20 04 2017
Let’s Encrypt로 SSL 인증서 교체
갑자기 기사를 찾지 못하겠는데-_- 작년 한 10월 즈음인가에 구글 크롬이 더이상 StartSSL의 인증서를 신뢰하지 않겠다고 발표했다.
기사는 찾지 못하겠으니 타 커뮤니티 게시글로 대체.
구글측 발표에 따르면 2016년 10월 21일 이전에 발급된 인증서는 비신뢰 대상에 해당하지 않는다고 발표했고, 내가 사용하는 인증서는 2016년 9월 즈음에 발급한 것이기 때문에 걍 안심하고 있었는데, 어느날부터인가 브라우저로 접속해보면 신뢰할 수 없는 사이트라는 경고가 뜨는거다-_-
처음에는 크롬 카나리아에서만 뜨고 사실은 이떄부터 준비했어야 했는데, 크흡 크롬 stable 버전에서는 비신뢰 경고가 뜨지 않길래 안심하고 있었다. 그런데 언제부턴가 크롬 stable이랑 파이어폭스에서 모두 비신뢰가 뜨는걸 보고 식겁했다-_-;;; 그렇지만 회사일이 바빠서 손도 못쓰고 있었는데, 마침 시간이 좀 남아서 부랴부랴 인증서를 교체했다.
교체한 인증서는, 한때 인증서 무료 발급 및 자동 설치로 유행을 탔던(?) Let’s Encrypt의 인증서를 사용했다. 다만 Let’s Encrypt는 인증서 발급을 위해서는 그쪽에서 제공하는 인증 서버를 통해 서버 인증을 거쳐서 발급받아야 하고, 이 인증 작업을 위해서 클라이언트를 배포하고 있는데 이 클라이언트가 리눅스 서버에서만 동작하는 것으로 알고 있다.
어차피 Let’s Encrypt의 보안 서버와 통신만 하면 되는 것이기 때문에, 이 서버와의 통신을 위한 윈도우용 공개 클라이언트도 오픈소스로 몇 개 있는걸로 알고 있는데, 나는 그 중에서 letsencrypt-win-simple을 사용했다. 굳이 이걸 사용한 이유는 한빛 미디어에서 무료로 제공하고 있는 HTTPS 무료 사용을 위한 Let’s Encrypt 사용자 가이드라는 책에서 윈도우에서 사용 가능한 클라이언트로 제시하고 있는 것이 letsencrypt-win-simple인 것도 있고, 이미 이 툴을 실무에서 사용해봤기 때문에 그럭저럭 믿을만하다고 판단했기 때문이다 일반적으로는 개인적으로 테스트해보고 실무에 적용해보기 마련인데, 왠지 이번에는 실무에서 직접 테스트해보고 개인 블로그에 적용했다-_- 뭔가 비범하다-_- .
다만 letsencrypt-win-simple의 경우는 윈도우 서버에 IIS 웹서버를 이용해서 서비스를 하고 있는 경우 인증서 자동 발급 후 IIS 서버에 셋팅까지 한번에 해 주는데, 내 경우는 윈도우 서버에서 IIS를 사용하지 않고 있었기 때문에 대략 난감 (…) 다행히 인터넷을 뒤져서 아래 문서를 보고 해결했다.
위 문서는 윈도우 서버 + 윈도우용 아파치 웹서버 사용 기준으로 설명되어 있지만, 윈도우 서버 + nginx 같은 경우에도 동일하게 적용할 수 있지 않을까 한다.
어찌저찌 인증서는 교체하기는 했는데, letsencrypt-win-simple은 인증서 발급 후 60일이 지나면 자동으로 갱신을 해 주는데 이번처럼 수동으로 설치한 경우에 자동 갱신은 어떻게 되는지 잘 모르겠다. 이 부분은 모니터링이 필요할듯.
예전엔 이런거 발견하면 다시 내 식(?)대로 정리해서 블로그에 올려놓곤 했는데, 요새는 바쁘기도 하고 예전보다 정신이 없어서 정리할 시간을 내지 못했다. 그건 언젠가 시간이 나고 의욕(?)이 나면 하는걸로☆~
오딘 스피어: 레이브스라시르 JDK 9에서 eclipse 실행이 안될때