SSL 인증서 적용후, 443 포트 충돌 접속 오류가 발생합니다. 이유(원인)가 무엇인가요?

웹서버의 기본 동작은,  "포트1개=인증서1개"  이렇게 전용 매칭입니다.

기본 설정에서는, 443 포트에 여러개 인증서 적용이 가능하지 않습니다.
그렇기 때문에, 1개 포트에 여러개 인증서를 적용 설정하면, 서버에서 오류가 발생하는 것입니다.

그러면 어떻게 적용해야 할까요.?


1. 여러개 개별 인증서마다 각각 전용 포트 설정

예를 들면, 아래 처럼 사이트마다 특정 포트로 설정하면 됩니다. (1:1 규칙대로 설정)

https://www.sslcert.co.kr:443/
https://ftp.sslcert.co.kr:444/
https://mail.sslcert.co.kr:445/
https://sub.sslcert.co.kr:446/


2. 1개포트=1개인증서 를 준수하기 위해서, 멀티도메인 인증서 적용

멀티도메인 인증서는, 실질적으로는 싱글 인증서와 같습니다. SAN 항목에 도메인 글자를 몇개 더 표기한다는 의미로, 단순히 구분 짓기 위해 멀티도메인 이라는 이름을 붙인것 뿐입니다.

멀티도메인이 특별한 기술이나 특별한 인증서가 아닙니다. 절대 착오하지 마세요.
멀티도메인은 1개 인증서이지만, 도메인항목에 여러개 글자를 넣어 놓았기 때문에, 결과적으로 1:1 규칙에 부합합니다.

서버에는 아래와 같이 적용 가능합니다.
(멀티도메인이기만 하면 다 되는 것은 아닙니다. 멀티도메인 인증서 자체를 여러개 받으면 1:1 규칙에 따라 중복적용은 불가합니다)

https://www.sslcert.co.kr/   > 멀티도메인 인증서 1개로 중복 적용
https://mail.sslcert.co.kr/   > 멀티도메인 인증서 1개로 중복 적용
https://sub2.sub1.securesign.kr/   > 멀티도메인 인증서 1개로 중복 적용
https://httpssl.co.kr/   > 멀티도메인 인증서 1개로 중복 적용
https://www.naver.com/   > 멀티도메인 인증서 1개로 중복 적용

서버내 모든 도메인을 443 기본 포트로 적용하고 싶으면, 그 도메인들 모두를 1개 멀티인증서에 다 포함해야 합니다.
동일 루트 도메인에 서브 호스트만 다르다면, 와일드카드 SSL 인증서도 가능합니다.
웹서버에서 SNI 를 지원하지 않는 경우에만 적합 합니다. (SNI 지원시 싱글 인증서 적용 권장)


3. 웹서버의 SNI 기능 활용

SNI 는 https 접속하는 도메인 정보를 확인하기 위한 기술이며, RFC 표준에 제정된 기술입니다. (SNI 관련 기술에 대한 자세한건 직접 찾아보시기 바랍니다)
최근 서버 및 최근 클라이언트에서는 지원되는 기능이며, SNI 을 이용하여 도메인 구분이 가능해지면서 이걸 활용하여, 서버에서도 인증서 구분 적용이 가능해 졌습니다. 서버에서 SNI 기능을 지원하지 않으면 활용이 불가능합니다.

아래 처럼 443 포트 1개에, 여러개 인증서를 동시에 적용이 가능합니다. (1:1 규칙을 회피할수 있게 됨)

https://www.sslcert.co.kr/  > 도메인별로 각각 발급받은 인증서를 각각 적용
https://mail.sslcert.co.kr/  > 도메인별로 각각 발급받은 인증서를 각각 적용
https://sub2.sub1.securesign.kr/  > 도메인별로 각각 발급받은 인증서를 각각 적용
https://httpssl.co.kr/  > 도메인별로 각각 발급받은 인증서를 각각 적용
https://www.naver.com/  > 도메인별로 각각 발급받은 인증서를 각각 적용



SSL 인증서는 네트워크 데이터 암호화용 단순한 키일 뿐입니다. (실행파일 X. 단순히 열쇠,패스워드 같은 이런 개념일뿐임)
서버에 SSL 적용시 발생하는 문제의 99% 는 서버 자체 또는 설정상의 문제입니다.
상당수 관리자는 SSL 인증서가 이상이 있어서 그런것으로 생각하지만, 그건 99% 착오 입니다.

서버에 SSL 적용시 어떤 오류가 발생하면, 로그 확인부터 해보셔야 합니다.
문제 해결의 실마리 대부분은 이미 로그에 존재합니다. (그리고 구글등에서 에러내용 검색 활용 필수)


관련 참고 사항)
FQDN - https://www.securesign.kr/guides/kb/51
와일드카드 https://www.securesign.kr/guides/kb/30
멀티도메인 https://www.securesign.kr/guides/kb/29


#포트
컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.