메뉴 건너뛰기

infra

[SSL] IIS 에 쉽게 적용하기

lispro062017.08.18 23:09조회 수 692댓글 1

  • 5
    • 글자 크기

sslstart 는 중국에 넘어가면서 공신력을 잃었다고 하여, let's encrypt를 신뢰하기로 하였다.


3개월 마다 갱신해야 하지만, 보안적으로 안전하고, 자동 적용 스크립트가 있으므로 IIS 에도 적용해 보았다.


naf.jpg바인딩 할 때, 호스트명과 Default web browser 기본 사용명을 변경한 이유로 그런지는 몰라도, 상기와 같은 에러가 나서 1시간 이상 찾아보았다.


재부팅이나 해보자 하여 시도했더니, 잘 된다.


https 적용 스크립트로 편리하게 적용 가능하니 let's enrypt를 사용해야겠다.


http://donghoon.me/5

https://github.com/Lone-Coder/letsencrypt-win-simple/releases


SSLv3는 최초에 REG에 등록되어 있지 않다.

sslv2reg.png


RC 해시 뿐만 아니라, SSLv3 를 비활성화 시키기 위한 REG를 등록하여 보안성을 강화할 수 있다.


rc_v3_disable.png


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0]


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Client]

"DisabledByDefault"=dword:00000001


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server]

"Enabled"=dword:00000000


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphers]


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 128/128]

"Enabled"=dword:00000000


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 40/128]

"Enabled"=dword:00000000


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 56/128]

"Enabled"=dword:00000000


ssllabs 에서 확인하면 RC4에 대해 적용 전후를 알 수 있다.


[적용 전]

rc1.jpg

[적용 후]

rc2.jpg


추가로 3des 와 DH도 비활성화 하면 A등급이 나온다.(요즘은 ISMS 심사 때 이런 것도 지적하고 다니는 듯 하여 적용해 봤다.)


[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers Triple DES 168]


; Diffie Hellman

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELKeyExchangeAlgorithmsDiffie-Hellman]

"Enabled"=dword:00000000

lispro06 (비회원)
  • 5
    • 글자 크기
[apache] GET, POST 메서드로 제한 (by lispro06) [JBOSS] standalone (by lispro06)

댓글 달기

댓글 1
  • 이를 적용하고, 바인딩에 호스트를 지정해서 ip 기반으로 접근이 안되었다. 오늘에야 해결했다.


    호스트이름에 도메인을 직접 입력하면 해당 도메인으로 들어와야만 된다. SSL은 어차피 인증서에서 도메인으 확인하므로 정확한 도메인으로 적어두고, http는 ip로도 들어올 수 있도록 ip 주소나 * 로 해주면 된다.

    이런 설명을 제대로 제공하는 곳을 못 찾았다. 아래는 정확히 알려준지는 모르겠으나, 걍 *가 있길래 시도해 봤더니 되었다.


    https://stackoverflow.com/questions/14029629/iis-cant-access-page-by-ip-address-instead-of-localhost


    host.jpg

첨부 (5)
naf.jpg
18.7KB / Download 25
sslv2reg.png
25.6KB / Download 23
rc_v3_disable.png
52.2KB / Download 25
rc1.jpg
14.9KB / Download 24
rc2.jpg
13.0KB / Download 24
위로