IIS에서 웹 사이트와 상호 작용하는 모든 고객에 대해 SSL 사용

  • 아티클

이 문서에서는 MICROSOFT 인터넷 정보 서비스(IIS)에서 웹 사이트와 상호 작용하는 모든 고객에 대해 SSL(Secure Sockets Layer)을 사용하도록 설정하는 방법을 설명합니다.

원본 제품 버전: 인터넷 정보 서비스
원본 KB 번호: 298805

요약

이 문서에는 다음 topics 포함되어 있습니다.

  • 고객이 웹 사이트가 유효하고 사용자에게 보내는 모든 정보가 비공개 및 기밀로 유지되도록 서버 인증서를 설정하고 사용하도록 설정하는 방법입니다.
  • 타사 인증서를 사용하여 SSL(Secure Sockets Layer)을 사용하도록 설정하는 방법과 타사 인증서를 가져오는 데 사용되는 CSR(인증서 서명 요청)을 생성하는 데 사용되는 프로세스에 대한 일반적인 개요를 제공합니다.
  • 웹 사이트에 대해 SSL 연결을 사용하도록 설정하는 방법입니다.
  • 모든 연결에 SSL을 적용하고 클라이언트와 웹 사이트 간에 필요한 암호화 길이를 설정하는 방법입니다.

두 가지 유형의 인증에 웹 서버의 SSL 보안 기능을 사용할 수 있습니다. 사용자가 신용 카드 번호와 같은 개인 정보를 전송하기 전에 웹 사이트를 인증할 수 있도록 서버 인증서를 사용할 수 있습니다. 또한 클라이언트 인증서를 사용하여 웹 사이트에서 정보를 요청하는 사용자를 인증할 수 있습니다.

이 문서에서는 타사 CA(인증 기관)를 사용하여 웹 서버에 대한 인증을 제공할 것이라고 가정합니다.

SSL 서버 인증서 확인을 사용하도록 설정하고 고객이 원하는 보안 수준을 제공하려면 타사 CA에서 인증서를 가져와야 합니다. 타사 CA에 의해 organization 발급된 인증서는 일반적으로 웹 서버, 특히 SSL을 바인딩할 웹 사이트에 연결됩니다. IIS 서버를 사용하여 사용자 고유의 인증서를 만들 수 있지만 그렇게 하는 경우 클라이언트는 암시적으로 인증 기관으로 신뢰해야 합니다.

이 문서에서는 다음을 가정합니다.

  • IIS를 설치했습니다.
  • SSL로 보호하려는 웹 사이트를 만들고 게시했습니다.

인증서 가져오기

인증서를 가져오는 프로세스를 시작하려면 CSR을 생성해야 합니다. IIS 관리 콘솔 통해 이 작업을 수행하므로 CSR을 생성하려면 IIS를 설치해야 합니다. CSR은 기본적으로 타사 CA에서 인증서를 요청할 때 서버에 대한 컴퓨터 관련 정보의 유효성을 검사하는 서버에서 생성하는 인증서입니다. CSR은 단순히 퍼블릭/프라이빗 키 쌍으로 암호화된 암호화된 문자 메시지입니다.

일반적으로 컴퓨터에 대한 다음 정보는 생성하는 CSR에 포함됩니다.

  • 조직
  • 조직 구성 단위
  • 국가/지역
  • 주/주
  • 도시/지역
  • 일반 이름

참고

일반 이름은 일반적으로 호스트 컴퓨터 이름과 호스트 컴퓨터 이름 및 호스트 컴퓨터가 속한 도메인(예: xyz.com)으로 구성됩니다. 이 경우 컴퓨터는 .com 도메인의 일부이며 이름이 XYZ입니다. 회사 도메인의 루트 서버이거나 단순히 웹 사이트일 수 있습니다.

CSR 생성

  1. IIS MMC(Microsoft Management Console)에 액세스합니다. 이렇게 하려면 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 관리를 선택합니다. 그러면 컴퓨터 관리 콘솔이 열립니다. 서비스 및 애플리케이션 섹션을 확장합니다. IIS를 찾아 IIS 콘솔을 확장합니다.

  2. 서버 인증서를 설치할 특정 웹 사이트를 선택합니다. 사이트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  3. 디렉터리 보안 탭을 선택합니다. 보안 통신 섹션에서 서버 인증서를 선택합니다. 그러면 웹 서버 인증서 마법사가 시작됩니다. 다음을 선택합니다.

  4. 새 인증서 만들기를 선택하고 다음을 선택합니다.

  5. 지금 요청 준비를 선택하지만 나중에 보내고 다음을 선택합니다.

  6. 이름 필드에 기억할 수 있는 이름을 입력합니다. 기본적으로 CSR을 생성하는 웹 사이트의 이름으로 설정됩니다.

    참고

    CSR을 생성할 때 비트 길이를 지정해야 합니다. 암호화 키의 비트 길이는 타사 CA에 보내는 암호화된 인증서의 강도를 결정합니다. 비트 길이가 높을수록 암호화가 더 강합니다. 대부분의 타사 CA는 최소 1024비트 를 선호합니다.

  7. 조직 정보 섹션에서 organization 및 조직 구성 단위 정보를 입력합니다. 타사 CA에 이러한 자격 증명을 제공하고 인증서의 라이선스를 준수해야 하므로 정확해야 합니다. 다음을 선택하여 사이트의 일반 이름 섹션에 액세스합니다.

