Building a Secure RedHat Apache Server HOWTO | ||
---|---|---|
ÀÌÀü |
¼¹ö, Ŭ¶óÀÌ¾ðÆ® ¶Ç´Â »ç¿ëÀÚ¿Í °°Àº ³×Æ®¿öÅ© Âü¿©ÀÚ(entity)ÀÇ ¸í¹éÇÑ ½Äº°. SSL°ú °ü·ÃÇØ¼ ÀÎÁõÀº ¼¹ö¿Í Ŭ¶óÀÌ¾ðÆ® ÀÎÁõ¼ È®ÀÎ ÀýÂ÷¸¦ ³ªÅ¸³½´Ù.
³×Æ®¿öÅ© ¿µ¿ªÀ¸·ÎÀÇ ¾×¼¼½º Á¦ÇÑ. ¾ÆÆÄÄ¡¿Í °ü·ÃÇØ¼ º¸Åë ¾î¶² URL·ÎÀÇ ¾×¼¼½º Á¦ÇÑÀ» ÀǹÌÇÑ´Ù.
ÇÑÁ¤µÈ ´Ü°è³»¿¡¼ ¹®Á¦¸¦ ÇØ°áÇϱâ À§ÇÑ ¸í¹éÇÑ ½Ä ¶Ç´Â ÀÏ·ÃÀÇ ±ÔÄ¢µé. ¾ÏÈ£È ¾Ë°í¸®µëÀº º¸Åë Cipher·Î ºÒ¸°´Ù.
¼¹ö ¶Ç´Â Ŭ¶óÀÌ¾ðÆ®¿Í °°Àº ³×Æ®¿öÅ© Âü¿©ÀÚ¸¦ ÀÎÁõÇϴµ¥ »ç¿ëµÇ´Â µ¥ÀÌÅÍ ·¹ÄÚµå. ÀÎÁõ¼´Â subject¶ó ºÒ¸®´Â ±× ¼ÒÀ¯ÀÚ ¹× issuer¶ó°í ºÒ¸®´Â ¼¸í ÀÎÁõ¼ ¹ß±Þ±â°ü(signing Certificate Authority)¿¡ ´ëÇÑ X.509 Á¤º¸¿Í ¼ÒÀ¯ÀÚÀÇ °ø°³Å°¿Í CA ¼¸íÀ» Æ÷ÇÔÇÑ´Ù. ³×Æ®¿öÅ© Âü¿©ÀÚ´Â CA ÀÎÁõ¼¸¦ »ç¿ëÇÏ¿© ÀÌ·¯ÇÑ ¼¸íÀ» È®ÀÎÇÑ´Ù.
½Å·Ú¹Þ´Â Á¦»ïÀÚ·Î º¸¾È ¹æ¹ýÀ» »ç¿ëÇÏ¿© ÀÎÁõÇÑ ³×Æ®¿öÅ© Âü¿©Àڵ鿡 ´ëÇÑ ÀÎÁõ¼¿¡ ¼¸íÇÏ´Â °ÍÀ» ¸ñÀûÀ¸·Î ÇÑ´Ù. ´Ù¸¥ ³×Æ®¿öÅ© Âü¿©ÀÚµéÀº CA°¡ ÀÎÁõ¼ ¼ÒÁöÀÚ¸¦ ÀÎÁõÇß´ÂÁö¸¦ È®ÀÎÇϱâ À§ÇØ ¼¸íÀ» °Ë»çÇÒ ¼ö ÀÖ´Ù.
CA¿¡ ÀÇ·Ú¸¦ Çϱâ À§ÇÑ ¼¸íµÇÁö ¾ÊÀº ÀÎÁõ¼. CA´Â ÀÚ½ÅÀÇ ÀÎÁõ¼ÀÇ ºñ¹ÐŰ·Î À̸¦ ¼¸íÇÑ´Ù. ÀÏ´Ü CSRÀÌ ¼¸íµÇ¸é ÁøÂ¥ ÀÎÁõ¼°¡ µÈ´Ù. µ¥ÀÌÅÍ ¾Ïȣȸ¦ À§ÇÑ ¾Ë°í¸®µë ¶Ç´Â ½Ã½ºÅÛÀ¸·Î DES, IDEA, RC4 µîÀÌ ±× ¿¹ÀÌ´Ù.
Æò¹® (plaintext)À» ¾ÏÈ£ÈÇÑ °á°ú.
