Middleware (SSL-2) SSL 인증서 에러발생시 해결방법 (NSS error-8172, 12276 ??)
페이지 정보
작성자 미들웨어 아이디로 검색 전체게시물 댓글 0건 조회 11,996회 좋아요 1회 작성일 21-04-19 14:47본문
안녕하세요. 미들웨어 입니다.
그간 미들웨어에 대해 여러 방향으로 다뤄봤는데요,
이번 장에서는 지난 번에 이어 SSL 에러에 대해 다뤄보려고 합니다.
(SSL-1) SSL 인증서 정상상태인지 확인하는 방법 (openssl s_client 사용)
(SSL-2) SSL 인증서 에러발생시 해결방법 (NSS error-8172, 12276 ??)
SSL 인증서 설정을 하다보면 curl로 자체테스트를 할때가 있는데요..
그럴때 발생하는 에러 두가지 유형에 대해 대응방법을 알려드리겠습니다.
## curl 사용
curl "https://10.xx.xx.xxx" -H "Host: dev-test.test.com" -v -s -o /dev/null
위 curl 명령어는 10.xx.xx.xxx IP를 사용해서 dev-test.test.com 도메인으로 proxy 하여 호출하는 방법 입니다. 서버에 직접 접속해서 web 서버 호출한뒤 proxy 호출까지 해야할 경우 위 처럼 사용하면 브라우저 접속할 필요 없이 원하는 결과값을 얻을 수 있습니다. |
## SSL 유형 1
=> 에러 : * NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
=> 해결 : 설치한 인증서가 잘못된 경우 발생하는 에러
[tomcat@test1 optional_modules]$ curl "https://10.xx.xx.xxx" -H "Host: dev-test.test.com" -v -s -o /dev/null * About to connect() to 10.xx.xx.xxx port 443 (#0) * Trying 10.xx.xx.xxx... * Connected to 10.xx.xx.xxx (10.xx.xx.xxx) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * Server certificate: * subject: CN=www.test.com,OU=IT Service Team,O="test.,LTD",L=test-gu,ST=Seoul,C=KR * start date: 7월 21 00:34:11 2016 GMT * expire date: 7월 16 00:34:11 2036 GMT * common name: www.test.com * issuer: CN=test ROOT Certificate for TEST,OU= IT Service Team,O="test.,LTD",L=test-gu,ST=Seoul,C=KR * NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user. * Closing connection 0 |
## SSL 유형 2
=> 에러 : * NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
=> 해결 : 인증서는 정상이나 호출하는 경로가 잘못된 경우 발생하는 에러
[tomcat@testwas1 optional_modules]$ curl "https://11.11.11.111" -H "Host: test.test.com" -v * About to connect() to 11.11.11.111 port 443 (#0) * Trying 11.11.11.111... * Connected to 11.11.11.111 (11.11.11.111) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * Server certificate: * subject: CN=www.test.com,OU=Unified Communications,OU="Hosted by Korea Information Certificate Authority, Inc.",OU=Service Team,O="test.,LTD",STREET="870-13, test-daero",L=test-gu,ST=Seoul,postalCode=137137,C=KR * start date: 11월 22 00:00:00 2017 GMT * expire date: 1월 01 23:59:59 2021 GMT * common name: www.test.com * issuer: CN=COMODO RSA Organization Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB * NSS error -12276 (SSL_ERROR_BAD_CERT_DOMAIN)
* Unable to communicate securely with peer: requested domain name does not match the server's certificate. * Closing connection 0
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate. |
## OpenSSL 인증서 만료기간 확인
=> openssl x509 -in /etc/httpd/conf/test.crt -noout -text
[root@test conf]# openssl x509 -in /etc/httpd/conf/test.crt -noout -text Certificate: Data: Version: 1 (0x0) Serial Number: 90:8d:15:d0:4f:28:ba:12 Signature Algorithm: sha1WithRSAEncryption Issuer: C=KR, ST=Seoul, L=Euljiro, O=WAS, OU=OS Dev., CN=test test/emailAddress=evonit@test.com Validity Not Before: May 24 09:01:14 2013 GMT Not After : May 17 09:01:14 2043 GMT Subject: C=KR, ST=Seoul, L=Euljiro, O=WAS, OU=OS Dev., CN=test test/emailAddress=evonit@test.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) |
위 와 같은 명령어로 인증서 만료기간을 확인할 수 있으며, 에러코드에 대해 대응 방법도 찾아봤습니다.
도움이 되시길 바랍니다.
댓글목록
등록된 댓글이 없습니다.