외부메모리 -_-

서버는 클라이언트에게 인증서를 전달해주며, 클라이언트는 서버로부터 전달받은 인증서를 루트인증서저장소(cacerts)에 있는 루트인증서로 신뢰성 검증을 하게 됩니다. 이 때, 클라이언트의 루트인증서저장소(cacerts)에 서버로부터 전달받은 인증서를 검증할 루트인증서가 없다면 신뢰성 검증을 할 수 없어서 통신이 불가능합니다. 

일반 인터넷망 환경에서는 이미 클라이언트 환경에 새로운 Root 인증서가 업데이트 되어, 별도의 작업이 불필요하지만,

폐쇄망 환경의 클라이언트나, JAVA를 이용한 API통신, Server-to-Server 통신 등을 하는 경우,

클라이언트 사이드에 새로운 Root 인증서 설치가 필요할 수 있습니다.

설치방법

클라이언트의 루트인증서저장소(cacerts)에 서버의 인증서를 발급한 인증기관의 루트인증서를 등록해야 합니다. 해당 루트인증서를 다운받거나 전달받은 후 아래의 명령어로 등록할 수 있습니다.

keytool -importcert -alias 등록할 별칭 -keystore JAVA_HOME/PATH/cacerts -file 루트인증서

​

예) keytool -importcert -alias Digicertroot -keystore cacerts -file DigiCert-Root-sha1.pem.cer

​

그리고 아래와 같이 등록된 내용을 확인할 수 있습니다.

​

keytool -list -keystore JAVA_HOME/PATH/cacerts

1. PFX로 변환하기 (Windows IIS용)

# 1) CER/PrivateKey에서 PFX (CER to PFX)

openssl pkcs12 -export -in 인증서.cer -inkey 개인키.key -out 저장인증서.pfx -certfile CA인증서.cer

# 2) PEM/PrivateKey에서 PFX (PEM to PFX)

# let's encrypt certbot certonly로 발급받은 경우, 개인키도 privkey.pem파일로 되어있어 inkey에 pem파일로 넣음 (-inkey 개인키.pem)

openssl pkcs12 -export -in 인증서.pem -inkey 개인키.key -out 저장인증서.pfx

# 3) P7B에서 일단 PEM으로 변환후 2)적용 (P7B to PEM to PFX)

openssl pkcs7 -inform PEM -in 인증서.p7b -print_certs -text -out 저장인증서.pem

2. PEM으로 변환하기 (리눅스용)

# PFX에서 PEM으로 변환 (PFX to PEM)

openssl pkcs12 -in 인증서.pfx -nokeys -out 저장인증서.pem -nodes # 인증서

openssl pkcs12 -in 인증서.pfx -nocerts -out 저장키.key -nodes # 개인키

openssl pkcs12 -in 인증서.pfx -cacerts -nokeys --chine -out ca인증서.cer #CA인증서

# DER/CER에서 PEM (DER to PEM, CER to PEM)

openssl x509 -inform DER -in 인증서.der -out 저장인증서.pem

openssl x509 -in 인증서.cer -outform PEM -out 저장인증서.pem

# P7B에서 PEM으로 변환 (P7B to PEM)

openssl pkcs7 -inform PEM -in 인증서.p7b -print_certs -text -out 저장인증서.pem

3. 기타 변환

# PEM에서 DER 변환 (PEM to DER)

openssl x509 -outform DER -in 인증서.pem -out 저장인증서.der #인증서

openssl ras -in 개인키.pem -pubout -outform DER -out 저장개인키.der #개인키

# PEM에서 P7B 변환 (PEM to P7B)

openssl cr2pkcs7 -nocrl -certifile 인증서.pem -out 저장인증서.p7b -certfile CA인증서.cer

# PEM에서 P12 변환 (PEM to P12)

# PFX에서 각각 공개키, 개인키, CA인증서 추출한 것을 한 파일로 저장

openssl pkcs12 -export -in 인증서.pem -inkey 저장키.key -certfile CA인증서.cer -out 인증서.p12

4. 번들파일 합치기

cat ChainCA1.crt ChainCA2.crt RootCA.crt > Chain_RootCA_Bundel.crt

사실 가장 간단한 방법은 팀뷰어 홈페이지에서 리눅스 버전을 다운로드 받아 rpm설치하는것이다.

하지만 의존성문제로 실패하는 경우가 많아서 정리해 둔다.

1. GPG키 시스템을 가져옴

sudo rpm --import https://dl.tvcdn.de/download/linux/signature/TeamViewer2017.asc

2. epel저장소 활성화sudo yum install epel-release

3. rpm 다운로드

wget https://download.teamviewer.com/download/linux/teamviewer.x86_64.rpm

4. 설치

sudo yum localinstall ./teamviewer.x86_64.rpm

하고 gui의 인터넷에 팀뷰어를 실행하면 실행이 되야 정상이지만 난 실행이 되지 않았다.

여기저기 검색해본 결과 팀뷰어 커뮤니티에서 정보를 찾을수 있었다.

sudo yum update freetype-devel

만약 설치조차 안되어있을 경우는 설치로 진행하자.

sudo yum install freetype-devel

추가로 부팅시 자동실행옵션을 켜놔도 해당계정으로 로그인하지 않으면 접속이 불가능한거 같다.

(팀뷰어는 보안상 root계정으로 실행이 불가능)

gui의 설정->상세->사용자에서 로그인할 사용자를 선택.

root패스워드를 입력해서 잠금해제한 후 자동로그인을 체크

apache홈/conf/extra/httpd-ssl.conf

<VirtualHost *:443></VirtualHost>사이에 추가

JKMount /* worker1

apache홈/conf/workers.properties 설정

1. 인증서 설치

   apache홈/conf/extra/httpd-ssl.conf

   1) Listen 포트 설정

   - Listen 443

  2) 인증서 개인키 비밀번호

  - 수동입력시(서버재시작시 마다 입력창 나옴) SSLPassPhraseDialog builtin

  - 자동입력 Window

    SSLPassPhraseDialog "exec:c:/ssl/apache/ssl_pass.bat"

    ssl_pass.bat내용 @echo password

    (window경우 builtin으로 되어있을경우 오류발생. 반드시 설정필요)

  - 자동입력 Linux

    SSLPassPhraseDialog "exec:/ssl/aoache/ssl_pass.sh"

    ssl_pass.sh내용 exho "password"

    (ssl_pass.sh파일 권한 700필요)

 3) Virtual Host설정

    <VirtualHost *:443>

     DocumentRoot 문서파일위치

     ServerName 서버도메인

     ServerAdmin 서버관리자정보

     ErrorLog 에러로그경로/ssl_error_log

     TransferLog 에러로그경로/ssl_access_log

     SSLEngine On

     SSLCertificateFile "경로/인증서파일_cert.pem"

     SSLCertificateKeyFile "경로/개인키파일_key.pem"

     SSLCertifucateChainFile "경로/Chain_RootCA_Bundle.crt"

   </VirtualHost>