검색 본문
itofk.tistory.com K의 IT Fortinet 자격증 FCA - SSL VPN Part 2 29 A. SSL VPN 구성 구성에 앞서 먼저 유저 또는 그룹을 생성하여야 합니다. 해당 강의에서는 미리 세팅을 해두었습니다. 유저 또는 그룹 생성에 관하여 자세한 내용을 확인하고 싶으시면 아래의 링크를 참고하시길 바랍니다. https://itofk.tistory.com/16 Fortinet 자격증 FCA - 네트워크 사용자 인증 Part 2 A. 유저... 14시간전 블로그 검색 더보기 Fortinet 자격증 FCA - SSL 트래픽 검사 Fortinet 자격증 FCA - SSL VPN Part 1 matrix-o.tistory.com 삽질블로그 Nginx SSL인증을 통해 HTTPS 적용 HTTPS란? 하이퍼 텍스트 전송 프로토콜 보안(HTTPS)은 웹 브라우저와 웹 사이트 간에 데이터를 전송하는 데 사용되고 있는 기본 프로토콜인 HTTP의 암호화된 HTTP 프로토콜로서 안정화된 데이터 통신을 가능하게 합니다. 모든 웹 사이트는 HTTPS를 사용해야 합니다. HTTPS가 중요한 이유는? 이는 HTTP의 취약점에 있습니다. HTTP 프로토콜은 서버에서 브라우저로 전송되는 정보가 암호화되지 않습니다. 즉, 데이터가 쉽게 도난당할 수 있는 위험에 항상 노출되어있습니다. 이를 HTTPS가 SSL(보안 소켓 계층)을 사용함으로써 이 문제를 해결했습니다. SSL은 서버와 브라우저 사이에 안전하게 암호화된 연결을 만들 수 있게 도와주고, 서버와 브라우저 사이에 통신을 할 때 주고받는 정보를 도난당하는 것을 막아줍니다. SSL이 뭔데? SSL은 데이터 통신을 보안하기 위해 사용되는 표준 보안 기술입니다. SSL은 웹사이트와 브라우저끼리 통신할 때 오가는 데이터를 암호화하여 중간에 누군가 조작하거나, 엿보는 것을 방지합니다. Nginx로 HTTPS적용해보기 그럼 이제 Nginx로 HTTPS를 적용해보겠습니다. 저는 Nginx의 서버 OS로 Ubuntu를 사용하였습니다. 1. 도메인 구입 HTTPS를 적용하기 위해서 우선 도메인을 구입해야 하기 때문에 저는 가비아에서 도메인을 구입하였습니다. 가비아 도메인 구입화면 원하는 도메인명을 입력 후 구매해줍니다. 2. 배포한 웹 서버의 ip와 도메인 연결 저는 AWS ec2를 이용해서 배포하였기 때문에 ec2의 ip를 연결해주겠습니다. AWS ec2 생성한 ec2인스턴스의 퍼블릭 IPv4주소를 가비아에 연결해줘야합니다. 가비아 메인화면 가비 8 이는 HTTP의 취약점에 있습니다. HTTP 프로토콜은 서버에서 브라우저로 전송되는 정보가 암호화되지 않습니다. 즉, 데이터가 쉽게 도난당할 수 있는 위험에 항상 노출되어있습니다. 이를 HTTPS가 SSL(보안 소켓 계층)을 사용함으로써 이 문제를 해결했습니다. SSL은 서버와 브라우저 사이에 안전하게 암호화된 연결을 만들 수 있게 도와주고, 서버와 브라우저 사이에 통신을 할 때 주고받는 정보를 도난당하는 것을 막아줍니다. SSL HTTPS nginx 2024.04.15 keima.tistory.com 전산직으로 살아남기 SSL과 인증서 구조 1. 인증서 체인 ROOT, Intermediate(중간인증서), Leaf(서버 인증서) 3단계로 구성된 구성을 인증서 체인(Certificate chain)이라고 한다. 이 3개의 인증서 체인은 하위 구조의 인증서를 서명하고 상위 구조의 인증서를 참고하는 방식으로 만들어집니다. 즉 인증서 체인은 SSL 인증서(서버 인증서)에서 시작하여 ROOT 인증서로 끝나는 인증서 목록으로 구성됩니다. 3개의 인증서 체인 브라우저로 접속한 사이트에 인증서를 확인하고 싶다면 아래와 같이 진행하면 됩니다. (예시: Chrome 브라우저) ① URL 창에 표시된 자물 2. SSL에서 사용하는 암호화의 종류 1) 대칭키 암호를 만드는 행위인 암호화를 할 때 사용하는 일종의 비밀번호를 키(Key)라고 합니다. 