웹투비(webtob) http.m 설정(SSL 절)
※ 웹투비(webtob) 설정 변경시 반드시 티맥스에 문의하시기 바랍니다. 아래 글은 온라인 매뉴얼을 바탕으로 작성했습니다.
공식 매뉴얼
[웹투비 5.0 온라인 매뉴얼 - 티맥스 공식]
https://technet.tmaxsoft.com/upload/download/online/webtob/pver-20160331-000002/index.html
참고 : 위 매뉴얼은 2016년 웹투비 5.0이 처음 출시되었을 때 발행되었습니다. 안내 : 좌상단 WebtoB 관리자 안내서 > 3.환경설정
[웹투비 4.1 온라인 매뉴얼 - 티맥스 공식]
https://technet.tmaxsoft.com/upload/download/online/webtob/pver-20150203-000001/index.html
참고 : 위 매뉴얼은 2015년에 발행되었습니다. 안내 : 좌상단 WebtoB 관리자 안내서 > 3.환경설정
웹투비(webtob) http.m 설정 개요
※ 웹투비(webtob) 설정 변경시 반드시 티맥스에 문의하시기 바랍니다. 아래 글은 온라인 매뉴얼을 바탕으로 작성했습니다. 공식 매뉴얼 [웹투비 5.0 온라인 매뉴얼 - 티맥스 공식] https://technet.tmaxso
woshcareer.tistory.com
예제 설정 파일
*VHOST
web SSLFLAG = Y,
SSLNAME = ssl
app SSLFLAG = Y,
SSLNAME = ssl2
*SSL
ssl CertificateFile = "/home/webtob/ssl/newreq.pem",
CertificateKeyFile = "/home/webtob/ssl/newreq.pem",
CACertificateFile = "/home/webtob/ssl/name-Chain.crt",
CACertificatePath = "/home/webtob/ssl",
ssl2 CertificateKeyFile = "/home/webtob/ssl/sslcert.co.kr.key.pem",
CertificateFile = "/home/webtob/ssl/sslcert.co.kr.crt.pem",
CertificateChainFile = "/home/webtob/ssl/chain-bundle.pem”,
CACertificateFile = "/home/webtob/ssl/Root.crt.pem”,
Protocols = "-SSLv2, -SSLv3, -TLSv1, -TLSv1.1, TLSv1.2"
- 자주 사용하는 절에 대한 설명
*SSL : NODE 절이나 VHOST 절에 적용할 SSL 기능을 설정한다.
SSL 절에서 자주 사용하는 설정
- SSL은 HTTPS 통신을 사용하기 위한 설정이므로 SSL 절의 모든 설정은 보안과 관련되었다.
- 일반적으로 인증서 파일은 /$WEBTOB_HOME/ssl 폴더 안에 있다.(없는 경우 http.m 설정 파일 참고하여 위치 파악)
- 아래 설정은 웹투비 매뉴얼에 나온 사항이며, 최근에는 보안 공격이 많아져 매뉴얼에 없는 항목을 설정하는 경우도 있다.
- 아래 항목은 인증서 발급 기관 별로 설정 사항이 다릅니다. 인증서 설치 매뉴얼을 보고 설정 부탁드립니다.
CertificateFile : 인증서 파일 위치(일반적으로 .pem 파일)
CertificateKeyFile : 개인키 파일 위치(일반적으로 .pem 파일)
CACertificatePath : 인증서를 저장할 디렉터리
CACertificateFile : Root 인증서 파일 위치
CertificateChainFile : Chain 인증서 파일 위치
RandomFile : SSL 암호 생성시 이 파일에서 임의의 값을 추출하여 Random Seed를 만든다.
RandomFilePerConnection : Random 파일 몇 개를 가지고 Random Seed를 만들지 설정한다.
VerifyDepth : 몇 개의 인증 CA가 필요한지 설정
VerifyClient : 사용자에게 요청할 인증 레벨 설정
Protocols : 사용할 수 있는 프로토콜을 설정한다. 구 버전 프로토콜 사용 시 보안에 취약하다.
기본값: "SSLv3, TLSv1, TLSv1.1, TLSv1.2"
권장값: "-SSLv2, -SSLv3, -TLSv1, -TLSv1.1, TLSv1.2" + TLSv1.3
(서비스에 따라 TLSv1.0, TLSv1.1이 필요한 경우도 있어 무조건 차단은 좋지 않음)
RequiredCiphers : SSL 통신 시 사용하는 cipher suite(키교환 알고리즘)을 설정한다.
기본값: "HIGH:MEDIUM:!SSLv2:!PSK:!SRP:!ADH:!AECDH:!EXP:!RC4:!IDEA:!3DES"
권장값: "HIGH:MEDIUM:!LOW:!SSLv2:!aNULL:!eNULL:!PSK:!SRP:!ADH:!AECDH:!DH:!EDH:!EXP:!RC2:!RC4:!RC5:!RC6:!MD4:!MD5:!SHA:!IDEA:!DES:!2DES:!3DES"
(서비스에 따라 특정 chiper suite 가 필요한 경우도 있어 무조건 차단은 좋지 않음)<cipher suite 권장값 참고 자료>
https://bourbonkk.tistory.com/74
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices
PassPhraseDialog : SSL 인증서를 웹투비에 적용하는 경우, 웹투비를 기동할 때마다 암호문을 입력해야 한다. 암호문을 입력한 파일의 경로를 입력하면 수동으로 암호문을 입력하지 않아도 된다.
RenegotiationLevel : SSL 재협상(클라이언트 - 서버) 레벨 설정
참고자료
[웹투비 5.0 온라인 매뉴얼 - 공식]
https://technet.tmaxsoft.com/upload/download/online/webtob/pver-20160331-000002/index.html
[digicert - SSL/TLS/HTTPS는 무엇인가요?]
https://www.digicert.com/kr/what-is-ssl-tls-and-https
[Ucert Wiki - 웹투비 싱글 인증서 설치]
[한국전자인증 - 웹투비 인증서 설치방법]
https://www.crosscert.com/products/g_WebtoB.pdf
[Ucert Wiki - 웹투비 SSL 프로토콜 설정]
https://www.ucert.co.kr/wiki/w/Webtob_SSL_%ED%94%84%EB%A1%9C%ED%86%A0%EC%BD%9C_%EC%84%A4%EC%A0%95
[Junseok님의 블로그 - 웹투비 설정(SSL 포함)]
https://ixtears23.github.io/webtob%EC%84%A4%EC%A0%95(SSL%ED%8F%AC%ED%95%A8)/
[Acunetix - TLS/SSL Weak Cipher Suites]
https://www.acunetix.com/vulnerabilities/web/tls-ssl-weak-cipher-suites/
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices
[와스킹의 사건현장 - Diffie-Hellman 키를 이용한 Logjam 취약점]
https://wasking.tistory.com/24
[해커의 개발일기 - sslscan을 사용해 취약점 점검하기]
https://bourbonkk.tistory.com/74
[정보보안 스토리 - SSLLABS (ssl 취약점 진단 Site)]
https://itinformation.tistory.com/64