Intermediate-Chain 중개/체인 인증서 적용 확인 방법

SSL 인증서 적용 테스트

발급 받은 서버인증서를 서버에 설치를 합니다. 그리고 기본적인 작동/접속 테스트를 진행합니다. 다음으로 SSL 점검/조회 서비스로 잘 알려진 https://www.ssllabs.com/ssltest/ 사이트에서, SSL 을 적용한 웹사이트에 대해서 검증 테스트를 진행하여 권장 사항이 확인되는 경우 서버 설정값을 조정하기 바랍니다.

Additional Certificates 항목 확인

점검 결과 리포트에서, [Additional Certificates] 항목을 확인합니다. Chain issues - Incomplete Extra download 가 확인될 경우, 이는 중개(체인) 인증서를 정상적으로 확인하지 못하였다는 의미입니다. 이럴 경우에는 체인증서가 설치가 안되어 있거나, 또는 체인인증서를 설치했음에도 표시가 된다면 잘못 설치된 경우 입니다. (SSLLabs 정책에 따라 검사/표시 방법이 달라질수 있음)

[문제가 있는 경우 예]

[정상 확인의 경우]

FAQ

인증서 발급시 참고사항

* 인증서 신청서 작성시 CSR 자동생성을 이용하는 경우 ".pfx / .jks / .key" 파일이 제공됩니다.
* 제공되는 ".pfx / .jks" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.
* 발급 받은 zip 파일에는, 루트/체인 단계에 대해서 설명된 PDF 파일이 포함 되어 있습니다.


중개(체인) 인증서 란?

루트(Root) 인증서와 발급 받는 서버인증서 사이에 존재하는 인증서로, 루트인증서와 서버인증서 사이를 중개,연결해 준다는 의미로 사용됩니다. 또한 실제 서버인증서의 발급자이기도 합니다. SSL 인증서 초창기에는 루트인증서에서 바로 서버인증서를 발급하였지만, 기술 환경 변화에 적절히 대응하기 위해서 거의 대부분의 글로벌 인증서 사업자는 체인인증서 형태의 발급 체계를 갖고 있습니다.

적용이 필요한 이유는?

최신 웹브라우져 및 디바이스 이더라도, 최신 루트인증서와 일부 체인인증서까지만 보유하고 있어서, 중간 체인 정보가 없으면 클라이언트 웹브라우져에서는 발급된 인증서의 발급자(체인)를 확인하지 못합니다. 발급자를 확인하지 못하면 경고창이 발생하거나 웹페이지에 접속하지 못할수도 있습니다. 그래서 이를 방지하기 위해서, 서버쪽에서 명시적으로 현재 서버인증서의 발급자가 누구이고 어떤 발급 단계를 통하였는지 알려주는 설정을 하는 것입니다.

어떻게 설치 하는 건가요?

설치 방법이 특정하게 따로 있는 것은 아닙니다. 각 서버별 설치 가이드 내용을 보면, 각 서버별 인증서 파일 지정하는 부분이 있고 그 항목중에 체인인증서 지정하는 부분이 있습니다. 단지 그 부분에 지정만 정확하게 하면 됩니다. 귀찮다고 또는 이부분은 지정 안해도 되겠지? 라고 해서 '개인키/서버인증서' 만 지정하고 '루트인증서/체인인증서' 설정을 안하는 경우가 있는데 모두 설정해야 합니다.