이 키에 따라서 암호화된 결과가 달라지기 때문에 키를 모르면 암호를 푸는 행위인 복호화를 할 수 없습니다. 대칭키는 동일한 키로 암호화화 복호화를 같이 할 수 있는 암호화 기법을 의미합니다. 단점으로는 대칭키의 경우 암호를 주고 받는 사람들 사이에 대칭키를 전달하는 것이 어려울 뿐더러 대칭키가 유출되면 공격자는 암호를 복호화 할 수 있기 때문에 위험합니다. 2) 공개키 공개키 방식은 두개의 키를 갖게 되는데 A키로... 3. SSL 인증서의 내용 SSL 인증서에는 다음과 같은 정보가 포함되어 있습니다. 1) 서비스의 정보 (인증서를 발급한 CA, 서비스의 도메인 등) 2) 서버 측 공개키 (공개키의 내용, 공개키의 암호화 방법) 인증서의 내용은 위와 같이 크게 2가지로 구분할 수 있습니다. 1번은 클라이언트가 접속한 서버가 클라이언트가 의도한 서버가 맞는지에 대한 내용을 담고 있습니다. 2번은 서버와 통신을 할 때 사용할 공개키와 그 공개키의 암호화 방법들의 정보를 담고 있습니다. 서비스의 도메인, 공개키와 같은 정보는 서비스가 CA로부터 인증서를 구입할 때 제출해야... 4. SSL 인증서가 서비스를 보증하는 방법 웹브라우저가 서버에 접속할 때 서버는 제일 먼저 인증서를 제공합니다. 브라우저는 이 인증서를 발급한 CA가 자신이 내장한 CA의 리스트에 있는지 확인합니다. 확인 결과 서버를 통해서 다운받은 인증서가 내장된 CA리스트에 포함되어 있다면 해당 CA의 공개키를 이용해서 인증서를 복호화합니다. CA의 공개키를 이용해서 인증서를 복호화 할 수 있다는 것은 이 인증서가 CA의 비공개키에 의해서 암호화 된 것을 의미합니다. 해당 CA의 비공개 키를 가지고 있는 CA는 해당 CA 밖에는 없기 때문에 서버가 제공한 인증서가 CA에 의해서... 5. SSL 동작방법 SSL은 암호화된 데이터를 전송하기 위해서 공개키와 대칭키를 혼합해서 사용합니다. 즉 클라이언트와 서버가 주고 받는 실제 정보는 대칭키 방식으로 암호화하고, 대칭키 방식으로 암호화된 실제 정보를 복호화 할 때 사용할 대칭키는 공개키 방식으로 암호화해서 클리이언트와 서버가 주고 받습니다. 이와 관련된 내용을 순서대로 정리하면 아래 내용과 같습니다. 1) Handshake SSL 방식을 이용해서 통신을 하는 브라우저와 서버는 Handshake를 하는데, 이때 SSL 인증서를 주고 받습니다. 이 과정에서 공개키 방식만 사용하지 않고 대칭 11 ROOT, Intermediate(중간인증서), Leaf(서버 인증서) 3단계로 구성된 구성을 인증서 체인(Certificate chain)이라고 한다. 이 3개의 인증서 체인은 하위 구조의 인증서를 서명하고 상위 구조의 인증서를 참고하는 방식으로 만들어집니다. 즉 인증서 체인은 SSL 인증서(서버 인증서)에서 시작하여 ROOT 인증서로 끝나는 인증서 목록으로 구성됩니다. 3개의 인증서 체인 브라우저로 접속한 사이트에 인증서를 확인하고 싶다면 아래와 같이 진행하면 됩니다. (예시: Chrome 브라우저) ① URL 창에 표시된 자물 SSL 인증서 2024.04.17 dawncode.tistory.com Dev Log [Apache] 아파치 서버 SSL, 리버스 프록시 설정 포트 설정(ports.conf) 우선 사용하고자 하는 포트를 허용해야 한다. Listen 80: 아파치 서버가 80번 포트를 듣고 있다는 의미로 프로젝트의 포트를 적어주면 된다. IFModule: 이 태그는 해당 모듈이 활성화 되있을 때 동작한다는 의미로 기본적으로 ssl_module이 활성화되면 443번 포트를 허용한다는 것이다. ssl_module: HTTPS 통신을 위한 모듈이다. mod_guntls.c: SSL과 TLS 프로토콜을 사용하여 웹 통신을 암호화하는 데 사용되는 모듈이다. EC2서버를 사용할 때는 인바운드 설정도 같이 해주는것을 잊지 말자! 