Tech Stock logo Tech Stock

HTTPS서버가 되기까지는 SSL모듈이 일단 필요하다

yum -y install mod_ssl
httpd -M | grep ssl

비밀키는 openssl genrsa로 작성하는데 이놈을 리다이렉트 써서 key파일을 만들어준다

openssl genrsa > server.key

그다음은 CSR작성이다.
CSR파일은 인증국 으로부터 서버인증서를 발행받을때 쓰는 파일이다.

밑의 커맨드로 작성한다

openssl req -new -key <privatekeyfile> 

이것도 리다이렉트를 써서 파일을 작성해준다.

이 커맨드를 치게되면 대화형으로나오는데,
원래는 신중하게 ㅡㅡ++ FQDN등을 입력해야하는데,
연습이니 그냥 엔터만 친다!!

openssl req -new -key server.key > server.csr

됐다.
이제 서버 인증서다.
원래는 이 CSR파일을 인증국에 전달해서 서명받아야 하는데,
무료로 하고싶으니 ㅡㅡ;; 자신이 서명해버리자.
아까 입력했던 CSR을 입력받아서 다음커맨드를 치자

openssl x509 -req -signkey server.key < server.csr > server.crt
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
Getting Private key

무사히 증명서(server.crt)가 생겼다.
CSR은 이 단계에서 삭제해도 된다.

rm server.csr

작성한 키와 증명서를 etc/httpd/이하의 디렉토리에 배치한다.

# mkdir /etc/httpd/conf/ssl.key
# mkdir /etc/httpd/conf/ssl.crt
# mv server.key /etc/httpd/conf/ssl.key/
# mv server.crt /etc/httpd/conf/ssl.crt/

이제 SSL모듈을 수정한다

# vi /etc/httpd/conf.d/ssl.conf

이부분들을 이렇게 바꿔준다

# SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
# SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key

아파치를 재가동 한다

# systemctl restart httpd
# systemctl is-active httpd
active

SSL + HTTP = HTTPS / TLS + HTTP = HTTPS 이며
SSL은 넷스케이프 사가 처음 만들었고 그후에 TLS라는 명칭으로 바뀌었다.
그러나 SSL이라는 명칭이 워낙 대대적으로 사용되기때문에 SSL로 칭한다
SSL = TLS 라고 생각하면 되고, TLS가 후에 나왔기 때문에 버젼이 높다