인터넷 정보 서비스에서 웹 사이트와 상호 작용하는 모든 고객에 대하여 SSL을 활성화하는 방법

기술 자료: 298805 - 이 문서가 적용되는 제품 보기.

이 문서는 이전에 다음 ID로 출판되었음: KR298805

모두 확대 | 모두 축소

요약

이 문서에서는 다음 내용을 설명합니다.

고객이 웹 사이트의 유효성을 확인하고 송신하는 모든 정보의 비밀이 유지된다는 것을 알 수 있도록 서버 인증서를 설치하고 사용하는 방법
타사 인증서를 이용하여 SSL(Secure Socket Layer)을 사용하는 방법과 CSR(Certificate Signing Request)을 생성하여 타사 인증서를 얻는 과정에 대한 개요
웹사이트에 대한 SSL 연결 사용 방법
모든 연결에 SSL을 시행하고 클라이언트와 웹 사이트 사이에 필요한 암호화 길이를 설정하는 방법

웹 서버의 SSL 보안 기능은 두 가지 인증 유형에 사용할 수 있습니다. 즉, 서버 인증서를 사용하여 사용자가 신용 카드 번호 등의 개인 정보를 전송하기 전에 웹 사이트를 인증하도록 할 수 있으며 클라이언트 인증서를 사용하여 웹 사이트의 정보를 요청하는 사용자를 인증할 수 있습니다.

이 문서에서는 타사 인증 기관(CA)을 이용하여 웹 서버에 대한 인증을 제공하는 것으로 가정합니다.

SSL 서버 인증서 유효성 검사를 사용하고 고객이 원하는 수준의 보안을 제공하려면 타사 CA에서 인증서를 얻어야 합니다. 타사 CA가 조직에 발행하는 인증서는 보통 웹 서버, 보다 구체적으로는 SSL과 연결할 웹 사이트에 결합되어 있습니다. 인터넷 정보 서비스(IIS) 서버를 사용하여 자체 인증서를 만들 수 있으나 이 경우 클라이언트가 묵시적으로 이를 인증 기관으로 신뢰해야 합니다.

이 문서에서는 다음 상황을 가정합니다.

IIS가 설치되어 있습니다.
SSL 보안을 사용할 웹 사이트가 작성되어 게시되었습니다.

인증서 획득

인증서를 구하려면 먼저 CSR을 만들어야 합니다. 이 작업은 IIS 관리 콘솔에서 수행할 수 있으므로 CSR을 만들기 전에 반드시 IIS를 설치해야 합니다. CSR은 기본적으로 서버에서 생성하는 인증서로 타사 CA에서 인증서를 요청할 때 서버에 대한 컴퓨터 고유 정보의 유효성을 확인합니다. CSR은 단순히 공용/개인 키 쌍으로 암호화된 텍스트 메시지입니다.

일반적으로 생성된 CSR에는 다음과 같은 컴퓨터 정보가 포함됩니다.

조직
부서
국가
시/도
구/군/시
일반 이름

참고: 일반 이름은 호스트 컴퓨터 이름과 호스트 컴퓨터가 속한 도메인 이름으로 구성되며 xyz.com과 같은 형태입니다. 여기서 컴퓨터는 .com 도메인에 속하며 이름은 XYZ입니다. 이 이름은 회사 도메인의 루트 서버일 수도 있으며 단순히 웹 사이트일 수도 있습니다.

CSR 생성

IIS MMC(Microsoft Management Console)에 액세스합니다. MMC에 액세스하려면 내 컴퓨터를 마우스 오른쪽 단추로 누르고 관리를 누릅니다. 그러면 컴퓨터 관리 콘솔이 열립니다. 서비스 및 응용 프로그램 섹션을 확장합니다. 인터넷 정보 서비스를 찾아 IIS 콘솔을 확장합니다.
서버 인증서를 설치할 웹 사이트를 선택합니다. 사이트를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
디렉터리 보안 탭을 누릅니다. 보안 통신 섹션에서 서버 인증서를 누릅니다. 그러면 웹 서버 인증서 마법사가 시작됩니다. 다음을 누릅니다.
새 인증서를 만듭니다.를 선택하고 다음을 누릅니다.
요청을 지금 준비하지만 나중에 보냅니다.를 선택하고 다음을 누릅니다.
이름 필드에 기억하기 쉬운 이름을 입력합니다. 이 이름은 CSR을 생성하려는 웹 사이트의 기본 이름이 됩니다.