모듈 설정(mods-available) 나는 현재 리버스 프록시 설정을 추가적으로 할 것이기 때문에 해당 모듈들을 활성화시킬 것이다. 아파치 서버는 설정을 변경하면 리로드 또는 재시작을 해야 적용되지만 설정을 모두 끝내고 재시작을 할 것이다. # 프록시 모듈 활성화 sudo a2enmod proxy sudo a2enmod proxy_http # SSL 설정을 해야한다면 같이 활성화 해준다. # SSL 모듈 활성화 sudo a2enmod ssl 모듈을 활성화하는 방법은 아파치에서 제공하는 a2enmod 명령어를 사용해도 되고 mods-enabled 디렉토리에서 직접 심볼 가상 호스트 파일 설정(sites-available) 기본적으로 아파치 서버를 설치하면 000-default.conf 파일을 활성화해서 사용하고 있다. 이 원본 파일은 유지하고 카피 후 설정한 파일을 활성화 시켜줄 것이다. HTTP 설정만 해줄 것이라면 000-default.conf 파일을 카피하고, SSL설정도 같이 할 것이라면 default-ssl.conf 파일을 카피해서 사용한다. <VirtualHost *:80> ServerAdmin root@localhost ServerName test.sample.com DocumentRoot /your/path/bui 리버스 프록시 서버 사이에 존재하며, 서버를 대신해서 클라이언트의 요청을 받아서 처리한다. 클라이언트는 서버에 직접 접근하는 것이 아닌 리버스 프록시를 통해서 서버에 접근하고, 리버스 프록시가 서버의 응답을 클라이언트에게 전달한다. 리버스 프록시의 목적 부하 분산: 여러 서버로 요청을 분산시켜 각 서버의 부하를 줄이고, 처리 성능을 향상시킨다. (AWS 로드 밸런서) 보안: 외부에서 내부 서버에 대한 직접적인 접근을 차단해서, 내부 서버의 보안을 강화한다. SSL 암호화: 리버스 프록시에서 SSL/TLS 암호화를 처리함으로써, 내부 서버 SSL 설정 SSL 설정도 가볍게 확인 해보도록 하자. SSL 설정을 위해서는 default-ssl.conf 파일을 카피해서 사용하면 된다. <IfModule mod_ssl.c> <VirtualHost _default_:443> # 기존 코드는 동일하게 사용한다. # host, proxy 설정 등 SSLEngine on SSLCertificateFile /etc/ssl/public.pem SSLCertificateKeyFile /etc/ssl/privkey.pem <FilesMatch "\.(cgi|shtml|phtml| 참조 https://httpd.apache.org/docs/2.4/en/ 4 우선 사용하고자 하는 포트를 허용해야 한다. Listen 80: 아파치 서버가 80번 포트를 듣고 있다는 의미로 프로젝트의 포트를 적어주면 된다. IFModule: 이 태그는 해당 모듈이 활성화 되있을 때 동작한다는 의미로 기본적으로 ssl_module이 활성화되면 443번 포트를 허용한다는 것이다. ssl_module: HTTPS 통신을 위한 모듈이다. mod_guntls.c: SSL과 TLS 프로토콜을 사용하여 웹 통신을 암호화하는 데 사용되는 모듈이다. EC2서버를 사용할 때는 인바운드 설정도 같이 해주는것을 잊지 말자! Apache apache server 아파치 서버 리버스 프록시 2024.04.26 gencomi.tistory.com 참을 수 있는 성장의 가벼움 [HTTPS] SSL/TLS Handshake란? 들어가며 인터넷 보안은 개인, 기업, 나아가 국가적 차원에서 정보 보호와 사이버 범죄 예방에 필수적인 요소입니다. 관련 법안도 존재합니다. 