  8. 사이트의 일반 이름 섹션은 인증서를 웹 사이트에 바인딩하는 역할을 담당합니다. SSL 인증서의 경우 도메인 이름을 사용하여 호스트 컴퓨터 이름을 입력합니다. 인트라넷 서버의 경우 사이트를 호스팅하는 컴퓨터의 NetBIOS 이름을 사용할 수 있습니다. 다음을 선택하여 지리적 정보에 액세스합니다.

  9. 국가 또는 지역, 주 또는 지방, 도시 또는 지역 정보를 입력합니다. 주 또는 지방, 도시 또는 지방을 완전히 철자합니다. 약어를 사용하지 마세요. 다음을 선택합니다.

  10. 파일을 .txt 파일로 저장합니다.

  11. 요청 세부 정보를 확인합니다. 다음을 선택하여 완료하고 웹 서버 인증서 마법사를 종료합니다.

인증서 요청

요청을 제출하는 방법에는 여러 가지가 있습니다. 원하는 인증서 공급자에게 문의하여 메서드를 사용하고 요구 사항에 가장 적합한 인증서 수준을 결정합니다. 요청을 CA로 보내기 위해 선택한 방법에 따라 CSR 생성 섹션의 10단계에서 CSR 파일을 보내거나 이 파일의 내용을 요청에 붙여넣어야 할 수 있습니다. 이 파일은 암호화되며 내용에 대한 머리글과 바닥글을 포함합니다. 인증서를 요청할 때 머리글과 바닥글을 모두 포함해야 합니다. CSR은 다음과 유사합니다.

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG
A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v
cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw
gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f
IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI
JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw
GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G
A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C
AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh
AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp
AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8
MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi
TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA
AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o
MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M
GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj
Jb9/2RM=
-----END NEW CERTIFICATE REQUEST-----

인증서 설치

타사 CA가 서버 인증서에 대한 요청을 완료하면 이메일 또는 다운로드 사이트로 수신됩니다. 보안 통신을 제공하려는 웹 사이트에 인증서를 설치해야 합니다.

인증서를 설치하려면 다음 단계를 수행합니다.

  1. CA에서 가져온 인증서를 다운로드하거나 웹 서버로 복사합니다.
  2. CSR 생성 섹션에 설명된 대로 IIS MMC를 엽니다.
  3. 인증서를 설치하는 웹 사이트의 속성 대화 상자에 액세스합니다.
  4. 디렉터리 보안 탭을 선택한 다음 서버 인증서를 선택합니다. 그러면 웹 서버 인증서 마법사가 시작됩니다. 다음을 선택합니다.
  5. 보류 중인 요청 처리를 선택하고 인증서를 설치한 다음, 다음을 선택합니다.
  6. 1단계에서 저장한 인증서의 위치로 이동합니다. 다음을 두 번 선택한 다음 마침을 선택합니다.

SSL 연결 적용

이제 서버 인증서가 설치되었으므로 웹 서버의 클라이언트와 SSL 보안 채널 통신을 적용할 수 있습니다. 먼저 웹 사이트와의 보안 통신에 포트 443을 사용하도록 설정해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 컴퓨터 관리 콘솔에서 SSL을 적용할 웹 사이트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
  2. 웹 사이트 탭을 선택합니다. 웹 사이트 식별 섹션에서 SSL 포트 필드가 숫자 값 443으로 채워져 있는지 확인합니다.
  3. 고급을 선택합니다. 두 필드가 표시됩니다. 웹 사이트의 IP 주소와 포트는 이 웹 사이트의 여러 ID 필드에 이미 나열되어 있어야 합니다. 이 웹 사이트에 대한 여러 SSL ID 필드에서 포트 443이 아직 나열되지 않은 경우 추가 를 선택합니다. 서버의 IP 주소를 선택하고 SSL 포트 필드에 숫자 값 443 을 입력합니다. 확인을 선택합니다.

이제 포트 443을 사용하도록 설정했으므로 SSL 연결을 적용할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.

  1. 디렉터리 보안 탭을 선택합니다. 보안 통신 섹션에서 편집을 사용할 수 있습니다. 편집을 선택합니다.

  2. SSL(보안 채널 필요)을 선택합니다.

    참고

    128비트 암호화를 지정하는 경우 40비트 또는 56비트 강도 브라우저를 사용하는 클라이언트는 암호화 강도를 업그레이드하지 않는 한 사이트와 통신할 수 없습니다.

  3. 브라우저를 열고 표준 http:// 프로토콜을 사용하여 웹 서버에 연결합니다. SSL이 적용되는 경우 다음 오류 메시지가 표시됩니다.

    보안 채널을 통해 페이지를 볼 수 있어야 합니다.
    보려는 페이지에는 주소에 'https'를 사용해야 합니다.
    다음을 시도하세요. 도달하려는 주소의 시작 부분에 https:// 입력하여 다시 시도하세요. HTTP 403.4 - 사용할 수 없음: SSL 필수 인터넷 정보 서비스
    기술 정보(지원 담당자용) 배경: 이 오류는 액세스하려는 페이지가 SSL(Secure Sockets Layer)으로 보호됨을 나타냅니다.

이제 https:// 프로토콜을 사용하여 웹 사이트에만 연결할 수 있습니다.