ÇÁ·Î±×·¥ µ¿ÀÛÀÇ ÇѰ¡Áö ÀÌ»óÀÇ Ãø¸éÀ» Á¦¾îÇÏ´Â ¼³Á¤ ¸í·É. ¾ÆÆÄÄ¡¿Í °ü·ÃÇØ¼ ¼³Á¤ ÆÄÀÏÀÇ Ã¹¹øÂ° ¿¿¡ ÀÖ´Â ¸ðµç ¸í·É¾î À̸§ÀÌ´Ù.
Ŭ¶óÀÌ¾ðÆ®¿Í ¼¹ö°¡ µ¥ÀÌÅÍÀÇ ¾ÏÈ£È¿Í º¹È£È¿¡ µ¿ÀÏ۸¦ »ç¿ëÇÑ´Ù.
°ø°³Å°¿Í ºñ¹ÐŰ ½ÖÀ¸·Î ±¸¼ºµÇ´Âµ¥ PKI´Â ºñ´ëĪ ¾ÏÈ£ÀÌ´Ù.
¾ÏÈ£ÈµÈ ¸Þ¼¼Áö¿Í ÇÔ²² ¼Û½ÅÀÚ ½Äº° ¹× ¸Þ¼¼Áö°¡ º¯°æµÇÁö ¾Ê¾ÒÀ½À» È®ÀÎÇÏ´Â µ¥ÀÌÅÍ.
ÇÏÀÌÆÛÅØ½ºÆ® Àü¼Û ÇÁ·ÎÅäÄÝ (Secure), À¥»óÀÇ Ç¥ÁØ ¾ÏÈ£ÈµÈ Åë½Å ±â±¸·Î ½ÇÁ¦ ´ÜÁö SSLÀ» ÅëÇÑ HTTPÀÌ´Ù.
¸Þ¼¼Áö ³»¿ëÀÌ ±³½ÅÁß¿¡ º¯°æµÇÁö ¾Ê¾ÒÀ½À» º¸ÁõÇϴµ¥ »ç¿ëµÉ ¼ö ÀÖ´Â ¸Þ¼¼ÁöÀÇ ÇØ½¬
¾çÃø ¸ðµÎ À§Á¶µÇÁö ¾ÊÀº °ü°è¿¡¼ ¾ðÁ¦ ´©±¸¶óµµ È®ÀÎÇÒ ¼ö ÀÖ´Â µ¥ÀÌÅÍ ¹«°á¼º ¹× Ãâó¸¦ ÀÔÁõÇÏ´Â ¼ºñ½º ¶Ç´Â È®½ÅÀ» °®°í °ÅÁþÀÌ ¾ø´Ù°í ÁÖÀåµÉ ¼ö ÀÖ´Â ÀÎÁõ
°³ÀÎ ¶Ç´Â Âü¿©ÀÚ°¡ µ¥ÀÌÅÍ¿Í °ü·ÃÇØ¼ Ưº°ÇÑ ÇൿÀ» ¼öÇàÇÏÁö ¸øÇϵµ·Ï ÇÏ´Â ¾ÏÈ£È ¹æ¹ýÀ» ÅëÇØ ¾ò¾îÁø ¼ºÁú(ºñ°ÅºÎ ¶Ç´Â Àΰ¡(Ãâó), Àǹ«, ¸ñÀû ¶Ç´Â ¼¾àÀÇ ÀÔÁõ, ¶Ç´Â ¼ÒÀ¯±ÇÀÇ ÀÔÁõÀ» À§ÇÑ ±â±¸)
SSL/TLS¿¡ ´ëÇÑ ¿ÀÇ ¼Ò½º ŸŶ; http://www.openssl.org¸¦ ÂüÁ¶
ºñ¹ÐŰ ÆÄÀÏÀ» º¸È£ÇÏ´Â ´Ü¾î ¶Ç´Â ¹®±¸·Î Àΰ¡¹ÞÁö ¾ÊÀº »ç¿ëÀÚ°¡ ºñ¹ÐŰ ÆÄÀÏÀ» ¾ÏÈ£ÈÇÏ´Â °ÍÀ» ¹æÁöÇÑ´Ù. ´ë°³ ¾ÏÈ£¿¡ »ç¿ëµÇ´Â ºñ¹Ð ¾ÏÈ£È/º¹È£È ŰÀÌ´Ù.