개인정보를 취급하는 모든 웹사이트는 2016년 3월 22일 이후로 ⌜정보통신망법⌟ 제 28조 1항 제4호에 따라 의무적으로 HTTPS 서버를 구축해야 하며, 위반 시 3천만원 이하의 과태료가 부과됩니다. HTTPS 서버를 구축한다는 것은 SSL/TLS 인증서를 사용한다는 의미입니다. SSL/TLS는 HTTPS 통신의 핵심으로, 웹 서버와 클라이언트 간의 안전한 데이터 전송을 보장하기 위해 개발된 보안 프 1. SSL/TLS Handshake를 알아보기 전에.. 1-1. 암호화 🔒 암호화에는 크게 대칭키 암호화(Symmetric Key Algorithm), 비대칭키 암호화(Asymmetric Key Algorithm) 방식이 있습니다. 대칭키 방식은 암호화와 복호화에 동일한 키를 사용하는 방식이고, 비대칭키 암호화는 공개키(Public Key)-개인키(Private Key)로 이루어진 한 쌍의 키로 암호화, 복호화를 하는 방식입니다. 공개키로 암호화하면 개인키로 복호화하고, 개인키로 암호화를 하면 공개키로 복호화할 수 있습니다. 개인키는 공개되면 안 되므로 비밀키(Secret Key)라고도 2. SSL/TLS Handshake 🤝🏻 Client Hello(Client) → Server Hello, Certificate(Server) → (Server Key Exchange(Server)) → Client Key Exchange(Client) → Key Generation(Client, Server) → Cipher Spec Exchange(Client, Server) → Finished(Client, Server) ※ figure 0-2에서 키교환 알고리즘에 대한 설명은 RSA가 기준이기 때문에 아래에서 ( )를 통해 DH 계열의 방식을 추가 설명합니다. ④ 3. 암호화된 데이터 송수신 🔐 ⑨ 세션키로 암호화한 데이터 송수신 [Application Data] SSL/TLS Handshake가 끝나면 암호화된 데이터를 주고받기 위해 '세션키'라고 불리는 '대칭키'를 사용해서 데이터를 암・복호화합니다. 앞서 SSL/TLS Handshake를 할 때는 '비대칭 암호화'로 서버를 검증하고 대칭키를 주고받았습니다. 하지만 SSL/TLS 인증이 완료된 후에 클라이언트와 서버가 실제 데이터를 주고받을 때는 '대칭 암호화'로 전환됩니다. 그 이유는 '빠른 속도'로 데이터를 송수신하기 위해서입니다. 비대칭 암호화는 연산복잡도가 크기 4. 마무리 HTTPS에서는 SSL/TLS Handshake를 통해 '안전한 연결'을 구축한다 지금까지 HTTPS 통신에서 클라이언트 - 서버간의 안전한 연결을 구축하는 과정을 이해하기 위해 서버가 인증서를 발급받는 과정부터 SSL/TLS Handshake하는 과정까지 세세하게 살펴봤습니다. 암호화에 대해서는 다소 추상적으로 설명했습니다. 따라서 이어지는 포스팅인 [Cipher Suite] 안전한 데이터 전송을 위한 SSL/TLS 기술 집약체에서는 HTTPS에서 사용되는 암호화 알고리즘의 종류에 대해서 알아보고, [비대칭키 알고리즘] DH, R 5. Reference HTTPS & SSL/TLS 인증서 https://aws-hyoh.tistory.com/34 https://aws-hyoh.tistory.com/38 https://aws-hyoh.tistory.com/39 https://aws-hyoh.tistory.com/47 https://aws-hyoh.tistory.com/59 https://babbab2.tistory.com/4?category=1058182 https://babbab2.tistory.com/5?category=1058182 https://babbab2.tistory.c 9 ⑨ 세션키로 암호화한 데이터 송수신 [Application Data] SSL/TLS Handshake가 끝나면 암호화된 데이터를 주고받기 위해 '세션키'라고 불리는 '대칭키'를 사용해서 데이터를 암・복호화합니다. 앞서 SSL/TLS Handshake를 할 때는 '비대칭 암호화'로 서버를 검증하고 대칭키를 주고받았습니다. 하지만 SSL/TLS 인증이 완료된 후에 클라이언트와 서버가 실제 데이터를 주고받을 때는 '대칭 암호화'로 전환됩니다. 그 이유는 '빠른 속도'로 데이터를 송수신하기 위해서입니다. 비대칭 암호화는 연산복잡도가 크기 2024.04.04 통합웹 더보기
