저는 컴퓨터 한 대가 DHCP, DNS 및 웹 서버로 사용되는 소규모 기업 네트워크를 운영하고 있습니다. machinary.ao 또는 resources.ao와 같은 로컬 도메인을 사용합니다.
SSL을 사용하고 싶습니다. 컴퓨터와 네트워크는 인터넷에 연결되어 있지 않으며 모든 것이 로컬로만 이루어지며 들어오거나 나가는 것이 없습니다.
Apache에서 SSL을 활성화하고 이에 대한 일부 인증서를 만들었습니다. 문제는 브라우저가 SSL 인증서를 받아들이지 않고 모든 브라우저가 이를 신뢰할 수 없다고 말한다는 것입니다.
왜 그런 겁니까? 나는 무엇을 해야 합니까? 보안을 위해 SSL을 사용하고 싶은데 어떻게 신뢰할 수 있게 만들 수 있나요?
SSL 인증서 비용을 헛되이 지불하고 싶지 않습니다. 이미 로컬 네트워크가 있고 이를 더욱 안전하게 만들고 싶습니다.
현지 인증 기관의 서명을 받은 인증서를 받으려면 어떻게 해야 합니까? 아니면 어떻게 해야 하나요?
답변1
네트워크가 작고 인터넷에 연결되어 있지 않습니다.
SSL을 사용하여 어떤 위험을 줄이려고 합니까?
내부 네트워크에서 SSL을 사용하면 보안 계층이 추가되지만 (네트워크 사용량에 따라) 전체 네트워크 트래픽의 (아주) 작은 부분에만 적용됩니다.
네트워크의 일부가 무선이고 WLAN의 보안을 신뢰하지 않는 경우 VPN을 통해 무선 클라이언트를 연결하는 것을 고려할 수 있습니다.
그 외에도 누군가가 네트워크를 도청하는 것이 걱정된다면 문제는 훨씬 더 커집니다. 이런 경우에는 경계경비원이나 경비원 등의 물리적인 보안대책이 필요한데...
답변2
전제 조건: 인증서를 생성한 경우 (개인) 인증 기관이 있고 생성 단계에서 이미 인증서에 서명했다고 가정합니다.
즉, 주요 문제는 특정 인증서의 소유자를 식별하는 것입니다. 모든 브라우저에는 신뢰할 수 있는 인증 기관에서 발행한 신뢰할 수 있는 인증서 세트가 있습니다. https 프로토콜을 사용하여 웹사이트를 열면 브라우저는 웹사이트의 인증서가 알려진 인증 기관(해당 CA의 인증서 사용)에 의해 서명되었는지 확인합니다. 이렇게 하면 신뢰할 수 있는 대규모 회사에서 "좋아, 인증서는 양호하고 유효합니다."라고 말할 수 있습니다. 귀하의 경우 문제는 귀하가 CA가 아니라는 것입니다. 따라서 브라우저는 발생할 수 있는 위험을 사용자에게 알려줍니다. 이 문제를 해결하려면 사용하는 모든 브라우저에 인증서가 양호하다는 사실을 알려야 합니다(인증서 경고가 있는 페이지에서 "예외 추가"와 같은 항목을 검색하세요).
답변3
위에서 언급한 것처럼 각 브라우저에 예외를 생성하도록 수동으로 지시할 수 있습니다.
그러나 이것은 당신이 원하는 것이 아닐 수도 있습니다.
물론, 이러한 내부 공개 키 인프라를 사용하는 대기업과 같은 자체 인증 기관이 될 수도 있습니다.
이 작업을 수행하는 방법을 정확히 알려드릴 수는 없지만 시작하는 데 도움이 되는 몇 가지 링크는 다음과 같습니다.
https://help.ubuntu.com/lts/serverguide/certificates-and-security.html
https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate
적어도 PKI와 CA의 작동 방식을 이해한다면 이를 수행하는 방법을 알아내는 것은 그리 어렵지 않을 것입니다.