SSL 인증서 생성: 자체 서명 및 CA
· 12분 읽기
목차
SSL 인증서 이해하기
SSL 인증서(현재 기술적으로는 TLS 인증서이지만 SSL이라는 용어가 여전히 사용됨)는 웹사이트의 신원을 인증하고 클라이언트와 서버 간의 암호화된 연결을 가능하게 하는 디지털 문서입니다. 브라우저 주소 표시줄에 자물쇠 아이콘이 표시되면 SSL 인증서가 백그라운드에서 작동하여 데이터를 보호하고 있는 것입니다.
이러한 인증서는 두 가지 중요한 기능을 수행합니다: 연결하려는 정당한 서버에 연결하고 있음을 확인하고, 데이터가 안전하게 이동하는 암호화된 터널을 설정합니다. SSL 인증서가 없으면 비밀번호, 신용카드 번호, 개인 데이터와 같은 민감한 정보가 평문으로 전송되어 악의적인 행위자의 가로채기에 취약해집니다.
SSL 인증서의 선택은 여러 요인에 따라 달라집니다:
- 검증 수준 – 인증 기관이 귀하의 신원을 얼마나 철저히 확인하는지
- 도메인 범위 – 단일 도메인, 여러 하위 도메인 또는 여러 도메인
- 신뢰 요구 사항 – 공개 브라우저 신뢰가 필요한지 내부 전용인지
- 예산 제약 – 무료 옵션 대 추가 기능이 있는 유료 인증서
- 보증 및 지원 – 보험 보장 및 기술 지원 수준
이러한 요인을 이해하면 개인 블로그, 전자상거래 플랫폼 또는 내부 기업 애플리케이션 등 특정 사용 사례에 적합한 인증서 유형을 선택하는 데 도움이 됩니다.
자체 서명 인증서: 사용 시기 및 방법
자체 서명 인증서는 제3자 인증 기관을 거치지 않고 직접 생성하고 서명하는 SSL 인증서입니다. 서버가 본질적으로 자신의 신원을 보증하기 때문에 브라우저는 기본적으로 이를 신뢰하지 않습니다.
이러한 인증서는 암호화 목적으로는 완벽하게 작동합니다. CA 서명 인증서와 동일한 보안 연결을 설정합니다. 차이점은 신뢰에 있습니다: 브라우저는 자체 서명 인증서가 합법적인지 확인할 방법이 없으므로 사용자에게 보안 경고를 표시합니다.
자체 서명 인증서의 이상적인 사용 사례
자체 서명 인증서는 공개 신뢰가 필요하지 않은 특정 시나리오에서 탁월합니다:
- 개발 환경 – 배포 전 로컬에서 HTTPS 기능 테스트
- 내부 네트워크 – 공개 인터넷에 노출되지 않는 서버 간 통신 보안
- IoT 장치 – 제어된 네트워크 내에서 통신하는 임베디드 시스템
- 테스트 및 스테이징 서버 – 보안 경고가 허용되는 프로덕션 전 환경
- 개인 프로젝트 – 홈 랩 및 학습 환경
자체 서명 인증서 생성
자체 서명 인증서를 생성하는 가장 일반적인 도구는 대부분의 시스템에서 사용할 수 있는 강력한 암호화 라이브러리인 OpenSSL입니다. 다음은 자체 서명 인증서를 생성하는 기본 명령입니다:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes -subj "/CN=localhost"각 매개변수가 수행하는 작업을 분석해 보겠습니다:
req -x509– 인증서 서명 요청 대신 자체 서명 인증서 생성-newkey rsa:4096– 새로운 4096비트 RSA 개인 키 생성(기본 2048비트보다 강력함)-keyout key.pem– 개인 키를 이 파일에 저장-out cert.pem– 인증서를 이 파일에 저장-sha256– SHA-256 해싱 알고리즘 사용(안전하고 널리 지원됨)-days 365– 인증서 유효 기간 1년-nodes– 개인 키에 비밀번호 보호 없음(자동화된 시스템에 유용)-subj "/CN=localhost"– 대화형 프롬프트 없이 일반 이름 설정
전문가 팁: 개발 작업의 경우 인증서 생성기 도구를 사용하여 명령줄 지식 없이도 사용자 친화적인 인터페이스로 자체 서명 인증서를 생성할 수 있습니다.
