No Image

Mozilla SSL Configuration Generator

2016-10-14 KENNETH 0

URL : https://mozilla.github.io/server-side-tls/ssl-config-generator/   웹서버,openssl 버전 별로 SSL 설정을 자동화 해서 안내 해줌… 세상에 이걸 첨 알다니.. ㅋㅋㅋㅋㅋㅋ   샘플로 한번 해보자면 1. httpd-2.4 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security "max-age=15768000" … </VirtualHost> # modern configuration, tweak to your needs SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLHonorCipherOrder on # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000)   2. httpd-2.2 & openssl-1.0.1e <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key # Uncomment the following directive when using client certificate authentication #SSLCACertificateFile /path/to/ca_certs_for_client_authentication # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always set Strict-Transport-Security [ more… ]

No Image

Unable to validate certificate chain in aws elb – comodossl

2016-09-05 KENNETH 0

AWS ELB 설정시 SSL 인증서를 등록하는 중에… 이와같은 에러를 만났다면.. 발급받은 인증서 파일들에는 문제가 없음을 가정한다. 이 문제는 마지막 항목인 ”Certificate Chain”의 입력값을 지적하는 내용이다.   아마도 당신이 발급받은 체인 인증서 목록은 아래와 같을 것이다. AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt 이중에서… COMODO.. 로 시작하는 두개의 파일이 있는데… 그중 COMODORSADomainValidationSecureServerCA.crt 파일의 내용을 먼저 입력하고.. 그 다음 COMODORSAAddTrustCA.crt 파일의 내용을 입력해 보자.. 명령어로 굳이 설명하면.. cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt 를 실행해서 출력된 값을 넣어보자..   그렇다면 정상적인 등록이 될것이다…  

No Image

can’t start httpd(apache-2.4) with ssl module

2015-12-15 KENNETH 0

  아파치에 SSL모듈 및 가상호스트 설정후 아래 로그와 함께 아파치가 시작이 되지 않음   환경 OS : linux apache : 2.4   로그 [ssl:emerg] [pid 11900] AH02572: Failed to configure at least one certificate and key for notssldomain.com:443 [ssl:emerg] [pid 11900] SSL Library Error: error:140A80B1:SSL routines:SSL_CTX_check_private_key:no certificate assigned [ssl:emerg] [pid 11900] AH02312: Fatal error initialising mod_ssl, exiting. AH00016: Configuration Failed 일단 SSL관련 오류가 발생 특이한 것은 SSL적용 대상이 아닌 도메인에 대해 (notssldomain.com:443) 으로 에러 로그가 기록됨   의문 인증서 파일에 문제가 있어도 발생할 수 있는 에러이지만… 아무리 확인을 해봐도 인증서에는 문제가 없고(동일한 환경에서 잘 사용중인 인증서) 환경도 별다른 문제가 없어 보였는데…     문제점 SSLEngine On 설정이 전역으로 들어간 것이 문제;;;;;;;   정상 <VirtualHost *:443> ServerName ssldomain.com . . SSLEngine on SSLCertificateFile …. SSLCertificateKeyFile …. </VirtualHost>   문제 SSLEngine on . <VirtualHost *:443> ServerName ssldomain.com . . SSLCertificateFile …. SSLCertificateKeyFile [ more… ]

No Image

SSL Library Error: -8181 Certificate has expired

2015-09-08 KENNETH 0

아파치(apache)가 구동되지 않는 문제!!! 에러내용 [error] SSL Library Error: -8181 Certificate has expired [error] Unable to verify certificate ‘Server-Cert’. Add “NSSEnforceValidCerts off” to nss.conf so the server can start until the problem can be resolved. [error] Certificate not verified: ‘Server-Cert’   2. 환경 OS : RHEL-5, CentOS-5 패키지 : 기본 rpm 기반의 apache 와 mod_nss 다른 버전은 테스트 안해봄 https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=711085 이런 내용이 있다고들 한다.   mod_nss 패키지를 설치하면서 생성되는 인증서의 만료기간이 작업일자를 기준으로 4년후이기 때문에.. 이것을 설치해놓고 4년동안 문제가 없다가, 만료되면 에러와 함께 아파치가 구동되지 않는 문제가 발생한다. certutil -d /etc/httpd/alias -L -n Server-Cert 명령어를 이용해서 확인해 보도록 하자   3. 해결법 설정변경 파일 : /etc/httpd/conf.d/nss.conf 설정변경 : NSSEnforceValidCerts off   (없을시 추가해줌)   재생성 cd /etc/httpd/alias rm -f cert8.db key3.db secmod.db /usr/sbin/gencert /etc/httpd/alias   mod_nss 재설치 mod_nss 를 재설치 하면 위에서 설명한 ”재생성” 작업이 수반된다. yum remove mod_nss yum install mod_nss   가장 괜찮은 [ more… ]

No Image

POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566)

2015-05-12 KENNETH 0

출처 : https://access.redhat.com/ko/node/1258903 POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566) Issue CVE-2014-3566 취약점의 영향을 받지않게 하기 위한 httpd 설정은 어떻게 하나요? Environment Red Hat Enterprise Linux 5, 6, 7 Red Hat JBoss Enterprise Application Platform (EAP) 5, 6 JBoss Enterprise Web Server (EWS) 1, 2 Inktank Ceph Enterprise (ICE) 1 Red Hat Storage Console Red Hat Enterprise Virtualization Resolution 이 취약점 문제를 해결하려면 SSL 을 비활성화하고 TLSv1.1 또는 TLSv1.2 만을 사용하는 것을 Red Hat 은 권장합니다. 하위 호환성은 TLSv1.0 을 사용하여 수행 할 수 있습니다. Red Hat 이 지원하는 많은 제품에 SSLv2 또는 SSLv3 프로토콜을 사용하는 기능이 있습니다. 이 프로토콜은 기본적으로 활성화되어 있습니다만, SSLv2 또는 SSLv3는 사용하지 않는 것이 현재 권장되고 있습니다. httpd 에서 SSL 및 TLS 지원은 OpenSSL 라이브러리를 사용하는 mod_ssl 모듈 또는 NSS 라이브러리를 사용하는 mod_nss 모듈에서 제공합니다. 다음 예제에서는 지정된 제품 버전에서 지원되는 모든 TLS 버전을 [ more… ]