SSL 인증서 기간 미연장 문제 점검 절차

ssl 설치 후 기간이 연장 안되는 경우 ssl 설치 정상여부 점검하는 절차

 

 

SSL 인증서 기간 미연장 문제 점검 절차

SSL 인증서 갱신 후에도 유효기간이 연장되지 않는 문제는 주로 새 인증서가 제대로 적용되지 않았거나, 기존 인증서가 캐시되어 있기 때문입니다. SSL 인증서는 만료일이 하드코드되어 있어 기간 연장이 불가능하고, 완전히 새로운 인증서를 재발급받아 교체해야 합니다.

다음은 체계적인 점검 절차입니다:

---

1단계: 실제 인증서 만료일 확인

먼저 서버에 실제로 적용된 인증서의 만료일을 확인합니다:

A. 브라우저로 확인

• 웹사이트 접속 → 주소창 자물쇠 아이콘 클릭 → "인증서가 유효함" 클릭 → 만료 날짜 확인

B. OpenSSL 명령어로 확인

bash

Copy

# 로컬 인증서 파일 확인
openssl x509 -in /path/to/certificate.crt -noout -dates

# 원격 서버 인증서 확인
echo | openssl s_client -servername yourdomain.com -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -dates

출력된 notBefore와 notAfter 날짜를 확인합니다.

C. 온라인 툴로 확인

• SSL Labs: https://www.ssllabs.com/ssltest/
• DigiCert: https://www.digicert.com/help/

---

2단계: 신규 인증서 설치 정상성 점검

만료일이 갱신되지 않았다면 설치 과정을 점검합니다:

A. 인증서 파일 교체 확인

• 신규 인증서 파일이 올바른 경로에 업로드되었는지 확인
• 개인키(Key)와 인증서(CRT)가 일치하는지 확인:
  bash

  Copy

  openssl x509 -noout -modulus -in certificate.crt | openssl md5
  openssl rsa -noout -modulus -in private.key | openssl md5

  두 해시값이 동일해야 함

B. 웹서버 설정 파일 확인

• Apache/Nginx 등 설정 파일에서 인증서 경로가 신규 파일을 가리키는지 확인
• 설정 파일 수정 후 문법 오류 없는지 확인:
  bash

  Copy

  # Apache
  apachectl configtest
  
  # Nginx
  nginx -t

C. 웹서버 재시작 설정 변경 후 서비스 재시작이 필수입니다:

bash

Copy

# Apache
systemctl restart httpd  # 또는 apache2

# Nginx
systemctl restart nginx

---

3단계: 중간 계층(캐시) 점검

A. CDN/로드밸런서 확인

• CloudFlare, AWS ELB 등 CDN이나 로드밸런서에 이전 인증서가 캐시되어 있지 않은지 확인
• 해당 서비스 콘솔에서 수동으로 인증서 업데이트 및 배포

B. 브라우저 캐시 강력 새로고침

• 사용자 브라우저에 이전 인증서가 캐시될 수 있음
• Ctrl + Shift + R (Windows) 또는 Cmd + Shift + R (Mac)으로 강력 새로고침

C. OCSP 스테이플링 캐시

• OCSP 스테이플링이 활성화되어 있다면 캐시된 응답을 삭제:
  bash

  Copy

  # Nginx
  rm -rf /path/to/ocsp_cache

---

4단계: 포트 및 SNI 설정 확인

A. 올바른 포트 바인딩 확인

• SSL 인증서가 443 포트에 제대로 바인딩되었는지 확인
• 여러 도메인을 사용한다면 SNI(Server Name Indication) 설정이 올바른지 확인

B. 가상호스트 설정

• Apache/Nginx 가상호스트 블록에서 도메인별 인증서가 올바르게 매핑되었는지 확인

---

5단계: 인증서 체인 확인

A. 중간 인증서 설치 여부

• 인증서 체인이 불완전하면 브라우저가 신규 인증서를 인식하지 못할 수 있음

bash

Copy

# 체인 확인
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com -showcerts

B. 루트 CA 신뢰 여부

• 신규 인증서의 루트 CA가 클라이언트에서 신뢰되는지 확인

---

6단계: 자동 갱신 확인 (Let's Encrypt 등)

A. 자동 갱신 스크립트 동작 확인

• Let's Encrypt의 certbot 자동 갱신이 활성화되어 있는지 확인:

bash

Copy

# 갱신 시뮬레이션
certbot renew --dry-run

# 자동 갱신 스케줄러 확인
systemctl status certbot.timer

B. 갱신 후 훅 스크립트 확인

• 갱신 후 웹서버 재시작 훅이 제대로 설정되었는지 확인

---

7단계: 예방 조치

A. 만료일 모니터링 자동화

• 모니터링 스크립트로 만료 30일 전 알림 설정
• 등록된 이메일로 만료 알림 확인

B. 갱신 절차 문서화

• CSR 생성부터 설치까지의 절차를 문서화하여 반복적인 실수 방지

---

핵심 요약 체크리스트

Table

Copy

점검 항목명령어/방법정상 기준

만료일 확인	openssl s_client -connect domain:443	notAfter 날짜가 신규
파일 교체	ls -l /path/to/cert	타임스탬프 최신
서버 설정	nginx -t / apachectl configtest	문법 OK
서버 재시작	systemctl restart nginx	Active(running)
CDN 캐시	CDN 콘솔 확인	신규 인증서 배포됨
브라우저 캐시	강력 새로고침	신규 인증서 표시

위 절차를 순차적으로 실행하면 90% 이상의 문제를 해결할 수 있습니다. 특히 웹서버 재시작 누락과 CDN 캐시가 가장 흔한 원인입니다.

---

참고: 인증서 발급 업체(SecureSign, DigiCert 등)의 발급 완료 메일이나 마이페이지에서 신규 인증서의 정확한 유효기간을 확인하는 것도 중요합니다.