주체 대체 이름이 있는 고급 자체 서명 인증서
최신 브라우저는 적절한 인증서 검증을 위해 주체 대체 이름(SAN)이 필요합니다. 다음은 여러 도메인 이름으로 인증서를 생성하는 방법입니다:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes \
-subj "/CN=localhost" \
-addext "subjectAltName=DNS:localhost,DNS:*.localhost,IP:127.0.0.1"이 인증서는 localhost, localhost의 모든 하위 도메인 및 IP 주소 127.0.0.1에서 작동하므로 로컬 개발 시나리오에 다용도로 사용할 수 있습니다.
장점 및 제한 사항
| 장점 | 제한 사항 |
|---|---|
| 완전히 무료로 생성 | 사용자에게 브라우저 보안 경고 |
| 외부 종속성이나 승인 프로세스 없음 | 공개 신뢰 또는 검증 없음 |
| 인증서 속성에 대한 완전한 제어 | 공개 웹사이트에 사용할 수 없음 |
| 즉시 생성 및 배포 | 클라이언트 장치에서 수동 신뢰 구성 필요 |
| 테스트 및 개발에 완벽함 | 보증 또는 책임 보호 없음 |
| 인터넷 연결 없이 오프라인 작동 | 기업 보안 정책에 의해 차단될 수 있음 |
빠른 팁: 대중이 액세스할 수 있는 프로덕션 환경에서는 절대 자체 서명 인증서를 사용하지 마세요. 보안 경고는 사용자 신뢰를 손상시키고 잠재적으로 방문자를 사이트에서 멀어지게 할 수 있습니다.
인증 기관: 신뢰의 기반
인증 기관(CA)은 신원을 확인하고 SSL 인증서를 발급하는 신뢰할 수 있는 제3자 조직입니다. 이들은 인터넷 신뢰 인프라의 중추를 형성하며 웹사이트 진위성을 보증하는 디지털 공증인 역할을 합니다.
CA가 인증서를 발급할 때 본질적으로 "이 조직이 이 도메인을 제어한다는 것을 확인했으며 우리의 평판을 걸고 보증합니다"라고 말하는 것입니다. 브라우저와 운영 체제에는 신뢰할 수 있는 루트 CA 목록이 미리 로드되어 있어 CA 서명 인증서가 보안 경고 없이 원활하게 작동합니다.
인증 기관의 작동 방식
CA 시스템은 계층적 신뢰 모델로 작동합니다:
- 루트 CA – 궁극적인 신뢰 앵커, 인증서가 브라우저 및 운영 체제에 내장됨
- 중간 CA – 루트 CA에 의해 승인되어 대신 인증서 발급
- 최종 엔티티 인증서 – 웹 서버에 설치된 SSL 인증서
이 계층 구조는 구획화를 통해 보안을 제공합니다. 루트 CA 개인 키는 매우 안전하고 종종 오프라인 환경에 보관되며, 중간 CA는 일상적인 인증서 발급을 처리합니다. 중간 CA가 손상되면 루트 CA는 전체 신뢰 체인에 영향을 주지 않고 권한을 취소할 수 있습니다.
주요 인증 기관
CA 환경에는 상업적 제공업체와 비영리 조직이 모두 포함됩니다:
- DigiCert – 엔터프라이즈 솔루션으로 유명한 최대 상업 CA 중 하나
- Sectigo(이전 Comodo) – 경쟁력 있는 가격으로 다양한 인증서 유형 제공
- GlobalSign – 엔터프라이즈 PKI 및 IoT 보안 전문
- Let's Encrypt – 무료 자동화 인증서를 제공하는 비영리 단체
- GoDaddy – 중소기업 및 개인 웹사이트 소유자에게 인기
- Entrust – 금융 기관을 위한 고보증 인증서에 중점
Let's Encrypt: 무료이고 신뢰할 수 있는 SSL
Let's Encrypt는 2016년 출시 당시 SSL 인증서 접근성에 혁명을 일으켰습니다. 주요 기술 회사 및 조직이 후원하는 이 비영리 인증 기관은 완전한 브라우저 신뢰를 갖춘 무료 SSL 인증서를 제공합니다.
이 프로젝트의 사명은 HTTPS 채택에 대한 비용 및 복잡성 장벽을 제거하여 더 안전하고 개인 정보를 존중하는 웹을 만드는 것입니다. 오늘날 Let's Encrypt는 다른 모든 CA를 합친 것보다 더 많은 인증서를 발급하여 수억 개의 웹사이트를 보호하고 있습니다.
