IIS(Microsoft Internet Information Server) 5.0 CSR(Certificate Signing Request) 생성

http://legend.anycert.co.kr/support/csr_11.html

IIS(Microsoft Internet Information Server) 5.0
     CSR(Certificate Signing Request) 생성

IIS 웹서버에서는 MMC 콘솔에서 웹서버의 인증서를 관리합니다. 그리고 IIS 인터넷 서비스 관리자에서 웹서버에 설치된 인증서를 할당하게 됩니다. 그래서 IIS 웹서버에서는 IIS 인터넷 서비스 관리자에서 "새 인증서를 만듭니다"를 통해서 서버 암호화 키(개인키)를 생성하며, 생성된 암호화 키(개인키)를 토대로 CSR(Certificate Signing Request)을 자동 생성합니다. 생성된 CSR 파일을 애니서트로 보내주시면, 루트기관에서 발행하는 정식인증서 발급 절차를 밟게 됩니다. 그 후에 정식 인증서가 발급되고, IIS 웹서버에 발급된 정식 인증서 설치하는 것으로 IIS 웹서버 SSL 설정은 마치게 됩니다.

※ CSR(Certificate Signing Request) 생성 순서 1. 새 인증서 만들기(IIS 서버 암호화 키(개인키) 생성과 CSR 파일 생성) 2. 애니서트에 CSR 접수 3. 암호화 키(개인키) 백업하기 4. 네트웍 확인 사항 - SSL 적용에 따른 방화벽, L4 switch 설정 확인 5. 애니서트 CSR 파일 답신 확인

1. 새 인증서 만들기(IIS 서버 암호화 키(개인키) 생성과 CSR 파일 생성) IIS 서버에서는 인증서 관리를 인터넷 서비스 관리자에서 생성 관리하게 됩니다. 다음의 순서를 밟아 주시기 바랍니다. ① 인터넷 서비스 관리자 열기 [시작] -> [프로그램] -> [관리도구] -> [인터넷 서비스 관리자]를 선택합니다. ② 인증서 설치할 웹사이트 등록정보 열기 [인증서를 설치할 웹사이트] 에서 [등록정보]를 엽니다. ( 여러 개의 웹사이트가 있을 경우에는 반드시 인증서 설치할 웹사이트에서 생성되어야 하므로 유의 바랍니다. ) ③ 인증서 설치할 웹사이트 등록정보에서 [디렉터리 보안] 열기 인증서를 설치할 웹사이트의 [등록정보]에서 [디렉터리 보안] 을 선택합니다. ④ 디렉터리 보안에서 [서버 인증서] 열기 [디렉터리 보안]에서 [서버 인증서] 버튼을 선택합니다. ⑤ 웹서버 인증서 마법사 시작 웹서버 인증서 마법사를 시작하게 됩니다. [다음]을 선택합니다. ⑥ 새 인증서를 만듭니다. IIS 인증서 마법사에서 [새 인증서를 만듭니다.]를 선택합니다. (처음 인증서 설치하시는 경우에는 새 인증서 만드는 과정을 밟게 됩니다.) ⑦ 인증서 요청 준비하기 다음으로, IIS 인증서 마법사에서 [요청을 지금 준비하지만 나중에 보냅니다]를 선택합니다. (인증서를 요청하는 CSR(Certificate Signing Request) 파일을 생성하는 옵션이 됩니다.) ⑧ 암호화 키(개인키) 1024 bit 설정하기 다음으로, IIS 인증서 마법사에서 새 인증서 이름을 적당히 지어줍니다. (구분할 수 있도록 이름을 적당히 지어 줍니다. 이 이름은 한글로 정해도 상관 없습니다) 그리고, 암호화 키(개인키)의 비트 길이를 1024 비트로 정합니다. (애니서트에서는 128bit 암호화 처리를 위해서 1024 비트 암호화 키(개인키) 생성을 권장합니다.) ⑨ 영문 회사명과 영문 부서명 설정 다음으로, IIS 인증서 마법사에서 조직(영문 회사명)과 조직 구성 단위(영문 부서명)를 입력합니다. (조직명(O,영문회사명)에는 < > ~ ! @ # $ % ^ * / \ ( ) ? 등의 특수 문자를 넣을 수 없습니다.) 사업자 등록증에 기재된 회사명과 일치하는 영문회사명을 넣어 주시기 바랍니다. (예: 사업자 등록증에 '닷네임 코리아'이면 dotname korea 으로 넣어주셔야 합니다. dotname만 넣으시면 않됩니다.) 또한, 인증서를 설치할 사이트명(C,인증 받을 도메인 주소)에 해당하는 도메인의 등록정보를 반드시 참조하셔서 해당 등록정보에 기재된 회사명을 참고 하실 수 있겠습니다. 영문회사명은 소유하고 계신 도메인이 com/net/org인 경우에는 Network Solutions에서, kr인 경우에는 KRNIC에서 확인할 수 있습니다. <입력예> 조직 (O,영문회사명) : Dotname Korea 조직 구성 단위 (U,부서명) : Digital Certificate Team ⑩ 인증받을 도메인 주소 설정 다음으로, IIS 인증서 마법사에서 일반 이름(인증받을 도메인 주소)를 입력합니다. <입력예> 일반 이름(C,인증 받을 도메인 주소) : secure.anycert.com ⑪ 지역 정보 설정 다음으로, IIS 인증서 마법사에서 지역 정보(국가 코드, 영문 시/도, 영문 구/군)를 입력합니다. <입력예> 국가/지역 (C,국가코드) : KR 시/도 (S) : Seoul 구/군 (L) : Songpa ⑫ CSR(Certificate Signing Request) 인증서 요청 파일 생성 다음으로, IIS 인증서 마법사에서 인증서 요청(CSR) 파일을 생성합니다. (아래 예에서는 c:\certreq2004.txt 에 인증서 요청(CSR) 파일이 생성됩니다.) ⑬ 인증서 요청 정보 확인 다음으로, IIS 인증서 마법사에서 인증서 요청 정보를 확인합니다. (지금까지 입력한 정보가 맞는지 확인합니다.) ⑭ 웹 서버 인증서 마법사 완료 지정한 경로로(c:\certreq2004.txt) CSR 파일이 생성되며, 웹 서버 인증서 마법사 완료합니다. ⑮ 생성된 CSR 파일 확인 CSR 파일은 첫줄-----BEGIN NEW CERTIFICATE REQUEST-----과 끝줄-----END NEW CERTIFICATE REQUEST-----로 된 것을 확인합니다.

