파이어폭스 3.0.10에서 캡처한 것입니다. 사설 인증서를 사용할 경우이고, 아직 okjsp는 공인보안 인증서 전단계입니다.

UI가 IE보다는 확실히 나은 것 같습니다.

인증서 보기를 통해서 내용을 확인할 수 도 있습니다.

인증서 서명 알고리듬은 SHA-1을 사용하는군요.

파이어폭스에서 접속한 로그인 화면입니다.

정말 별거 없는 개발자 커뮤니티 사이트도 이런데, 포털 같은 경우는 처리해야 할 경우의 수가 어마어마할 것 같습니다.
HTTPS 서비스를 위해서는 공인된 인증서를 사용해야 됩니다. verisign이 대표적이죠. 연간 비용이 많이 들어갑니다. 일반적으로 매년 20만원 정도 되는 것으로 알고 있습니다. 그래서 부담이 됩니다만 국내 법률상 로그인을 하게 되면 https를 통해서 패킷을 암호화하도록 하는 방향으로 가고 있습니다. 보안서버를 구축하라는 권고가 바로 그것이지요.

일단 요즘은 개인적으로 생계모드이기 때문에 공인 인증 구입 바로 전 단계인 사설인증(private certificate)을 사용하고 있습니다. 경제적인 숨통이 트이면 구입을 하고 싶습니다만 그 전까지는 아래와 같은 브라우저의 경고를 보여드릴 수 밖에 없을 것 같습니다.

사설인증도 네트워크를 통해서 전송되는 패킷이 암호화됩니다만 공인된 서버인증이 아니라는 경고가 계속 뜨기 때문에 개운치 않습니다. okjsp 도메인의 사설인증을 인정해주면 계속적인 경고는 피할 수 있습니다.

login을 클릭하면 주소가 https://www.okjsp.pe.kr 로 이동합니다. 443 포트를 사용하게 됩니다. 인증서 보기 버튼을 클릭합니다.

하단에 인증서 설치 버튼을 클릭합니다.

마법사가 뜹니다. 쭈욱 진행하면 됩니다.





이 과정을 통과해야 다음과 같은 로그인 페이지에 도달할 수 있습니다.

빈곤한 자들을 위한 보안서버 사설인증 사용방법이었습니다.

관련글: http://okjsp.tistory.com/tag/kisa http://okjsp.tistory.com/tag/ssl
every 3rd months

[root@169s /root]# rm -rf .keystore
[root@169s /root]# $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA
Enter keystore password:
Re-enter new password:
What is your first and last name?
  [Unknown]:  www.okjsp.pe.kr
What is the name of your organizational unit?
  [Unknown]:  okjsp
What is the name of your organization?
  [Unknown]:  okjsp
What is the name of your City or Locality?
  [Unknown]:  seoul
What is the name of your State or Province?
  [Unknown]:  seoul
What is the two-letter country code for this unit?
  [Unknown]:  KR
Is CN=www.okjsp.pe.kr, OU=okjsp, O=okjsp, L=seoul, ST=seoul, C=KR correct?
  [no]:  y

Enter key password for <tomcat>
        (RETURN if same as keystore password):
Re-enter new password:


related: http://okjsp.tistory.com/1165643564

okjsp 사이트의 보안을 강화하기 위해서 작업을 시작했습니다. http://www.okjsp.pe.kr 외 에 https://www.okjsp.pe.kr 접속을 위한 것이죠. 현재 아직 인증서오류가 발생하고 있습니다. 아직 돈을 내지 않았기 때문이죠. ^^; 인증서 에이전시에 등록할 때 10만원 내외의 비용이 필요합니다.

인증서를 신청하기 전에 서버 작업이 필요합니다. 그에 대한 설명입니다.

jdk에는 인증서를 위한 도구가 포함되어 있습니다. keytool 이라는 프로그램입니다. bin 디렉토리 아래 javac와 같이 있죠.

[root@169s /root]$ rm -rf .keystore
[root@169s /root]$ $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA
keystore 암호를 입력하십시오: changeit
새 암호를 다시 입력하십시오: changeit
이름과 성을 입력하십시오.
  [Unknown]:  www.okjsp.pe.kr
조직 단위 이름을 입력하십시오.
  [Unknown]:  okjsp
조직 이름을 입력하십시오.
  [Unknown]:  okjsp
구/군/시 이름을 입력하십시오?
  [Unknown]:  Seoul
시/도 이름을 입력하십시오.
  [Unknown]:  Seoul
이 조직의 두 자리 국가 코드를 입력하십시오.
  [Unknown]:  KR
CN=www.okjsp.pe.kr, OU=okjsp, O=okjsp, L=Seoul, ST=Seoul, C=KR이(가) 맞습니까?
  [아니오]:  y

<tomcat>에 대한 키 암호를 입력하십시오.
        (keystore 암호와 같은 경우 Enter를 누르십시오):
[root@169s /root]$


위와 같은 절차를 거치면 root계정의 홈 디렉토리에 .keystore 파일이 생깁니다.

이 파일에서 인증서를 요청하기 위한 Certificate Signing Request (CSR) 파일을 생성합니다.

[root@169s /root]$ $JAVA_HOME/bin/keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr
keystore 암호를 입력하십시오:
[root@169s /root]$ ls cer*
certreq.csr
[root@169s /root]$ cat certreq.csr
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBpzCCARACAQAwZzELMAk.........1IxDjAMBgNVBAgTBVNlb3VsMQ4wDAYDVQQHEwVTZW91
...
-----END NEW CERTIFICATE REQUEST-----


개인정보라 함은 이름, 주민번호, 휴대폰, 이메일 등을 조합해서 해당 사람에 대한 식별이 가능한 정보라고 합니다. SSL을 설치하는 이유는 로그인할 때 비밀번호가 암호화되어서 중간에서 packet sniffer 도구 등으로 탐지되지 않도록 하기 위함입니다.

개인사이트다, 뭐다 말이 많지만 주민번호 받지않는 회원가입이 있고 로그인이 있기 때문에 보안설정은 하는 게 좋을 듯 합니다. 그냥 익명의 사이트로 간다면 글에 대한 신뢰성이 바닥으로 떨어지기 때문입니다.

정보보호진흥원kisa에서 소개해준 업체들 좀 돌아다녀 봐야겠습니다. 싼 거 찾으러 말이죠. ^^;

관련정보: http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

+ Recent posts