HAProxy SSL 인증서 설치/설정/적용 가이드

HAProxy SSL 인증서 설치/적용 가이드

본 설치/적용 가이드는, HAProxy 개발사 공식 매뉴얼에서 SSL 적용 관련 부분만 발췌/참고를 기반으로 하였습니다. 해당 부분에서 발급 받은 인증서 파일 부분만 추가 표기한 설명 내용이며, 저희 SecureSign 또는 CA 만의 고유한 적용 방법이 아니므로 착오 없으시기 바랍니다.

그러므로, 고객사별 다양한 서버 구성 환경에서 적용 성공 및 가이드 내용에 대해 일체 보장(보증) 및 관여하지 않습니다. 특정 환경에서의 적용 및 이로 인한 서버 오류 발생시, 해당 웹서버 공급사 기술지원 / 인터넷 공개자료 / 관련 커뮤니티를 통해서 지원 받으시기 바랍니다.

사전 구성 환경

TLS / SHA-2(sha256) 암호화 지원 모듈 구성/활성 확인 필수
MD5, RC4 등 국제 보안 기구에서 해제를 권장하는 취약한 암호화 모듈 비활성화
SSL 2.0, 3.0 및 TLS 1.0 1.1 프로토콜 접속 허용 해제. 최신 TLS 1.2 1.3 설정 권장

진행 과정

CSR(Certificate Signing Request) 생성
인증서 발급 신청 제출
인증서 발급 완료 (발급내역서/파일설명서 PDF 참조)
인증서 설치 적용 - 신규,갱신,재발급,도메인추가
정상 적용 완료 테스트

CSR 생성

- SSL 인증서 발급 신청서 작성시, CSR 입력 단계에서 온라인 "CSR 자동생성" 이용을 권장합니다. (현재 과정 필요 없음)
- CSR 자동생성 발급 완료시, "개인키, 서버인증서, 체인인증서, 루트인증서" PEM 파일이 모두 포함되어 있습니다.
- 추가 포함된 "pfx / jks" 패키지에는, "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.

인증서 발급 신청

인증서 발급 완료

- 발급 완료 후에는, 메일첨부 또는 주문상세의 압축파일(zip)에 인증서 파일이 포함되어 있습니다.
- 서버 적용에 필요한 파일들에 대해서, 발급 내역서 PDF 및 루트/체인 설명 PDF를 통해서 미리 숙지해야 합니다.
- 이후 과정 부터는, 서버에 SSL 인증서 설치/적용/확인 절차 입니다. (인터넷에 공개된 설정법과 차이 없음)

인증서 파일 통합 예

cat domain_xxxxx.key.pem(개인키) domain_xxxxx.crt.pem(서버인증서) ca-chain-bundle.pem > unified.domain.pem

* 개인키, 서버인증서, 체인(모두)인증서, 루트 인증서의 pem 내용을 통합하여 1개 pem 파일로 만듭니다.
* 통합된 unified.domain.pem 파일을 Text 편집기로 열어서, PEM 내용간 구분되어 있는지 꼭 확인해야 합니다.
* 루트/체인 인증서는 상품별로 차이가 있으므로, 발급 완료시 첨부된 파일 내역에서 확인 가능합니다.

haproxy.cfg 적용

frontend httpFrontEnd
bind *:443 ssl crt /etc/haproxy/certs/unified.domain.pem
reqadd X-Forwarded-Proto:\ https

haproxy.cfg 파일 편집 저장후, 서비스 재시작 적용
- haproxy -f /etc/haproxy/haproxy.cfg -c
- sudo service haproxy restart
- sudo service haproxy status

설치 적용 확인 및 변환

* 서버에 SSL 설정 적용 후, 서버를 재시작하여 시작시 오류 또는 경고가 있는지 콘솔/데몬 로그를 필히 확인해야 합니다. (필수 확인 사항)
* SSL 발급 도메인 웹페이지에 https:// 링크 적용을 별도 진행해야 최종적으로 SSL 암호화가 적용됩니다. (개발자,웹디자이너)
* PC 및 스마트폰의 "Chrome / Firefox / IE / Edge" 각 웹브라우져에서 "루트,체인,SSL,TLS" 경고가 발생 하는지 확인해야 합니다.

SSL 설치 적용 확인 하기 체인인증서 적용 확인 방법 인증서 포맷 변환 방법 TrustLogo 적용 방법