nginx에 mTLS 인증서 발급하고 검증하기

mTLS 란?

mTLS는 "Mutual Transport Layer Security"의 약자로, 클라이언트와 서버 간의 상호 인증을 위한 TLS(Transport Layer Security) 프로토콜의 확장이다. 일반적인 TLS는 서버만 인증하는 반면, mTLS는 클라이언트와 서버 모두가 서로를 인증하는 방식이다. 이를 통해 더 높은 수준의 보안이 제공된다.

 

mTLS의 작동 방식은 서버 인증, 클라이언트 인증, 상호 인증 완료 로 진행되어야 한다.

 

1. 서버 인증 : 클라이언트 서버의 SSL/TLS 인증서를 확인하여 서버의 신원을 검증한다. 이는 일반적인 TLS 연결에서 이루어지는 단계이다.

2. 클라이언트 인증 : 서버 또한 클라이언트로부터 인증서를 요청한다. 클라이언트는 자신의 인증서를 서버에 제출하여 신원을 증명한다.

3. 상호 인증 완료 : 서버와 클라이언트가 서로의 인증서를 확인하고 유효성을 검증하면, 상호 인증이 완료되고 안전한 통신이 시작된다.

 

진행

1️⃣ ca 인증서 발급

인증서를 발급하는 권한을 가진 인증 기관(CA)을 나타낸다.

openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

 

Common Name(CN) 필드에 넣어야할 내용 : CA의 이름 또는 역할을 명확히 나타내는 고유한 식별자를 넣는다.

- 예시 : MyCompany Root CA, MyCompany Intermediate CA

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:MyCompany Root CA
Email Address []:

 

2️⃣ server 인증서 발급

특정 서버(예: 웹 서버)에 대해 발급된 인증서로, 클라이언트가 이 서버에 접근할 때 서버의 신원을 확인할 수 있다.

openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256

 

Common Name(CN) 필드에 넣어야할 내용 : 해당 서버가 서비스하는 도메인 이름을 넣어야한다. 클라이언트가 이 도메인에 접근할 때, CN 또는 SAN(Subject Alternative Name) 필드에 있는 도메인과 일치해야 한다.

- 예시 : yourdomain.com

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:yourdomain.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 

3️⃣ client 인증서 발급

클라이언트(사용자 또는 장치)의 신원을 인증하기 위해 사용되는 인증서

openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -sha256

 

Common Name(CN) 필드에 넣어야할 내용 : 클라이언트를 식별할 수 있는 고유한 이름(예: 사용자 이름, 이메일 주소, 장치 이름)을 넣어야 한다.

- 예시 : John Doe, johndoe@example.com, Device-001

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Device-001
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 

4️⃣ nginx conf 수정

server {
        listen 443 ssl;
        server_name yourdomain.com;

        ssl_certificate /etc/nginx/auth/server.crt;
        ssl_certificate_key /etc/nginx/auth/server.key;
        ssl_client_certificate /etc/nginx/auth/ca.crt; # 클라이언트 인증서 확인을 위한 CA 인증서
        ssl_verify_client on; # 클라이언트 인증서 검증 활성화

        client_max_body_size 30M;
        location / {
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-NginX-Proxy true;

                proxy_redirect off;
                proxy_pass http://[ip_address]:[port];
                charset utf-8;

                access_log /var/log/nginx/access.log;
                error_log /var/log/nginx/error.log;
        }
}

 

 

✅ 연결 테스트

ca 인증서(ca.crt), client 인증서(client.crt), client 키(client.key) 와 같이 요청해야 한다 !

 

❌ 인증서 없이 접근할 경우

 

⭕️ 인증서와 함께 curl 요청

curl -v --key client.key --cert client.crt --cacert ca.crt https://yourdomain.com

* Rebuilt URL to: https://ddeheart.com/
*   Trying [ip address]...
* Connected to yourdomain.com ([ip address]) port 443 (#0)
* found 1 certificates in ca.crt
* found 516 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* 	 server certificate verification OK
* 	 server certificate status verification SKIPPED
* 	 common name: yourdomain.com (matched)
* 	 server certificate expiration date OK
* 	 server certificate activation date OK
* 	 certificate public key: RSA
* 	 certificate version: #1
* 	 subject: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd,CN=yourdomain.com
* 	 start date: Fri, 16 Aug 2024 05:47:35 GMT
* 	 expire date: Sat, 16 Aug 2025 05:47:35 GMT
* 	 issuer: C=AU,ST=Some-State,O=Internet Widgits Pty Ltd,CN=MyCompany Root CA
* 	 compression: NULL
* ALPN, server accepted to use http/1.1
> GET / HTTP/1.1
> Host: yourdomain.com
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.10.3 (Ubuntu)
< Date: Fri, 16 Aug 2024 06:23:02 GMT
< Content-Type: application/json
< Content-Length: 18
< Connection: keep-alive
<
{"Hello":"World"}
* Connection #0 to host yourdomain.com left intact

 

⭕️ 인증서와 함께 python requests를 이용한 요청

import requests

url = "https://yourdomain.com"
cert = ("client.crt", "client.key")
ca_cert = "ca.crt"

response = requests.get(url, cert=cert, verify=ca_cert)
print(response.json())

---

CN에 동일한 도메인을 입력할 경우 400 Bad Request로 접근 불가능하다

• 식별 문제: 인증서 검증 과정에서 CN 필드가 동일한 인증서들이 있을 경우, 클라이언트나 서버는 이들 인증서를 구분하는 데 어려움을 겪을 수 있다. 특히, 서버와 클라이언트 간 상호 인증(mTLS)에서 클라이언트 인증서를 서버 인증서와 혼동할 수 있다.
• 신뢰 문제: CA 인증서, 서버 인증서, 클라이언트 인증서가 서로 다르게 발급되어야 하며, 각각의 역할에 따라 고유한 CN을 가지는 것이 원칙이다. 동일한 CN을 사용하면 인증서 체계가 복잡해지고 신뢰 문제를 야기할 수 있다.