No Image

Unable to validate certificate chain in aws elb – comodossl

2016-09-05 KENNETH 0

AWS ELB 설정시 SSL 인증서를 등록하는 중에… 이와같은 에러를 만났다면.. 발급받은 인증서 파일들에는 문제가 없음을 가정한다. 이 문제는 마지막 항목인 ”Certificate Chain”의 입력값을 지적하는 내용이다.   아마도 당신이 발급받은 체인 인증서 목록은 아래와 같을 것이다. AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 이중에서… COMODO.. 로 시작하는 두개의 파일이 있는데… 그중 COMODORSADomainValidationSecureServerCA.crt 파일의 내용을 먼저 입력하고.. 그 다음 COMODORSAAddTrustCA.crt 파일의 내용을 입력해 보자.. 명령어로 굳이 설명하면.. cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt 를 실행해서 출력된 값을 넣어보자..   그렇다면 정상적인 등록이 될것이다…  

No Image

can’t start httpd(apache-2.4) with ssl module

2015-12-15 KENNETH 0

  아파치에 SSL모듈 및 가상호스트 설정후 아래 로그와 함께 아파치가 시작이 되지 않음   환경 OS : linux apache : 2.4   로그 [ssl:emerg] [pid 11900] AH02572: Failed to configure at least one certificate and key for notssldomain.com:443 [ssl:emerg] [pid 11900] SSL Library Error: error:140A80B1:SSL routines:SSL_CTX_check_private_key:no certificate assigned [ssl:emerg] [pid 11900] AH02312: Fatal error initialising mod_ssl, exiting. AH00016: Configuration Failed 일단 SSL관련 오류가 발생 특이한 것은 SSL적용 대상이 아닌 도메인에 대해 (notssldomain.com:443) 으로 에러 로그가 기록됨   의문 인증서 파일에 문제가 있어도 발생할 수 있는 에러이지만… 아무리 확인을 해봐도 인증서에는 문제가 없고(동일한 환경에서 잘 사용중인 인증서) 환경도 별다른 문제가 없어 보였는데…     문제점 SSLEngine On 설정이 전역으로 들어간 것이 문제;;;;;;;   정상 <VirtualHost *:443> ServerName ssldomain.com . . SSLEngine on SSLCertificateFile …. SSLCertificateKeyFile …. </VirtualHost>   문제 SSLEngine on . <VirtualHost *:443> ServerName ssldomain.com . . SSLCertificateFile …. SSLCertificateKeyFile [ more… ]

No Image

SSL Library Error: -8181 Certificate has expired

2015-09-08 KENNETH 0

아파치(apache)가 구동되지 않는 문제!!! 에러내용 [error] SSL Library Error: -8181 Certificate has expired [error] Unable to verify certificate ‘Server-Cert’. Add “NSSEnforceValidCerts off” to nss.conf so the server can start until the problem can be resolved. [error] Certificate not verified: ‘Server-Cert’   2. 환경 OS : RHEL-5, CentOS-5 패키지 : 기본 rpm 기반의 apache 와 mod_nss 다른 버전은 테스트 안해봄 https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=711085 이런 내용이 있다고들 한다.   mod_nss 패키지를 설치하면서 생성되는 인증서의 만료기간이 작업일자를 기준으로 4년후이기 때문에.. 이것을 설치해놓고 4년동안 문제가 없다가, 만료되면 에러와 함께 아파치가 구동되지 않는 문제가 발생한다. certutil -d /etc/httpd/alias -L -n Server-Cert 명령어를 이용해서 확인해 보도록 하자   3. 해결법 설정변경 파일 : /etc/httpd/conf.d/nss.conf 설정변경 : NSSEnforceValidCerts off   (없을시 추가해줌)   재생성 cd /etc/httpd/alias rm -f cert8.db key3.db secmod.db /usr/sbin/gencert /etc/httpd/alias   mod_nss 재설치 mod_nss 를 재설치 하면 위에서 설명한 ”재생성” 작업이 수반된다. yum remove mod_nss yum install mod_nss   가장 괜찮은 [ more… ]

No Image

POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566)

2015-05-12 KENNETH 0

출처 : https://access.redhat.com/ko/node/1258903 POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566) Issue CVE-2014-3566 취약점의 영향을 받지않게 하기 위한 httpd 설정은 어떻게 하나요? Environment Red Hat Enterprise Linux 5, 6, 7 Red Hat JBoss Enterprise Application Platform (EAP) 5, 6 JBoss Enterprise Web Server (EWS) 1, 2 Inktank Ceph Enterprise (ICE) 1 Red Hat Storage Console Red Hat Enterprise Virtualization Resolution 이 취약점 문제를 해결하려면 SSL 을 비활성화하고 TLSv1.1 또는 TLSv1.2 만을 사용하는 것을 Red Hat 은 권장합니다. 하위 호환성은 TLSv1.0 을 사용하여 수행 할 수 있습니다. Red Hat 이 지원하는 많은 제품에 SSLv2 또는 SSLv3 프로토콜을 사용하는 기능이 있습니다. 이 프로토콜은 기본적으로 활성화되어 있습니다만, SSLv2 또는 SSLv3는 사용하지 않는 것이 현재 권장되고 있습니다. httpd 에서 SSL 및 TLS 지원은 OpenSSL 라이브러리를 사용하는 mod_ssl 모듈 또는 NSS 라이브러리를 사용하는 mod_nss 모듈에서 제공합니다. 다음 예제에서는 지정된 제품 버전에서 지원되는 모든 TLS 버전을 [ more… ]

No Image

openssl 보안취약점을 해결한 신규버전 배포

2015-03-19 KENNETH 0

URL : http://openssl.org/news/vulnerabilities.html CVE-2015-0291: [High severity] 19th March 2015 ClientHello sigalgs DoS. If a client connects to an OpenSSL 1.0.2 server and renegotiates with an invalid signature algorithms extension a NULL pointer dereference will occur. This can be exploited in a DoS attack against the server. (original advisory). Reported by David Ramos (Stanford University). * 패치된 사항은 여러가지가 있으나, 가장 중요한 내용인듯 합니다. 3월 19일자로 출시된 버전은 openssl-1.0.2a openssl-1.0.1m openssl-1.0.0r openssl-0.9.8zf 입니다. 배포본들은 아직 적용이 안된듯 하네요… 심각하다고 사전경고가 있었으니 하루정도면 올라오지 싶습니다.