SSL Key 생성 후 AWS ELB에 적용하기

*SSL key 생성

openssl을 통해 CA키 생성(자가키)
http://ohgyun.com/429 을 참고
1. 먼저 인증 기관(CA)의 개인키를 생성한다.
    $ openssl genrsa -des3 -out server.key 1024

2. 서버 인증서 발급을 위한 요청 파일인 CSR을 생성한다
    $ openssl req -new -days 365 -key server.key -out server.csr
 *csr(certificate singing request ) - CA에 보내 정식인증을 신청할 수 있다. 정식인증하지 않은 경우 사설인증으로 처리되며 사설인증을 한 경우는 브라우저에서 첫 인증기관 검증은 하지 않고 두번째인 서버 public key 값을 전송 받는 것으로 확인 된다.

입력값(Common Name은 접속 시 브라우저에서 도메인을 확인 하는 내용임.)
Country Name (2 letter code) [GB]:kr
State or Province Name (full name) [Berkshire]:Seoul
Locality Name (eg, city) [Newbury]:Seoul
Organization Name (eg, company) [My Company Ltd]:Test Copr
Organizational Unit Name (eg, section) []:supper
Common Name (eg, your name or your server's hostname) []:mail.test.com
Email Address []:admin@test.com
다음 내용은 옵션”으로 꼭 입력 할 필요는 없다.

3. 자가 서명 인증서를 생성한다.
    $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

4. 개인키의 암호를 제거한다.(필요할 경우)
[아파치 서버나 노드 서버의 경우 웹서버가 실행될 때마다 인증서의 개인키를 물어본다 하고
키를 제거하는 편이 편리하다 함]
$ openssl rsa -in server.key -out server.key

*ELB 등록 

“aws elb ssl setup” 로 검색
http://www.nczonline.net/blog/2012/08/15/setting-up-ssl-on-an-amazon-elastic-load-balancer/ 참고
openssl rsa -in server.key -text 를 통해 private 정보 추출
해당내역 붙여넣기
[ -----BEGIN RSA PRIVATE KEY-----
(tons of text)
-----END RSA PRIVATE KEY-----  ]

openssl x509 -inform PEM -in server.crt 을 통해 public 정보추출
해당내용 붙여넣기
[ -----BEGIN CERTIFICATE-----
(tons of text)

-----END CERTIFICATE----- ]

④는 CA에 등록한 내용을 입력하는 부분이다.(인증한 경우 사용)

①은 서버 key 이름을 입력하는 부분이다.


댓글

댓글 쓰기

이 블로그의 인기 게시물

AWS를 이용한 Serverless 환경 구축 2 - Lambda로 DynamoDB 쓰고 읽기

이미지
지난 번에 Lamda로 hello_world만 찍기만 하여 demo의 성격 이었다면 이번은 실제로 DynamoDB에 쓰고 읽기를 해보자. 순서는 아래와 같다. DynamoDB table 생성 후 IAM 권한 추가(Access DynamoDB) Lambda 함수의 쓰기, 읽기를 만들 것이다. DynamoDB table 생성 1. "Create table"을 선택한다.   2. "Table name", "Primary key"에 값을 입력한 후 "Create"를 클릭한다.(예 Table name: Page, Primary key: id) 3. DynamoDB table이 간단하게 생성 되었다. IAM DynamoDB 접근권한 추가 기존 Role에는 DynamoDB 접근권한이 없으므로 권한을 추가해야 한다. 1. 기존에 사용하던 " lambda_basic_execution" Role에 Jason을 추가 해 주면 된다.("Statement"[]안에 추가) { "Sid": "Stmt1428341300017", "Action": [ "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:UpdateItem" ], "Effect": "Allow", "Resource": "*" } Lambda 쓰기 함수 만들기 이번에는 L...
자세한 내용 보기

Gitlab CI 설정

이미지
-build 수행 프로젝트 페이지로 이동하여 설정부분(Setting)의 build가 활성화 되지 않았으면 활성화 시킨다. repository 최상단에 .gitlab-ci.yml을 작성하여 올린다.(  http://doc.gitlab.com/ee/ci/yaml/README.html ) README 파일과 같은 위치 .gitlab-ci.yml 작성법은  https://gitlab.com/help/ci/yaml/README.md#script  참고한다. add, commit 후 push하면 자동으로 build가 진행된다. -Runner 설치 build를 진행 하려면 Runner를 설치해야한다. ( https://gitlab.com/gitlab-org/gitlab-ci-multi-runner/blob/master/docs/install/linux-repository.md ) 참고하면 된다. Runner 설치 시  URL과 token은 해당 프로젝트의 Runner 화면을 확인한다.(아래 빨간 선 부분) 위 화면까지 했으면 Specific Runner를 생성하였을 것이다. Shared Runner를 생성하려면  https://gitlab.com/help/ci/runners/README.md  을 참고한다. (해당 내용을 보면 Shared와 Specific Runner의 차이를 알 수 있다. 원하는 것을 선택하여 사용하면 된다.) Runner가 설치 되었으면 Build에서 pending 상태의 작업들이 성공 되어 있는 것을 알 수 있다. 구미에 맞게 .gitlab-ci.yml을 작성하여 CI를 진행하면 된다.
자세한 내용 보기

AWS Ceritificate Manger 이용방법

이미지
간편하게 SSL 서비스를 이용할 수 있는 방법으로 AWS Ceritficate Managemer(이하 ACM) 서비스가 출시 되었다. Virginia 지역에서만 가능하던 것이 이제 전 지역에서 사용가능하다. 기존 SSL 을 이용하는 것과 비교하여 매우 쉬워졌다. https://aws.amazon.com/ko/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/ ACM은 기존 SSL인증 업체에 해당 키 값을 받아 Amazon 서비스에 등록하고 매년 갱신 하는 불편함을 제거 해 주는 서비스이다. 기존 SSL 인증업체 같은 경우 보안사고가 발생하였을때, 보험금을 통해 해당 사고를 보상 해주지만 ACM은 무료이니 보상이라는 개념은 없어 보인다. 적용하고 보니 최상위 인증기관Certificate Authorities(CA)은 Starfiled Service이다. https://en.wikipedia.org/wiki/Starfield_Technologies 소유주가 GoDaddy이다. CA업체에 관한 정보는 이러하다. https://en.wikipedia.org/wiki/Certificate_authority 결론적으로 판단은 본인이 하겠지만 믿고 써도 된다고 본다. 본격적으로추가하는 방법은 매우 간단하다. 1. ACM 페이지를 방문하여 시작한다.(Get started) - ELB에 추가하려면 해당 지역에서 추가 해야 하는 것으로 알고 있다. 2. Domain입력 지점에 필요한 domain명을 입력하고(www.example.com) Review and request를 누르면 거의 완료다. 여러개 추가 하려고 하면 "Add another name to this certificate" 나 *(wildcard)를 이용한다. 3. confirm하면 생성은 끝났다.. 4. validation을 위해 e-mail 인증을 한다. 해당 e-mail을 찾아...
자세한 내용 보기