보안서비스

김기중 에반젤리스트

웹방화벽 SSL 설정

1) 인증서 준비

Web Server가 SSL 통신을 하고 있다면 Web Server에 등록된 SSL 인증서와 개인키파일을 준비 해야하며, SSL 인증서의 상위 인증서들(최상위 인증서(Root CA)가 아닌)이 있다면 체인 인증서를 준비합니다.

 

2) SSL 프로파일 설정

    a) [환경설정] -> [탐지] -> [SSL 프로파일]을 클릭하면 SSL 프로파일 설정 화면을 출력한다.

    b) '이곳을 선택 후 클릭하여 추가합니다.'라는 문구가 있는 빈 그리드를 더블 클릭합니다.

          

 

 

    c) 앞에서 준비한 SSL 인증서와 개인키 파일을 등록합니다. 만약, 체인인증서가 있다면 체인인증서도 등록한 후 확인 버튼을 클릭합니다.

          

 

 

    d) SSL 프로파일목록에서 '보기' 를 클릭하면 등록한 인증서를 확인할 수 있습니다.

          

 

    e) ‘저장'버튼을 클릭하여, 생성한 SSL 프로파일을 저장합니다.

 

3) SSL 프로파일을 웹 서버에 적용

 : SSL 통신을 하기 위해서는 등록된 SSL 프로파일을 [환경설정] -> [탐지] -> [웹서버]에 등록한 웹 서버에 설정해야 합니다.

    a) [환경설정] -> [탐지] -> [웹서버]을 클릭하면 웹서버 설정 화면을 출력합니다.

    b) '이곳을 선택 후 클릭하여 추가합니다.'라는 문구가 있는 빈 그리드를 더블 클릭합니다.

          

 

 

    c) 웹 서버를 입력하고, 인증서 설정을 SSL 사용으로 설정 후 등록한 SSL 인증서 파일을 불러옵니다.

          

 

    d) 사용한 SSL 프로토콜을 선택한 후 '확인' 버튼을 클릭한 후 저장한다.

 

4) SNI 지원

 : SNI(Server Name Indication)란, 하나의 서버(같은 Web Server IP, Port)에 여러개의 SSL 인증서를 등록하여 웹서비스를 하는 기술입니다. SSLv3 이하 버전에서는 사용하지 못하며, TLSv1 버전 이상부터 지원됩니다.

 : 웹 서버 1.1.1.1이 웹 사이트 https://www.abc.com 과 https://www.def.com 을 서비스 한다고 가정할 때 적용 방법은 다음과 같다.

    a) [환경설정] -> [탐지] -> [SSL 프로파일]에서 'www.abc.com', 'www.def.com' 사이트의 SSL 인증서 각각을 SSL 프로파일에 등록한다.

    b) [환경설정] -> [탐지] -> [웹서버]에서 1.1.1.1 웹 서버에 위에 등록한 SSL 프로파일 중 하나를 등록한다.

    c) WAPPLES로 SSL 접속 요청이 있는 경우 SSL 프로파일에서 필요한 SSL 인증서를 찾아 SNI 서비스를 지원합니다.

 

4) 여러 개의 SSL 인증서 합치기

    a) 인증서 종류 확인

        인증서를 합치려면 인증서가 Base64로 인코딩된 인증서여야 합니다. (PEM형식)

    b) 인증서 합치기

        ㄱ) Base64 인증서를 합치는 방법은 에디터에서 합칠 인증서들을 차례대로 이어서 붙인 다음 저장하면 됩니다.

        ㄴ) 인증서들을 이어서 붙일 때에는 하위 인증서부터 차례대로 이어서 붙입니다. (ex. 사이트- 중계 - Root 인증서 순)

          

 

 

    c) 합쳐진 인증서 보기