참고: CSR을 생성할 때에는 비트 길이를 지정해야 합니다. 암호화 키의 비트 길이에 따라 타사 CA에 보내는 암호화 인증서의 강도가 결정됩니다. 비트 길이가 길수록 암호화 수준도 강합니다. 대부분의 타사 CA는 최소 1024비트를 사용합니다.
조직 정보에 조직과 조직의 부서 정보를 입력합니다. 타사 CA에 자격을 증명하는 과정이므로 반드시 정확한 정보를 입력해야 하며 타사 인증서 발행 규칙을 준수해야 합니다. 다음을 눌러 사이트 일반 이름 섹션을 엽니다.
사이트 일반 이름 섹션은 인증서를 웹 사이트와 연결하는 부분입니다. SSL 인증서의 경우 도메인 이름과 함께 호스트 이름을 입력합니다. 인트라넷 서버의 경우 사이트를 호스팅하는 컴퓨터의 NetBIOS 이름을 사용할 수 있습니다. 다음을 눌러 지역 정보로 이동합니다.
국가, 시/도를 입력하고 국가나 지역 정보를 입력합니다. 시/도, 국가 또는 지역은 약어를 사용하지 말고 전체 이름으로 입력해야 합니다. 다음을 누릅니다.
파일을 .txt 파일로 저장합니다.
세부 요청 사항을 확인합니다. 다음을 눌러 완료한 후 웹 서버 인증서 마법사를 종료합니다.

인증서 요청

요청을 제출할 때에는 여러 가지 방법을 사용할 수 있습니다. 선택한 인증서 제공자에게 방법을 문의하여 사용할 가장 적합한 인증서 수준을 결정하십시오. 요청을 CA에 보낼 때 선택한 방법에 따라 "CSR 생성" 절에 있는 10단계에 따라 CSR 파일을 보내거나 이 파일의 내용을 요청에 붙여 넣어야 할 수도 있습니다. 이 파일은 암호화되며 내용에 머리글과 바닥글이 포함됩니다. 인증서를 요청할 때에는 반드시 머리글과 바닥글을 모두 포함해야 합니다. CSR은 다음과 유사합니다.

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

인증서 설치

타사 CA가 서버 인증서에 대한 요청을 완료하면 요청서를 전자 우편이나 다운로드 사이트에서 받을 수 있습니다. 이 인증서는 반드시 보안 통신을 제공하고자 하는 웹 사이트에 설치되어야 합니다.

인증서를 설치하려면 다음과 같이 하십시오.

CA에서 얻은 인증서를 웹 서버로 다운로드하거나 복사합니다.
"CSR 생성" 절에서 설명한 대로 IIS MMC를 엽니다.
인증서를 설치하는 해당 웹 사이트의 등록 정보 대화 상자을 엽니다.
디렉터리 보안 탭을 누른 다음 서버 인증서를 누릅니다. 이렇게 하면 웹 서버 인증서 마법사가 시작됩니다. 다음을 누릅니다.
보류 중인 요청을 처리한 다음 인증서를 설치합니다.를 선택하고 다음을 누릅니다.
1단계에서 인증서를 저장한 위치로 이동하고 다음을 두 번 누른 다음 마침을 누릅니다.

SSL 연결 시행

이제 서버 인증서가 설치되었으므로 웹 서버의 클라이언트와 SSL 보안 채널 통신을 시행할 수 있습니다. 먼저 웹 사이트의 보안 통신에 포트 443을 사용하도록 설정해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

컴퓨터 관리 콘솔에서 SSL을 시행하려는 웹 사이트를 마우스 오른쪽 단추로 누르고 등록 정보를 누릅니다.
웹 사이트 탭을 누릅니다. 웹 사이트 확인 섹션에서 SSL 포트 필드에 443이 입력되었는지 확인합니다.
고급을 누릅니다. 두 가지 필드가 있습니다. IP 주소와 웹 사이트의 포트는 이미 이 웹 사이트의 복수 ID 필드에 입력되어 있어야 합니다. 목록에 포트 443이 없는 경우에는 이 웹 사이트의 복수 SSL ID 필드 아래의 추가를 누릅니다. 서버의 IP 주소를 선택하고 SSL 포트에 443을 입력합니다. 확인을 누릅니다.

이제 포트 443을 사용하도록 설정했으므로 SSL 연결을 시행할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.

디렉터리 보안 탭을 누릅니다. 이제 보안 통신 섹션에서 편집을 사용할 수 있습니다. 편집을 누릅니다.
보안 채널 필요(SSL)를 선택합니다.

참고: 128비트 암호화를 지정한 경우 40비트 또는 56비트 암호화 브라우저를 사용하는 클라이언트는 암호화 강도를 업그레이드하지 않으면 웹 사이트와 통신할 수 없습니다.
브라우저를 열고 표준 http:// 프로토콜을 사용하여 웹 서버에 연결합니다. SSL이 시행되는 경우 다음과 같은 오류 메시지가 나타납니다.
The page must be viewed over a secure channel
The page you are trying to view requires the use of "https" in the address.

Please try the following: Try again by typing https:// at the beginning of the address you are attempting to reach. HTTP 403.4 - Forbidden: SSL required Internet Information Services
Technical Information (for support personnel) Background: This error indicates that the page you are trying to access is secured with Secure Sockets Layer (SSL).
이제 웹 사이트에 연결하려면 반드시 https:// 프로토콜을 사용해야 합니다.