SSL 인증서 체이닝 이슈 ( Nginx 체인인증서 만드는 방법 )

운영서버 SSL 인증서 교체 후 발생한 고객사 이슈.

특정 고객사 PC에서만 “이 사이트는 안전하지 않습니다” 오류 발생

고객사에서 IE초기화,신뢰사이트로 추가해도 동일한 증상이라고 이슈가 올라옴.

 

의심가는 부분

SSL 인증서 교체작업 중 체인이 걸려져 있지 않았다고 함.

따라서

1.     인증서 >인증경로 의 상위 인증서 확인해달라고 요청드림

2.     https://www.ssllabs.com/ssltest/ 사이트에서

도메인 검색해보면

 

사진과 같이 체인이 걸려져 있지 않음을 확인

기존 고객사는 문제가 없을텐데 신규 고객사일 확률이 높았던 케이스

 

<해결방법>

서버에 올린 인증서 합쳐서 체이닝을 해야했던 것.

인증서에 CA가 포함되어 있지 않아서 나던 이슈.

1번,2번서버에 인증서 체이닝 작업 후

고객사에 사이트 정상접속 되는지 확인 후, 이슈종료하였음

 

NGINX에는 체인 CA인증서를 제공할 수 있는 설정이 존재하지 않는다.

때문에 사이트 인증서와 체인 CA인증서를 하나로 합쳐서 제공해 주어야함

사이트 인증서와 체인 CA인증서를 합치는 방법은 아래와같다

 

cat ${사이트 인증서} ${체인 CA 인증서} > ${통합 인증서}

cat /www/nginx/conf/keys/xxxxx.com.crt /www/nginx/conf/keys/xxxxxxx_Chainbundle.crt > /www/keys/xxxxxxx.com.chained.crt

 

!!!주의사항

nginx는 개인키와 일치하는 공개키를 chain파일의 첫번째 인증서로 시도하기 때문에, 사이트의 인증서가 첫번째로 오도록 설정한다.