망연계 솔루션 경유하는 SSL 인증서 오류

1. 망연계 솔루션이 인증서를 캐시하거나 중간에 프록시 역할을 수행 중인 경우

• 프록시 역할을 수행하는 망연계 솔루션이 TLS 핸드셰이크를 중간에서 가로채고, 자신의 캐시된 오래된 인증서를 클라이언트(curl 등)에 전달할 수 있습니다.

• 이 경우, 클라이언트는 서버가 보낸 인증서가 아니라 망연계 장비가 가진 오래된 인증서를 보고 expired 오류를 발생시킵니다.

🛠 조치 방법:

• 망연계 솔루션(예: SecureGate, TGate, SaniTrans 등)의 인증서 캐시 기능이나 SSL Proxy 설정을 확인하고 재시작하거나 캐시를 무효화합니다.

• 최신 인증서로 업데이트되었는지 확인합니다.

• 필요시, TLS pass-through(중계만 하고 가로채지 않음) 모드로 설정합니다.

2. 망연계 솔루션이 자체적으로 SSL을 종단 처리(SSL termination)하고 있음

• 이 경우, 외부 웹 서버의 인증서를 클라이언트가 직접 보지 않고, 망연계 솔루션에 설치된 인증서를 보게 됩니다.

• 만약 이 인증서가 갱신되지 않았거나 유효기간이 지난 상태라면, curl 등에서는 certificate has expired로 인식됩니다.

🛠 조치 방법:

• 망연계 솔루션에 설치된 인증서를 확인하고 갱신합니다.

• 인증서 체인(루트 → 중간 → 서버 인증서)이 완전하게 구성되었는지 확인합니다.

3. 망연계 솔루션이 클라이언트 쪽에 자체 CA나 루트 인증서를 신뢰시키지 못함

• 클라이언트가 망연계 솔루션의 중간 인증서나 루트 인증서를 신뢰하지 않으면 SSL 오류가 발생할 수 있습니다.

• 특히 curl은 OpenSSL을 사용하므로, 시스템에 설치된 CA Bundle에 해당 인증서가 없을 경우 발생합니다.

🛠 조치 방법:

• 망연계 솔루션의 루트 CA 또는 중간 인증서를 /etc/ssl/certs 또는 curl의 --cacert 옵션으로 지정하여 수동 신뢰를 설정할 수 있습니다.

4. 중간 인증서(Missing Intermediate Certificate)가 누락되었을 경우

• 망연계 솔루션이 중간 인증서를 포함하지 않은 상태로 서버 인증서만 전달하면 expired 오류처럼 보일 수 있습니다.

• 일부 클라이언트는 인증서 체인 복원이 불가능하여 오류를 발생시킵니다.

🛠 조치 방법:

• 인증서 체인을 완전하게 구성했는지 확인하세요 (SSL Labs 등에서 확인 가능: https://www.ssllabs.com/ssltest/).

🔍 추가 확인 방법

• 다음과 같은 명령어로 문제 확인 가능:

✨ 요약