공인 SSL 인증서
root@zabbixserver:~# openssl s_client -connect www.hometax.go.kr:443
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Extended Validation Secure Server CA
verify return:1
depth=0 serialNumber = 102-83-01521, jurisdictionC = KR, businessCategory = Government Entity, C = KR, ST = Sejong, O = National Tax Service, CN = www.hometax.go.kr
verify return:1
Certificate chain
0 s:serialNumber = 102-83-01521, jurisdictionC = KR, businessCategory = Government Entity, C = KR, ST = Sejong, O = National Tax Service, CN = www.hometax.go.kr
i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Extended Validation Secure Server CA
1 s:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Extended Validation Secure Server CA
i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
2 s:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
i:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
3 s:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
i:C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
Server certificate
subject=serialNumber = 102-83-01521, jurisdictionC = KR, businessCategory = Gove
issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = S
No client certificate CA names sent
SSL handshake has read 9090 bytes and written 657 bytes
Verification: OK
New, SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Protocol : TLSv1.2
Cipher : AES256-SHA
Session-ID: 84514E2F63F905D2832A19424E2CFAB917059384B7A2358055DE86A14DB4A8A8
Master-Key: E1590025C50CC67C25D2EA405538D077E09B29451D0E82FF2CC63FA3BE059A89
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1690776154
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
공용 SSL 인증서는, Outbound 가 공개 오픈된(제한없는) 환경에서의 작동을 기본 전제 조건으로 하고 있습니다. 고객사측에서 임의 차단(제한) 을 설정한 환경에서는 원활한 작동이 되지 않을수 있습니다.
Outbound 로 인터넷 연결이 완전히 차단된 환경에서, 내부망에 공인인증서를 적용할 경우에는 웹브라우져에서 SSL 인증서 확인 오류가 발생하게 됩니다. 이유는, 웹브라우져 기본값으로는 접속하는 SSL 사이트의 인증서에 대해서 유효성 검사를 필수로 하게 되어 있기 때문 입니다.
◾ 일반적인 확인 절차 : https:// URL ➜ 웹브라우저 ➜ 웹서버접속 ➜ 서버인증서 ➜ 인증기관CA 접속 ➜ 인증서 유효조회 ➜ 유효시 대상 웹페이지 정상접속
◾ 네트워크 접근 : 웹브라우저 ➜ 해외접속(CA URL)
유효성 확인은, 웹브라우져(또는 클라이언트)가 인증서 발급자인 CA 에게 확인 요청을 해야 하므로, 해외에 존재하는 CA 에 접속할려면 해외 인터넷 접속이 필수 조건입니다. 폐쇄망이더라도 국제 공인 SSL 인증서 적용을 한다면 인증서 발급자에 대한 최소한의 인터넷 접속 허용은 필요합니다.
[발급자 정보 확인]
각 웹브라우져에서 https:// 주소로 웹사이트 접속후, 주소창에서 자물쇠 등의 보안 속성 보기 - 인증서 상세 보기를 하면, 다음 아래와 같은 URL 항목이 포함되어 있으며, 해당 URL 주소에 대해서 URL의 도메인 또는 조회된 IP 허용해주면 됩니다.
허용포트 : HTTP/HTTPS ( TCP80,443 )
sectigo.com. 3405 IN A
crt.sectigo.com. 3599 IN CNAME crt.comodoca.com.cdn.cloudflare.net.
crt.comodoca.com.cdn.cloudflare.net. 300 IN A
crt.comodoca.com.cdn.cloudflare.net. 300 IN A
ocsp.sectigo.com. 3600 IN CNAME ocsp.comodoca.com.cdn.cloudflare.net.
ocsp.comodoca.com.cdn.cloudflare.net. 300 IN A
ocsp.comodoca.com.cdn.cloudflare.net. 300 IN A
crl.sectigo.com. 3516 IN CNAME crl.comodoca.com.cdn.cloudflare.net.
crl.comodoca.com.cdn.cloudflare.net. 300 IN A
crl.comodoca.com.cdn.cloudflare.net. 300 IN A