SSL 인증서 체인 문제 해결: 기업 통합 플랫폼 사례 연구

프로그래밍/소프트웨어 개발

개발 툴

대상자

- 개발자 및 DevOps 엔지니어: SSL 인증서 관련 오류 해결에 필요한 기술적 지식을 필요로 함

- 중간 수준: 인증서 체인 이해 및 OpenSSL 사용 능력이 기본 조건

핵심 요약

• PKIX 인증서 경로 생성 실패는 인증서 체인의 완전성이 부족한 경우 발생
• 중간 인증 기관(CA) 인증서가 누락되었을 경우, SSL 인증서 검증 실패가 발생
• OpenSSL 명령어를 사용하여 서버가 제공하는 인증서 체인을 확인하고, 누락된 인증서를 PEM 형식으로 다운로드 및 임포트해야 함

섹션별 세부 요약

1. 문제 상황 및 원인 분석

• 인증서 체인 검증 오류(PKIX path building failed) 발생
• 오류 메시지에서 인증서 체인이 완전하지 않음을 확인
• SSL.com EV Root Certification Authority RSA R2는 존재하지만, 중간 인증서 두 개가 누락됨

2. 인증서 체인 확인 방법

• OpenSSL 명령어를 사용하여 서버에서 제공하는 인증서 체인 확인
• 명령어: openssl s_client -showcerts -connect api.partner-services.com:443
• 결과: 4단계 인증서 체인이 확인됨 (종료 인증서, 중간 CA 2개, 루트 CA 1개)

3. 누락된 인증서 다운로드 및 임포트

• SSL.com 인증서 저장소에서 필요한 인증서 다운로드
• SSLcom-TLS-Root-2022-RSA.pem
• Entrust-OV-TLS-Issuing-RSA-CA-1.pem
• PEM 형식으로 인증서를 임포트하고, CA 인증서 타입으로 설정
• 인증서를 신뢰 목록에 추가

4. 인증서 체인의 역할과 중요성

• 보안 이점: 루트 인증서는 안전하게 보관되고, 중간 인증서는 보안 위험을 최소화
• 운영 이점: 중간 인증서는 필요 시 쉽게 교체 가능, 확장성 및 유연성 제공
• 신뢰 모델: 브라우저는 약 150개의 루트 인증서만 신뢰하며, 중간 인증서를 통해 신뢰를 위임

5. 책임 분담 모델

• 서비스 제공자: 완전한 인증서 체인 제공
• 통합 팀: 누락된 중간 인증서 임포트
• IT 인프라 팀: 조직 전체의 인증서 신뢰 저장소 관리

결론

• OpenSSL을 사용하여 인증서 체인을 확인하고, 누락된 인증서를 PEM 형식으로 임포트해야 함
• 중간 인증서를 추가하지 않으면 인증서 체인 검증이 실패함
• 정기적인 인증서 검증 및 보안 감사를 통해 인증서 관련 오류를 예방해야 함