¾ÏȣȵÇÁö ¾ÊÀº Æò¹®
¼ö½Å¸Þ¼¼Áö º¹È£È ¹× ¼Û½Å¸Þ¼¼Áö ¼¸í¿¡ »ç¿ëµÇ´Â °ø°³Å° ¾ÏÈ£¹ý ½Ã½ºÅÛ¿¡¼ÀÇ ºñ¹ÐŰ
ÀÌ Å° ¼ÒÀ¯ÀÚ¿¡°Ô °¡´Â ¸Þ¼¼Áö ¾ÏÈ£È ¹× ÀÌ Å° ¼ÒÀ¯ÀÚ¿¡ ÀÇÇØ ¸¸µé¾îÁø ¼¸ÛÀ» º¹È£ÈÇϴµ¥ »ç¿ëµÇ´Â °ø°³Å° ¾ÏÈ£¹ý ½Ã½ºÅÛ¿¡¼ °ø°³ÀûÀ¸·Î ¾Ë·ÁÁø Ű
¾ÏÈ£È¿Í º¹È£È¿¡ ´Ù¸¥ ۸¦ »ç¿ëÇÏ´Â ºñ´ëĪ ¾ÏÈ£ÇÐ ½Ã½ºÅÛÀÇ ¿¬±¸¿Í ÀÀ¿ë. ÀÌ·¯ÇÑ ÇØ´ç ۵éÀÌ Å°½ÖÀ» ±¸¼ºÇÏ¸ç ºñ´ëĪ ¾ÏÈ£ÇÐÀ¸·Î ºÒ¸°´Ù.
TCP/IP ³×Æ®¿öÅ©¸¦ ÅëÇÑ ÀÏ¹Ý Åë½Å ÀÎÁõ°ú ¾Ïȣȸ¦ À§ÇØ ³Ý½ºÄÉÀÌÇÁ»ç°¡ ¸¸µç ÇÁ·ÎÅäÄÝ·Î ÀϹÝÀûÀ¸·Î HTTPS(HyperText Transfer Protocol(HTTP) over SSL)·Î ºÒ¸°´Ù.
SSL Åë½Å °ü·Ã(context) Á¤º¸
Eric A. Young eay aus.rsa.com ÀÌ °³¹ßÇÑ ÃÖÃÊÀÇ SSL/TLS ±¸Çö ¶óÀ̺귯¸®·Î http://www.ssleay.org¸¦ ÂüÁ¶
¾ÏÈ£È¿Í º¹È£È ¿¬»ê ¹«µÎ¿¡ ÇϳªÀÇ ºñ¹Ð۸¦ »ç¿ëÇÏ´Â ¾ÏÈ£ ¿¬±¸ ¹× ÀÀ¿ë
TCP/IP ³×Æ®¿öÅ©¸¦ ÅëÇÑ ÀϹÝÀûÀÎ Åë½Å ÀÎÁõ°ú ¾Ïȣȸ¦ À§ÇØ IETF(Internet Engineering Task Force)°¡ ¸¸µç SSLÀÇ ´ëü ÇÁ·ÎÅäÄÝ. TLS ¹öÀü 1°ú SSL ¹öÀü 3Àº °ÅÀÇ µ¿ÀÏÇÏ´Ù.
À¥»óÀÇ ´Ù¾çÇÑ ÀÚ¿øµéÀÇ À§Ä¡¸¦ ³ªÅ¸³»´Â °ø½Ä ½Äº°ÀÚ. ´ëºÎºÐ ´ëÁßÀûÀÎ URL ½ºÅ´Àº http·Î SSLÀº https ½ºÅ´À» »ç¿ëÇÑ´Ù.
ITU-T(International Telecommunication Union)°¡ ÃßõÇÏ´Â ÀÎÁõ Áõ¼ ½ºÅ´À¸·Î SSL/TLS ÀÎÁõ¿¡ »ç¿ëµÈ´Ù.
±Ç°í X.509 [CCI88c] ´Â X.509 ÀÎÁõ¼ ±¸¹®·Ð»Ó¸¸ ¾Æ´Ï¶ó X.500 µð·ºÅ丮¿¡ ´ëÇÑ ÀÎÁõ ¼ºñ½º¸¦ ÁöÁ¤ÇÑ´Ù. X.509¿¡¼ µð·ºÅ丮 ÀÎÁõÀº ºñ¹ÐŰ ¶Ç´Â °ø°³Å° ±â¹ýÀ» »ç¿ëÇÏ¿© ¼öÇàµÉ ¼ö Àִµ¥ ÈÄÀÚ´Â °ø°³Å° ÀÎÁõ¼¿¡ ±âÃÊÇÑ´Ù. Ç¥ÁØÀÇ À¯ÀÍÇÑ ºÎ¼Ó¹®¼°¡ RSA ¾Ë°í¸®µëÀ» ±â¼úÇÔ¿¡µµ ºÒ±¸Çϰí Ç¥ÁØÀº ƯÁ¤ ¾ÏÈ£È ¾Ë°í¸®µëÀ» ÁöÁ¤ÇÏÁö ¾Ê´Â´Ù.