SSL 인증서 정보
CAMServer 에 SSL 증명서를 적용하는 것으로, 표준 브라우저로 액세스 할 때의 경고를 지울 수가 있습니다.
SSL 증명서는 이하 2 패턴의 방법이 있어, 각각의 해설을 합니다.
- Let's Encrypt 무료 SSL 적용
- 인트라넷 SSL 구매 및 적용
Let's Encrypt 무료 SSL 적용
Let's Encrypt는 무료로 인증서를 발급할 수 있지만 HTTP-01 또는 DNS-01 챌린지 방식으로 도메인 인증이 필요합니다. 일반적으로 CAMServer를 외부에 공개하지 않으므로 DNS-01 챌린지에서의 대응을 권장합니다.
DNS-01 챌린지
DNS-01 챌린지에서는, Let's Encrypt 서버로부터 취득한 토큰을, 대상 도메인명의 DNS 서버에 등록하는 것으로 소유 확인을 실시합니다. 예를 들어 "camserver.xx" 인증서를 발급하는 경우 소유 DNS 서버의 DNS 이름 _acme-challenge.camserver.xx., TXT 종류에 “취득한 토큰”이라는 레코드를 설정합니다.
HTTP-01 챌린지
HTTP-01 챌린지에서는 Let's Encrypt 서버로부터 토큰을 취득해, 이 토큰을 포함한 파일을 CAMServer 상의 소정의 디렉토리에 배치해 도메인명의 소유 확인을 실시합니다.
예를 들어 "camserver.xx"의 인증서를 발급하는 경우 아래에 얻은 토큰 파일을 설치하고,
CAMServer/www/.well-known/acme-challenge/ 획득한 토큰
다음 URL에서 외부에 게시해야 합니다.
http://camserver.xx/.well-known/acme-challenge/ 취득한 토큰
Let's Encrypt 인증서 생성이 완료되면
다음 절차에 따라 pem 파일을 배치합니다.
- CAMServer 중지
- privkey.pem / cert.pem / chain.pem 파일
CAMServer/config/ssl/에 복사 - CAMServer 시작
인트라넷 SSL 구매 및 적용
완전히 외부에서 액세스할 수 없는 CAMServer에 SSL 인증서를 적용하려면 인트라넷 SSL 인증서를 구입해야 합니다.
인트라넷 SSL을 구입하고 키스토어 파일을 취득할 수 있으면 다음의 순서로 적용해 주세요.
- CAMServer 중지
- 키 스토어 파일
CAMServer/config/ssl/tomcat.keystore덮어쓰기 CAMServer/cam.ini파일에 다음 섹션 추가camserver.keyAlias=인증서 작성 시 keyAliascamserver.keystorePass=인증서 작성 시 keystorePass
- CAMServer 시작
- CAMServer는 HTTP 서버에 Tomcat을 사용하고 있으며 Tomcat 용 키 스토어 파일을 가져오고 작성하는 방법은 구입처에서 대부분의 경우 절차가 정리되어 있습니다.
- 인트라넷 SSL은, 각 단말의 브라우저에 루트 증명서가 등록되어 있지 않은 경우, 루트 증명서·중간 증명서를 구입처로부터 다운로드해 각 단말의 브라우저에 별도 적용이 필요하게 되는 것 같습니다.