Keystore 및 CSR 생성

- CSR 직접 생성이 필요한 경우, Tomcat 매뉴얼의 Keystore/CSR 부분을 참고하세요

Single

Wildcard

MultiDomain

Multi-Wildcard

SSL 발급 신청

• GoGetSSL Domain (Sectigo) (￦ 7,000) ▶ 3,500원 (-50% 반값 이벤트, ~ 08/31 까지, 상세보기)
• Sectigo PositiveSSL (￦ 9,000) ▶ ￦ 7,000. 22% 할인 프로모션 진행중. 자세히보기
• Sectigo PositiveSSL Wildcard (￦ 120,000)
• Sectigo PositiveSSL Multi-Domain (￦ 49,000)
• RapidSSL Standard (DigiCert) (￦ 24,000)
• GlobalSign AlphaSSL Wildcard (￦ 120,000) ▶ ￦ 60,000. 50% 할인 프로모션 진행중. 자세히보기
• 최저가 SSL 인증서 타입 분류별 전체 보기

인증서 발급 완료

- 발급 완료 후에는, 메일첨부 또는 주문상세의 압축파일(zip)에 인증서 파일이 포함되어 있습니다.
- 서버 적용에 필요한 파일 정보는, zip 파일내 '발급내역서 및 루트/체인' PDF 에서 확인해야 합니다. (필수)
- 이후 과정 부터는, 서버에 SSL 인증서 설치/적용/확인 절차 입니다. (인터넷에 공개된 설정법과 차이 없음)
- 직접 설치/적용에 어려움이 있다면, 서버운영 전문업체 기술지원도 검토해 보시기 바랍니다 유료기술지원 확인하기

서버 인증서 jks 포맷 조합 (서버에서 CSR 직접 생성한 경우)

* 개인키가 CSR 생성 서버에만 - CSR 직접 생성 - 존재하는 경우에, 개인키에 발급된 "서버/체인/루트" 인증서를 통합합니다.
* 루트/체인 인증서는 상품별로 차이가 있으므로, 발급 완료시 첨부된 파일 내역에서 확인 가능합니다.
* CSR 자동생성 신청의 경우, .pfx / .jks 포맷 파일을 제공해 드리며 파일에 모두 통합되어 있습니다. (조합 과정 불필요)
* 필요에 따라서 .pem 파일을 이용하여 조합하거나 .pfx, .jks 파일에서 추가/변경/분리/조합하면 됩니다. (변환매뉴얼참조)

application.properties 적용시 예제 (CSR 자동 생성 이용 또는 jks 조합 후)

* 서버 운영 환경에 따라서 properties 또는 yml 에 맞게 선택 적용하면 됩니다. (예제가 절대 사항 아님)
* Tomcat 등 다른 서버와 연동되는 부분이 있다면, 해당 부분은 직접 확인하여 설정 해야 합니다.
* CN(일반이름) 과 Alias 가 다르면, Alias Property 를 별도로 지정 해주어야 합니다. (변환 매뉴얼 참조)
* CSR 자동 생성 이용시, 개인키에는 패스워드가 지정되지 않습니다. (별도 지정 필요시 변환 매뉴얼 참조)
* CSR 자동 생성 이용시, .pfx / .jks 패스워드는 발급내역서 PDF 또는 주문상세 페이지를 참조하시기 바랍니다.
* 예제에 포함되어 있지 않은 나머지 Property 는 공식 매뉴얼 또는 서버 설정값을 사용하시기 바랍니다.

application.yml 적용시 예제 (CSR 자동 생성 이용 또는 jks 조합 후)

server:
  port: 8443 #SSL 사용할 포트 지정 
  ssl:
        enabled: true
        key-store: "sslcert.co.kr.jks" 또는 "sslcert.co.kr.pfx" 지정 
        key-store-type: 인증서 파일 포맷별 "JKS" 또는 "PKCS12" 지정 
        key-store-password: xxxxxxxx  # jks 또는 pfx 암호
        key-alias: xxxxx.com # (필요시) Alias 명 지정. CSR 자동 생성시에는 CN 명
        trust-store: # (필요시) "sslcert.co.kr.jks" 또는 "sslcert.co.kr.pfx" 지정. CSR 직접 생성시에는, 루트/체인 스토어 파일 지정
        trust-store-password: xxxxxxxx  # (필요시) jks 또는 pfx 암호