서비스 안내 스토리의 글을 대상으로 검색결과를 제공합니다. 자세히보기 graph-dev.tistory.com Graph 공부하는 학생 NGINX로 SSL 인증서 등록해보기 18 GPT로 생성한 nginx 인증서 그림 간만에 가비아에서 유료 SSL 인증서를 구입했습니다. 가격은 4만 4천원(부가세 포함)입니다. 나름 제일 싼 거를 선택했고, 딱히 멀티도메인 인증서는 아니라 가볍게 테스트할 용도로 구입했습니다. 이렇게 나오는 경우가 많은데, HTTP 설정만 하면 아래와 같이 나타납니다. 검색해보면... 2024.04.06 티스토리 검색 더보기 brunch.co.kr 유민재 SSL 인증서 만료 : 온라인 보호를 위한 필수 관리 3 사이트에 사용자가 갑자기 접속하지 못하고 사용할 수 없는 상태가 된 적이 있다. 시스템 장애? 아니면 인프라 장애? 여러 가지 가능성을 고려했지만 단순한 SSL/TLS 인증서가 만료된 것이었다. 인터넷 사업을 하다 보면 도메인을 구매한다는 것은 모두 알고 있지만 SSL/TLS 인증서를 관리해야 한다는 생각은 잘하지... 인증서 관리 사업 2024.05.04 브런치스토리 검색 더보기
서비스 안내 Kakao가 운영하는 책 서비스 입니다. 다른 사이트 더보기 Mod_ssl 저자 Miller Fred... 출간 2012.12.1. 도서 63,640원 SSL and TIS 저자 Rescorla Eric 출간 2000.10.1. 도서 66,510원 Ssl & Tls Essentials 저자 Thomas Step... 출간 2000.8.22. Bulletproof SSL and TLS 저자 Feisty Duck 출간 2015.9.18. 도서 69,370원 SSL Remote Access VPNs 도서 86,770원 SSL Remote Access VPNs 저자 Frahim Jazi... 출간 2010.3.9. 도서 61,000원 Bulletproof SSL and TLS 도서 89,390원 Implementing SSL / TLS Using Cryptography and PKI 저자 Joshua Davies 출간 2014.3.26. e북 52,290원 Implementing SSL / TLS Using Cryptography and PKI 저자 Joshua Davies 출간 2014.4.1. Implementing Ssl/Tls Using Cryptography And Pki 저자 Davies 출간 2011.4.15. 도서 66,370원 더보기 (주)카카오는 상품판매의 당사자가 아닙니다.법적고지 안내 (주)카카오는 통신판매중개자로서 통신판매의 당사자가 아니며 상품의 주문 배송 및 환불 등과 관련한 의무와 책임은 각 판매자에게 있습니다.
퀄리스 SSL 연구소 www.ssllabs.com SSL 연구소 소개, 서버, 브라우저 테스트, 펄스 정보 제공. Open SSL www.openssl.org/ Open SSL 프로젝트 소개, 뉴스, 문서, 기부, 메일링 안내. 코리아SSL www.koreassl.com/ Sectigo, GoGetSSL, DigiCert, Thawte, GeoTrust, RapidSSL, DV, OV, EV 인터넷 보안서버 인증서 제공. 채널 사이트 더보기
장소
-
- 070-8292-9311