우리 회사는 *.example.com에 대한 와일드카드 SSL 인증서를 사용하여 동일한 서버에서 example.com과 sub.example.com을 호스팅하고 있습니다. 이제 인증서를 갱신할 시간입니다. 인증서를 어떻게 얻었는지 잘 모르겠습니다. 내 상사는 우리가 예상되는 200달러를 지불하지 않았다고 생각합니다. 며칠 전에 회사를 떠난 내 옛 관리자가 이를 설치했는데, 자신이 무엇을 했는지 정확히 기억하지 못하지만 CA에서 제공한 파일을 사용하는 대신 무언가를 생성해야 한다고 생각합니다. .
Apache 구성에는 다음 줄이 있으며 주석 처리되지 않은 SSL*File 줄은 없습니다.
SSLCertificateFile /usr/local/ssl/cert/example.com.crt
SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt
SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key
Intermediate.crt( )를 검토해 보니 openssl x509 -in intermediate.crt -text -noout우리 조직이나 웹 사이트에 대한 언급이 전혀 없으며 2010-2020년 유효합니다.
Data:
Version: 3 (0x2)
Serial Number: 145105 (0x236d1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Validity
Not Before: Feb 19 22:45:05 2010 GMT
Not After : Feb 18 22:45:05 2020 GMT
Subject: C=US, O=GeoTrust, Inc., CN=RapidSSL CAb
example.com.crt는 와일드카드입니다.
Data:
Version: 3 (0x2)
Serial Number: 1113972 (0x10ff74)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Mar 1 09:05:39 2014 GMT
Not After : Mar 4 09:08:54 2015 GMT
Subject: serialNumber=T0nuTvfeaQVtd3dZ30zGI94HrvUsoRjx, OU=GT53409919, OU=See www.rapidssl.com/resources/cps (c)14, OU=Domain Control Validated - RapidSSL(R), CN=*.example.com
SSL 인프라를 이해하지 못해서 관련 질문이 많은 것 같습니다. 전혀 관련이 없는 것으로 밝혀지면 사과드립니다. 내가 모르는 것이 무엇인지 모르겠습니다.
우리가 200달러나 그 어떤 것을 지불하지 않았다면 어떻게 와일드카드 인증서를 얻었습니까? (intermediate.crt만으로 만들 수 있었다면 다소 놀랐을 것입니다. 그러면 2020년까지 계속 생성할 수 있기 때문입니다. 하지만 /usr/local/ssl에는 다른 파일이 없고 /etc/pki에는 아무것도 없습니다. /tls 2013년부터 수정된 내용인데, 상사가 단지 잘못 기억해서 200달러 정도를 지불했다면 어느 정도 놀랐을 것입니다. 하지만 제 생각에는 그게 가능해 보입니다.)
Intermediate.crt는 어디서 얻었나요?
Intermediate.crt는 무엇을 합니까? SSLCACertificateFile 줄 없이 베타 서버에서 제대로 작동하는(자체 서명 제외) 자체 서명된 와일드카드 인증서가 있습니다. SSLCACertificateFile 없이 VirtualHost를 사용하여 설치한 example.com을 보호하는 와일드카드가 아닌 인증서를 구입했으며 현재 계획 중인 sub.example.com에 대한 인증서를 얻는 중입니다. 같은 방법으로 설치합니다. 자체 서명되지 않은 와일드카드 인증서에 SSLCACertificateFile이 필요합니까?
자체 서명된 인증서를 생성하는 방식은 다음과 관련이 있을 것 같습니다.
openssl req -nodes -new -keyout private/example.com.key -out certs/intermediate.csr openssl x509 -req -days 365 -in certs/intermediate.csr -signkey private/file.key -out certs/example.com.crt하지만 이 경우 아파치 구성에서 중간.csr을 언급할 필요가 없으며
openssl x509중간.crt 파일처럼 중간.csr을 검사할 수 없습니다.
답변1
How did we get the wildcard certificate, if we didn't pay $200 or whatever for it?
지금 찾은 것보다 더 저렴한 CA가 있습니까? 나는 당신이 더 낮은 가격으로 리셀러를 찾을 것이라고 확신합니다.
Where did we get intermediate.crt? What does intermediate.crt do?
CA에서 이 정보를 얻었습니다. CA는 일반적으로 루트 인증서로 인증서에 직접 서명하지 않지만 중간 인증서를 통해 서명합니다. 이 중간 인증서는 고객을 위한 인증서에 서명하고 브라우저와 OS에서 신뢰하는 루트 인증서에 의해 서명됩니다. 이를 인증서 체인이라고 하며 Apache가 SSLCACertificateFile웹 사이트 인증서에서 CA 인증서까지 이 체인을 제공하기 위해 별도의 매개변수가 있는 이유이기도 합니다 .
SSLCACertificateFile 줄 없이 베타 서버에서 제대로 작동하는(자체 서명 제외) 자체 서명된 와일드카드 인증서가 있습니다.
그런 다음 테스트한 브라우저도 중간 인증서를 신뢰하지만 이에 의존할 수는 없습니다. 다음을 사용할 수도 있습니다.SSLLabs SSL테스트체인이 불완전하거나 중간 항목을 놓쳤는지 확인하는 도구입니다(추가 다운로드라고 함).
자체 서명되지 않은 와일드카드 인증서에 SSLCACertificateFile이 필요합니까?
아니요, 이 경우에는 인증서 체인이 없기 때문에 위를 참조하세요.
답변2
귀하의 인증서와 중간 항목에 있는 세부 정보를 보면 이전 관리자가 실제로 1년 전 RapidSSL의 와일드카드 인증서에 대한 비용을 지불했다는 것이 꽤 분명해 보입니다. 그가 생성해야 했던 것은 아마도 RapidSSL에 제출하기 위한 인증서 요청이었을 것입니다.