2. 애니서트에 CSR 접수 이제 생성된 CSR(Certificate Signing Request) 인증서 요청 파일을 애니서트로 접수합니다. CSR 파일의 첫줄(-----BEGIN NEW CERTIFICATE REQUEST-----)과 끝줄(-----END NEW CERTIFICATE REQUEST-----)이 포함되도록 복사해서 애니서트 메일로 보내 주시기 바랍니다.

3. 암호화 키(개인키) 백업하기 혹시라도 모를 재해를 대비해서 시스템에 설치된 암호화 키(개인키)를 백업합니다. (시스템에 설치된 암호화 키(개인키)는 MMC 콘솔창으로 관리됩니다.) ① MMC 콘솔 창 열기 [시작] -> [실행]을 선택합니다. [실행] 창에서 mmc을 입력하고 실행합니다. 기본 mmc 콘솔 창 보실 수 있습니다. 기본 mmc 콘솔 창에서 [콘솔] -> [스냅인 추가/제거]를 선택합니다. [스냅인 추가/제거] 창에서 [추가]를 선택합니다. [스냅인 추가] 창에서 [인증서]를 추가합니다. [인증서 스냅인] 창에서 [컴퓨터 계정]을 선택합니다. 다음 옵션으로는 스냅인이 관리될 대상을 [로컬 컴퓨터]를 선택합니다. 인증서 스냅인 추가 완료되었습니다. [닫기]를 선택합니다. [스냅인 추가/제거] 창에서 [인증서(로컬 컴퓨터)] 항목이 추가된 것을 확인합니다. mmc 콘솔 창에서 [인증서(로컬 컴퓨터)] 항목이 추가되었습니다. ② 로컬컴퓨터에 설치된 암호화 키(개인키) 백업 IIS 서버에서는 암호화 키(개인키)도 하나의 인증서로 관리됩니다. 암호화 키(개인키)를 백업받습니다. [인증서(로컬 컴퓨터)]에서 [인증서 등록 요청] -> [인증서] 항목에 1. 새 인증서 만들기에서 생성한 암호화 키(개인키)를 볼 수 있습니다. 암호화 키(개인키)를 선택하고, 마우스 오른쪽 버튼으로 빠른 메뉴를 엽니다. 빠른 메뉴에서 [모든 작업] -> [내보내기]를 선택합니다. 그러면 [인증서 내보내기 마법사] 창이 나타나며, 암호화 키(개인키)를 내보내는 백업 작업을 합니다. 암호화 키(개인키) 백업 옵션 [예, 개인키를 내보냅니다.]를 선택합니다. 파일 내보내기 형식으로 [개인 정보 교환-PKCS #12(.PFX)]를 선택합니다. 암호화 키(개인키)의 암호를 설정합니다. (암호화 키(개인키)의 암호는 반드시 기억하고 있어야 합니다. 암호화 키(개인키)의 암호를 분실하게 되면 백업하신 암호화 키(개인키)를 사용할 수 없게 됩니다.) 내보낼 암호화 키(개인키)의 파일이름을 입력합니다. 암호화 키(개인키) 내보내기를 완료합니다. 암호화 키(개인키) 내보내기를 결과를 확인합니다. 내보낼 암호화 키(개인키)의 파일이 생성되었습니다. 보안된 PC의 저장장치 등 안전한 곳에 보관합니다. ③ MMC 인증서 스냅인을 저장합니다. IIS 서버에 설치되는 인증서는 MMC 인증서 스냅인을 통해 관리되므로, 인증서 스냅인을 저장해 놓습니다. (인증서가 백업되지는 않습니다. MMC 인증서 스냅인 추가된을 저장하는 것입니다.) mmc 콘솔 주메뉴에서 [다른 이름으로 저장]을 선택합니다. 적당한 경로와 적당한 이름으로 저장해 놓습니다. mmc 인증서 스냅인을 저장 완료되었습니다. 나중에 인증서를 관리할 때에 저장된 mmc 인증서 스냅인을 불러서 사용할 수 있습니다.

4. 네트웍 확인 사항 - SSL 적용에 따른 방화벽, L4 switch 설정 확인 고객님 웹서버에 SSL 을 적용하게 되면, http:// (기본 80 포트)통신과 https:// (기본 443 포트) 통신를 사용하게 됩니다. 그러므로, 웹서버에 설정된 방화벽이나 L4 switch의 설정을 기존 80 포트 설정과 같이 443 포트도 추가 설정해 주셔야 합니다. 정식 인증서를 발행하기까지 웹서버의 네트웍 환경설정에 443 포트를 열어주시는 계획을 세워주기 바랍니다.