웹서버 보안 프로토콜 사용 자제 권고 관련 (SSL, TLS)
최근 일부 업체들에서 요청되는 사항이 중첩되는데, 내용을 살펴 보면 아래와 같다.
KISA, 한국정보인증을 비롯한 각 기관에서 권장하는 SSL Protocol 은 TLS1.2 이며 TLS1.1/ TLS1.0 / SSL 2.0 / SSL3.0 은 보안에 취약하여 사용이 권장되지 않습니다. 따라서 구 버전의 프로토콜(SSL2.0/SSL3.0/TLS1.0/TLS1.1)을 은 반드시 SSL Protocol 설정을 TLS 1.2이상 버전으로 변경 하시기 바랍니다. |
웹서버 구동 중일 경우, 보안 인증서를 적용하였어도 프로토콜이 하위 버전일 경우 보안상 취약하니 TLS 1.2 이상만 사용 하도록 해라 이다.
윈도우 서버의 경우 레지스트리에서 항목 추가하고 리부팅 하면 완료되는 간단한 작업이다.
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ ----여기 부분----
그런데 레지스트리 넣는 것도 귀찮다면, 아래에 소개되는 프로그램을 권장 한다.
IISCrypto (https://www.nartac.com/)
홈페이지 들어가면 영어로 설명되어 있는데, 중학교만 나와도 이해될 만한 내용이다.
비영리 프로그램이므로 다운로드해서 바로 서버에 적용하면 된다.
IISCrypto 3.0.exe실행하면 너무나 직관적으로 되어 있어서 금방 적용하고 끝난다.
구버전에서는 없던 레지스트리 백업 기능이 추가 되어, 레지스트리 수정 후 원복도 가능하다.
아주 작은 단점은 "IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater." 이 정도?
뭐 필요하면 구버전으로 돌리거나 레지스트리 직접 수정하면 되니깐 대충 넘어가도 될 것 같다.
CLI 버전도 있는데 불편하니깐 안쓰는게 낫다. CLI 로 할 거면 레지스트리 직접 수정하고 말지;;;
'윈도우 이야기 > SSL' 카테고리의 다른 글
| Win2012 Exchange Server 2007 CSR 생성법 (0) | 2016.07.21 |
|---|---|
| Win2008 R2 Exchange Server 2007, 2013 CSR 생성 메뉴얼 (0) | 2016.07.21 |
Win2012 Exchange Server 2007 CSR 생성법
- 기존에 설치 된 Exchange Server 제거
-> 제거 시에 오류 메시지 출력
-> Error Code 3221685466
-> 레지스트리 편집
-> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\v8.0\Mailbox\
-> Action 의 속성이 Uninstall 로 되어 있는 것을 Install 로 변경
-> 다시 제거 시도
-> 정상적으로 프로그램 삭제 확인
- Exchange Server 재설치 진행
-> Default 설정으로 설치 진행
-> 사서함 역할이 설치가 되지 않는 오류 발생
-> Error Code 3221684229
-> 호환성 조건이 맞지 않기 때문에 발생하는 오류
-> setup 의 속성 - 호환성을 Vista 로 설정
-> 재설치 진행
-> 설치 정상적으로 완료 확인
- Exchange 관리 콘솔
-> 새 인증서 만들기 를 선택해야 하는데 해당 컨트롤러가 보이지 않음
-> Exchange 관리 셸을 이용한 스크립트 방식으로 CSR 갱신을 시도하였으나, 오류 메시지 나오면서 정상적으로 완료되지 않음
-> 스크립트 내용 변경
-> New-ExchangeCertificate -generaterequest -subjectname "c=Your Country, l=Your Locality/City, s=Your State, o=Your Corporation Name,cn=YourMainDomain.com" -domainname CAS01,CAS01.exchange.corp.contoso.com,exchange.contoso.com,autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest.txt -keysize 2048
-> 테스트 결과 정상적으로 CSR 코드 생성 확인
-> CSR 텍스트 파일에서 맨 아래줄에 공백이 있으면 삭제
-> 모든 줄에는 공백 줄이 있으면 안됨
-> 처음에 사용하였던 스크립트의 내용 중에 오류가 있었던 것으로 보임
'윈도우 이야기 > SSL' 카테고리의 다른 글
| 웹서버 보안 프로토콜 사용 자제 권고 관련 (SSL, TLS) (2) | 2019.11.21 |
|---|---|
| Win2008 R2 Exchange Server 2007, 2013 CSR 생성 메뉴얼 (0) | 2016.07.21 |
Win2008 R2 Exchange Server 2007, 2013 CSR 생성 메뉴얼
1. Win 2008 R2 x64 운영체제에 Exchane Server 2007 SP3 CSR 인증코드 생성
- 222.231.25.118 Win 2008 R2 x64 테스트 서버에 패키지 다운로드 및 설치 진행
-> SMTP 서버가 설치가 되어 있으면 설치가 진행되지 않음
-> SMTP 서버 기능 제거
-> 관리자 권한으로 Setup 실행
-> 클라이언트 액세스 역할 선행 조건 및 사서함 역할 선생 조건에서 오류 발생
-> IIS 7 구성요소 설치를 필요로 함
-> 관리도구 - IIS 역할 서비스 추가 - 성능 - 동적 콘텐츠 압축 설치 (정적 콘텐츠 압축은 설치 되어 있었음)
-> 관리도구 - IIS 역할 서비스 추가 - 보안 - 기본인증, 다이제스트 인증 설치
-> 설치 정상적으로 완료 및 서버 재시작
- CSR 코드 생성
-> 새로운 인증키 생성이라는 커맨드가 나타나지 않음
-> Active Directoty 구축시에 인증키를 생성하였기 때문으로 보임
-> CSR 코드 생성을 위하여 Exchange 관리 셸을 실행
-> New-ExchangeCertificate -generaterequest -subjectname "c=Your Country, l=Your Locality/City, s=Your State, o=Your Corporation Name,cn=YourMainDomain.com" -domainname CAS01,CAS01.exchange.corp.contoso.com,exchange.contoso.com,autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest.txt -keysize 2048
-> CSR 코드 생성 확인
-> 공백줄이 있는지 확인하고 공백줄이 있을 시에는 해당 공백줄을 삭제
'윈도우 이야기 > SSL' 카테고리의 다른 글
| 웹서버 보안 프로토콜 사용 자제 권고 관련 (SSL, TLS) (2) | 2019.11.21 |
|---|---|
| Win2012 Exchange Server 2007 CSR 생성법 (0) | 2016.07.21 |
