위해 PEM 형태로 변환 해야 함   2. 문제점 Mac verify error: invalid password? 이미 사용중인 인증서 패스워드도 정확히 인지 하고 있는 상태에서 변환 시도를 하면 “패스워드가 맞지 않는다” 라고 나옴… (패스워드는 “정확함” 을 가정)   3. 원인 현재 찾는중….     4. 해결법 “-password” 옵션 사용 -password 옵션 사용시 정상 처리 됨을 확인 가능   보통 인증서 변환에 대해 찾아보면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key 이런 형태로 소개가 되어 있음… 혹, 패스워드 이슈가 발생 한다면 인증서 추출 openssl pkcs12 -in choilha.pfx -clcerts -nokeys -out choilha.crt -password pass:lovechoilha 키파일 추출 openssl pkcs12 -in choilha.pfx -nocerts -nodes -out choilha.key -password pass:lovechoilha   이렇게 해보시면 되겠다…

How to set up http/2(h2) on nginx (and spdy…)

2018-06-27 KENNETH 0

참조 URL : http://nginx.org/en/docs/http/ngx_http_v2_module.html 먼저… spdy 설정은 하지 않는다… 그냥 h2 지원만 해주면 된다는 것…! openssl, nginx 등은 설치 되어 있다고 가정 한다.   nginx 환경 확인 http_v2_module 을 지원하는지 (결과에 문자열이 보이는 지) 확인 하자   nginx 설정 중요한 부분은 “listen” 지시자의 마지막에 “http2” 가 추가 되는 것… 그 이외의 부분은 SSL 적용에 대한 내용 이다.   지원 여부 확인 (by chrome) 크롬브라우저의 개발자모드(F12) -> Network 탭 -> 출력되는 항목의 제목 필드를 마우스 우클릭 후 (protocol 항목 추가 선택) 이후 브라우저를 리프레시 하여 “protocol” 필드에 “h2″가 출력되면 완료 된 것.      

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE in PHP (after update centos-7.4)

2017-11-14 KENNETH 0

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE CentOS-7.4 업데이트 이후 PHP측의 별다른 설정 내지는 설치 관련 작업 이슈가 없었음에도 발생   1. 테스트 코드 <? error_reporting(E_ALL); ini_set("display_errors", 1); var_dump(openssl_get_cert_locations()); fsockopen("ssl://fcstdpay.inicis.com",443); ?> 정작 작동을 안하는 부분은 fsockopen(”ssl://fcstdpay.inicis.com”,443); 이 부분으로.. 상단은 그냥 에러 참고용…     2. 발생 에러 PHP Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/jirak.net/public_html/bb.php on line 4 Call Stack: 0.0003 348216 1. {main}() /home/jirak.net/public_html/bb.php:0 0.0004 348696 2. fsockopen() /home/jirak.net/public_html/bb.php:4 PHP Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 PHP Stack trace: PHP 1. {main}() /home/jirak.net/public_html/bb.php:0 PHP 2. fsockopen() /home/jirak.net/public_html/bb.php:4 Warning: fsockopen(): Failed to enable crypto in /home/jirak.net/public_html/bb.php on line 4 [ more… ]

No Image

[AWS] certificate arn:aws:iam server-certificate not found when configure ELB

2017-06-06 KENNETH 0

1. 상황 ELB 구성 작업 시 HTTPS 프로토콜을 추가하면 SSL 인증서를 지정하는 항목이 나옴 해당 설정을 완료후 마지막 ”launch”를 클릭하면 certificate arn:aws:iam server-certificate not found 오류가 발생 하면서 ELB 구성(생성)이 완료 되지 않음   2. 확인 2.1 SSL 인증서 오류 문제 private key certificate file of domain certificate chain ELB 등록시 필요한 3요소에는 문제가 없음 실제 아파치에 직접 적용을 해봐도 문제가 없음 물론 같은 방식으로 지금까지 잘 사용했고 이후 설명하는 방법에서도 같은 인증서 파일들을 이용해 성공 했기 때문에 인증서(파일)의 문제로 보기 어려움   2.2 시간적 특이사항 아마도 나중에 다시 해봤으면 성공 했지 싶음 하지만 내겐 그만한 시간이 없고, 약 1시간 가까이 테스트를 해본 결과 되지 않았음   2.3  ELB 방식의 차이? Application Load Balancer Classic Load Balancer 모두 동일한 결과가 나왔음   2.4 유추한 문제 웹 기반 콘솔에서는 더이상 안되겠다는 판단 인증서 업로드가 안되기 때문에 마지막 단계에서 파일을 찾지 못한다고 [ more… ]