* 서버 운영 환경에 따라서 properties 또는 yml 에 맞게 선택 적용하면 됩니다. (예제가 절대 사항 아님)
* Tomcat 등 다른 서버와 연동되는 부분이 있다면, 해당 부분은 직접 확인하여 설정 해야 합니다.
* CN(일반이름) 과 Alias 가 다르면, Alias Property 를 별도로 지정 해주어야 합니다. (변환 매뉴얼 참조)
* CSR 자동 생성 이용시, 개인키에는 패스워드가 지정되지 않습니다. (별도 지정 필요시 변환 매뉴얼 참조)
* CSR 자동 생성 이용시, .pfx / .jks 패스워드는 발급내역서 PDF 또는 주문상세 페이지를 참조하시기 바랍니다.
* 예제에 포함되어 있지 않은 나머지 Property 는 공식 매뉴얼 또는 서버 설정값을 사용하시기 바랍니다.

설치 적용 확인

- SSL 설정 적용 후, Spring Boot 서버를 재시작하여 정상 구동이 되는지 확인이 필요합니다.

- 서버 데몬 시작시 SSL 설정 관련 오류,경고가 있는지 콘솔/데몬/이벤트 로그 확인이 필요합니다.
- 서버 로컬에서 설정한 HTTPS 포트가 활성화 되어 있는지 netstat 등으로 확인해야 합니다.
- 외부에서 HTTPS 포트 접속이 되지 않는 다면 보안설정(방화벽등) 허용을 확인해야 합니다.
- L4 분산 환경은, HTTPS 패킷을 수신하는 모든 노드 웹서버에 SSL 적용이 필요합니다.
- L7 라우팅 환경은, L7 에도 HTTPS 활성 및 SSL 인증서 설정이 필요합니다. (장비별 자체 매뉴얼 참조)

- SSL 발급 도메인 웹페이지에 https:// 링크 적용을 별도 진행해야 최종적으로 SSL 암호화가 적용됩니다. (개발자,웹디자이너)
- PC 및 스마트폰의 "Chrome / Firefox / IE / Edge" 각 웹브라우져에서 "루트,체인,SSL,TLS" 경고가 발생 하는지 확인해야 합니다.

관련 주요 이슈 사항

• Java 기반에서 SSL 접속시, PKIX path building failed 오류
• 주요 웹브라우져 SSL v2 v3 및 TLS 1.0, 1.1 지원 삭제

참고 추가 자료

• Spring Enabling HTTPS (공식매뉴얼)
• Spring Configure SSL (공식매뉴얼)
• 웹페이지 html 소스에 https 링크 적용 가이드

설치 적용 관련 FAQ

• SSL 인증서를 새로 발급 받아 적용했는데, 기존 인증서가 계속 보입니다?
• 443 포트 충돌 접속 오류가 발생합니다. 이유(원인)가 무엇인가요?
• SSL 발급 완료시, 어떤 파일이 제공(포함) 되나요? (pem,key,crt,pfx,jks,p7b)
• 개인키 암호가 없어서 설치 적용이 안되고 있습니다?
• 체인(중개) 인증서를 꼭 적용해야 하나요?
• SSL 설치 적용할 웹서버 종류가 2가지 이상일 경우에는?
• 웹페이지에 https 링크 적용/접속시 웹브라우져 경고창 관련 (점검사항)

CA 기술 자료

• Sectigo https://support.sectigo.com/Com_KnowledgeMainPage
• DigiCert https://www.digicert.com/kb/ssl-certificate-installation.htm
• GlobalSign https://support.globalsign.com/ssl/ssl-certificates-installation/install-ssl-certificate-overview