Apache는 네 개의 옵션으로 Chain 인증 설정이 가능한데,
Nginx 는 두 개의 옵션뿐이라서 … Chain 인증이 어렵습니다.
1. 발급시 통합 인증서로 발급
유서트 등 인증서 발급업체에서 발급받을 때, ROOT CA , Chain 통합 인증서로 요청하면
통합 인증서 파일 pem으로 발급 가능합니다.
|
|
Apache |
Nginx |
|
Conf |
SSLCertificateFile SSLCertificateKeyFile SSLCertificateChainFile SSLCACertificateFile
|
ssl_certificate ssl_certificate_key
|
|
SSL file |
ADDTRUST_EXTERNAL_CA_ROOT.crt star.인증서.crt star.인증서.key star인증서_ChainBundle.crt |
star.인증서.com.key star.인증서.com.pem |
참고 ) Chain 및 SSL 인증 관련 확인 사이트
https://www.geocerts.com/ssl_checker
2. 수동으로 통합
|
SSL certificate chains Some browsers may complain about a certificate signed by a well-known certificate authority, while other browsers may accept the certificate without issues. This occurs because the issuing authority has signed the server certificate using an intermediate certificate that is not present in the certificate base of well-known trusted certificate authorities which is distributed with a particular browser. In this case the authority provides a bundle of chained certificates which should be concatenated to the signed server certificate. The server certificate must appear before the chained certificates in the combined file: $ cat www.example.com.crt bundle.crt > www.example.com.chained.crt The resulting file should be used in the ssl_certificate directive: server { listen 443 ssl; server_name www.example.com; ssl_certificate www.example.com.chained.crt; ssl_certificate_key www.example.com.key; ... } |
통합순서는 crt, Chain, ROOTCA 순으로 통합하면 가능
참고 )
http://nginx.org/en/docs/http/configuring_https_servers.html
추가적으로 nginx 는 비밀번호 자동입력 옵션이 없으므로
사전에 key 비밀번호는 제거하면 편리하다.
[root@]cp server.key server.key.org
[root@]openssl rsa -in server.key.org -out server.key
Enter pass phrase for server.key.org:
참고2)
nginx conf 수정후 syntax 확인
/app/nginx/sbin/nginx -t c /app/nginx/conf/nginx.conf
참고3)
Nginx 재구동 후 적용 확인
openssl s_client -connect localhost:443 < /dev/null 2>&1 | openssl x509 -noout -enddate
date날짜가 변경한 인증서로 조회가 되면 적용 완료
'Linux' 카테고리의 다른 글
| cp -f 등 특정 옵션이 안 먹힐 때, 확인 사항 (0) | 2015.03.20 |
|---|---|
| yum histroy 관리법입니다. (1) | 2015.03.06 |
| Tomcat method 설정 (0) | 2015.01.16 |
| dmidecode 리눅스 하드웨어 정보 확인 (0) | 2015.01.07 |
| VNC 설정 하기, Port변경 (0) | 2014.10.16 |