CentOS6 OpenSSL 설치하기

하트블리드 취약점

OpenSSL : TLS, SSL 의 오픈소스 구현판이다. 

이 OpenSSL 오픈소스 라이브러리의 취약점이다. 

이 공격으로 개인키, 세션 쿠기, 암호를 훔칠 수 잇다. 

 

실습 환경 : centos 6

1. OpenSSL 설치하기

yum -y install openssl (CentOS에는 설치되어 있음)

yum -y install mod_ssl

 

2. 개인키 생성, 인증서에 개인키로 직접 서명(SSC : Self-signed Certificate)

#openssl genrsa -out ca.key 1024 : 1024bit의 개인키 생성 

생성된 개인키

ca.keyXQIBAAKBgQDgYy6zpECZGm1myaZICrzTtWWfaKl84o3wTNw9jncTtsSXGfDf 

Usgv5ivvwrEfEzHA4tRROilAQKz3anFDwl5viCdGVgUPP+UDV+EEPdPbBUBZVcaR 
5WdRXSjQblVDJaXH3YX2r7rQqzEyxKBCFkpb+c6MFCBv6FvrQGj3ShEHOQIDAQAB 
AoGATupy/VkSIwaJXXIkGgg0utx8PiEoIrTnKJFPkBKvzG4mG+JStag+oaH459z4 
QC6W+/iKpXqoEWHtsyJrbWJJpZWMEFu/a/K7zinS/GvsCLiS7A8RmNBW17RIFYQB 
fhcLBK6ahUQvXbIOlAI0PiHfYBIMlQjRAuB9B8do8u36cUUCQQDx9PKJvkEmxISx 
mhSyAVJtlvF5xg/tItT17H2SobVcQYdVAy//Gd/loFa0YS2Gv6QKQIIddWBhIvad 
2mw5SSrjAkEA7WkvSsYooLLtdG2hBbbTfWA/3S7hOOEiqL7ogoZnXMb7tXJUFRrI 
e5d6gQWTqlNlc8Bijs7qrna3p2cCrNlUMwJAf2tAgtuHkfPx8Vm0Rl292+qetkNg 
xcAPKIdnRd4VFUWJEHMCRrSInXPH1WxLvmeT6rY4D21t2RnBiDWrwqtOgwJBALgV 
VxYjkF0KYBRm7PQBTvtoJhzavMfdyYIOhTqv/HVz1LhcbdXvboRmcBaavGTVRVT7 
V3BkAJRGeSDUPr7HxQECQQCyclKCrtraxSaIortPIwhPETpc92CcC3L4igQkmjwe 
tpUYBflpMiJ6DCUOfuPoZlAnnpMbDrv14lH0OcQoWKDM

 

#openssl req -new -key ca.key -out ca.csr : CSR(Certificate Signing Request) 인증서 서명 요청

ca.csr

3. Self Signed Key 생성, 인증서에 개인키 넣기.

#openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt 

 

ca.crt

4. 복사

cp ca.crt /etc/pki/tls/certs

cp ca.key /etc/pki/tls/private/ca.key

cp ca.csr /etc/pki/tls/private/ca.csr

 

 

5. /etc/httpd/conf.d/ssl.conf에서 경로 바꿔주기-> ca.crt, ca.key로 변경

service httpd restart 로 재시작

변경 전

 

변경 후

 

 

6. /etc/httpd/conf/httpd.conf 에서 ServerAdmin 과 Servername 2번에서 정한 도메인으로 변경

변경 전 

변경 후

 

7. /etc/sysconfig/iptables 에서 443 포트 accept하기

service iptables restart 재시작

8. https://IP주소 치면 안전하지 않는 사이트로 가기 클릭. SSL 통신으로 연결된다.

패킷 확인하기

TLSv1.2로 나오며 CA는 study.co.kr로 나옴.

wireshark 에서 오른쪽 마우스-> export packet bytes 하고 파일이름.crt하면 인증서 출력됨.