Let's Encrypt의 주요 기능
- 완전히 무료 – 숨겨진 비용이나 프리미엄 등급 없음
- 자동화된 발급 – 인간의 개입 없이 인증서를 획득하고 갱신할 수 있음
- 도메인 검증만 – 조직 신원이 아닌 도메인 제어 확인에 중점
- 90일 유효 기간 – 짧은 수명으로 자동화를 장려하고 손상된 인증서의 위험 감소
- 와일드카드 지원 – 단일 인증서로 무제한 하위 도메인 보안
- 완전한 브라우저 신뢰 – 모든 주요 브라우저 및 운영 체제에서 인식됨
Let's Encrypt 시작하기
Let's Encrypt를 사용하는 권장 방법은 인증서 발급 및 갱신을 처리하는 자동화된 클라이언트인 Certbot을 사용하는 것입니다. 다음은 웹 서버의 기본 워크플로입니다:
# Certbot 설치(Ubuntu/Debian 예제)
sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx
# Nginx용 인증서 획득 및 설치
sudo certbot --nginx -d example.com -d www.example.com
# 자동 갱신 테스트
sudo certbot renew --dry-runCertbot은 웹 서버를 자동으로 구성하고 인증서를 획득하며 자동 갱신을 설정합니다. 전체 프로세스는 몇 분밖에 걸리지 않습니다.
대체 ACME 클라이언트
Certbot이 공식 클라이언트이지만 여러 대안이 다양한 기능과 접근 방식을 제공합니다:
- acme.sh – 최소한의 종속성을 가진 경량 셸 스크립트
- Caddy – Let's Encrypt를 사용한 자동 HTTPS가 내장된 웹 서버
- Traefik – 기본 Let's Encrypt 통합이 있는 리버스 프록시
- win-acme – GUI 및 예약된 작업이 있는 Windows 중심 클라이언트
전문가 팁: Let's Encrypt는 인증서 발급에 ACME 프로토콜을 사용합니다. ACME 챌린지(HTTP-01, DNS-01, TLS-ALPN-01)를 이해하면 문제를 해결하고 인프라에 적합한 검증 방법을 선택하는 데 도움이 됩니다.
Let's Encrypt가 이상적이지 않을 수 있는 경우
장점에도 불구하고 Let's Encrypt는 모든 시나리오에 완벽하지 않습니다:
- 조직 검증 필요 – Let's Encrypt는 도메인 검증만 제공
- 확장 검증 요구 사항 – Let's Encrypt에서 사용할 수 없음
- 보증 요구 사항 – 재정적 보증 또는 책임 보장 없음
- 더 긴 유효 기간 – 일부 조직은 관리 단순성을 위해 연간 인증서를 선호
- 오프라인 또는 에어갭 시스템 – 검증을 위해 인터넷 연결 필요
상용 SSL 인증서: 추가 보증
유료 인증 기관의 상용 SSL 인증서는 무료 옵션이 제공하는 것 이상의 기능과 보증을 제공합니다. 암호화 강도는 Let's Encrypt와 동일하지만 상용 인증서에는 특정 사용 사례에 중요한 추가 이점이 포함됩니다.
상용 인증서를 선택하는 이유
조직은 여러 가지 설득력 있는 이유로 유료 인증서를 선택합니다:
- 확장 검증 – 브라우저 주소 표시줄에 회사 이름 표시(이 기능은 단계적으로 폐지되고 있음)
- 재정적 보증 – 인증서 관련 침해에 대해 $10,000에서 $2,000,000까지의 보장
- 전담 지원 – 설치 및 문제 해결을 위한 전화 및 이메일 지원
- 더 긴 유효 기간 – 최대 397일(브라우저 표준에서 허용하는 최대)
- 조직 검증 – 인증서 세부 정보에서 확인된 회사 정보
- 신뢰 인장 – 고객 신뢰를 높일 수 있는 표시 가능한 배지
- 다년 구매 – 여러 해를 미리 구매(단, 인증서는 매년 재발급되어야 함)
상용 인증서 가격
가격은 검증 수준 및 기능에 따라 크게 다릅니다:
| 인증서 유형 | 일반적인 연간 비용 | 최적 용도 |
|---|---|---|
| 도메인 검증(DV) |