웹서버구축에 필요한 SSL 인증서는 어떻게 발급받나요?

FAQ: 웹서버 구축을 위한 SSL 인증서 발급 가이드

Q1. SSL 인증서란 무엇인가요?
A1.
- SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security)는 클라이언트와 서버 간 통신을 암호화해 중간 공격(스니핑)을 방지하는 프로토콜입니다.
- SSL 인증서는 해당 서버가 신뢰할 수 있는 주체임을 증명하며, 브라우저 주소창에 ‘https://’와 자물쇠 아이콘을 표시합니다.

Q2. SSL 인증서 종류에는 어떤 것이 있나요?
A2.
1) 도메인 검증(DV, Domain Validation)
• 발급 속도가 빠르고 비용이 저렴(무료 포함)
• 인증서 신청 시 도메인 소유권 확인만 거침
2) 조직 검증(OV, Organization Validation)
• 기업·단체 실체 확인 과정을 거쳐 발급
• 기업 명이 인증서에 표시됨
3) 확장 검증(EV, Extended Validation)
• 엄격한 기업·단체 심사 및 서류 제출 필수
• 브라우저 주소창에 회사명(녹색 주소창) 표시(지원 브라우저 한정)
4) 멀티도메인(SAN) / 와일드카드(*) 인증서
• 여러 도메인 또는 서브도메인 지원

Q3. 무료 SSL과 유료 SSL의 차이는 무엇인가요?
A3.
- 무료 SSL(대표: Let’s Encrypt)
• DV만 지원, 유효 기간 90일(자동 갱신 가능)
• 발급·설치 자동화 도구(certbot 등) 제공
- 유료 SSL
• DV/OV/EV 선택 가능, 기간 1~2년 지원
• 보증금(워런티) 및 프리미엄 고객지원, 보험 커버리지 제공
• 멀티도메인·와일드카드 옵션 다양

Q4. SSL 인증서 발급 절차는 어떻게 되나요?
A4.
1) CSR(Certificate Signing Request) 생성
• 서버에서 OpenSSL, IIS, Java keytool 등 도구로 키 쌍(개인키+CSR) 생성
• CSR에 도메인명(Common Name), 조직 정보 기재
2) 인증기관(CA) 선택 및 신청
• Let’s Encrypt, DigiCert, Sectigo, GlobalSign 등에서 종류·가격 비교
• CA 웹사이트에서 CSR 업로드 및 신청 폼 작성
3) 도메인 소유권 검증
• 이메일 확인, DNS 레코드 추가, HTTP 파일 업로드 방식 중 선택
• 검증 완료 시 발급 절차 진행
4) 인증서 파일 수령
• .crt/.pem/.pfx 등 형식으로 제공 • 중간(CA) 체인 인증서 포함 여부 확인
5) 웹서버에 설치 및 설정
• Apache, Nginx, IIS, Tomcat 등 서버별 가이드에 따라 키·인증서 등록
• 포트(443) 열기 및 가상호스트 또는 리스너 설정
6) 적용 확인
• 브라우저에서 https 접속 테스트
• SSL Labs(ssltest) 등 도구로 체인·프로토콜·취약점 점검

Q5. CSR 생성 예시(OpenSSL 기준)는 어떻게 되나요?
A5.
1) 개인키 생성
openssl genrsa -out domain.key 2048
2) CSR 생성
openssl req -new -key domain.key -out domain.csr
• 요청 시 Common Name(domain.com), 조직명, 국가 등 입력
3) 생성된 domain.csr 파일을 CA에 제출

Q6. Let’s Encrypt를 이용한 자동 발급·갱신 방법은?
A6.
1) Certbot 설치
• Linux 배포판용 패키지 또는 스냅(snap) 설치
2) 명령 실행
• Apache: certbot --apache
• Nginx: certbot --nginx
3) 안내에 따라 도메인 입력, 이메일 등록, 이용약관 동의
4) 자동 설정 완료 후 90일마다 certbot renew로 갱신
5) 크론탭에 renew 명령 등록해 무중단 갱신 가능

Q7. 발급 후 주의사항은 무엇인가요?
A7.
- 개인키(domain.key) 절대 유출 금지
- 인증서 만료일 30일 전부터 갱신 준비
- 중간 인증서(CA Bundle) 누락 시 신뢰 경로 오류 발생
- 서버 프로토콜(TLS 버전) 및 암호화 설정 정기 점검
- HTTP → HTTPS 리디렉션 및 HSTS 헤더 적용 검토

Q8. 발급 비용 및 비교 포인트는?
A8.
- DV 인증서: 무료 ~ 수십만 원/년
- OV 인증서: 수십만 원 ~ 백만 원/년
- EV 인증서: 백만 원 이상/년
- 주요 비교 요소: 보증금(워런티), 고객지원, 제공되는 관리 툴, 멀티도메인 지원 여부

— 끝 —

SSL 인증서를 발급받아 웹서버에 적용하려면 크게 다음과 같은 단계를 거치게 됩니다.

아래 과정을 참고해 차례대로 진행해 보세요.

1. 인증서 종류 및 필요 요건 파악 먼저 웹사이트 특성에 따라 어떤 종류의 SSL/TLS 인증서가 필요한지 결정합니다.

- 도메인 인증(DV, Domain Validation): 가장 간단하고 빠르게 발급되며, 개인 블로그나 소규모 사이트에 적합합니다.

- 조직 인증(OV, Organization Validation): 회사나 기관의 실존 확인 절차를 거쳐 발급되며, 중소기업·기관 사이트에 어울립니다.

- 확장 검증(EV, Extended Validation): 까다로운 신원 확인 과정을 거쳐 브라우저 주소창에 회사 이름이 녹색으로 표시됩니다.

금융기관이나 전자상거래 사이트 등 신뢰도를 극대화해야 할 때 사용합니다.



2. 인증 기관(CA) 선택 무료 인증서를 원한다면 Let's Encrypt, ZeroSSL 같은 ACME 프로토콜 기반의 서비스를 고려할 수 있습니다.

발급·갱신이 자동화되어 편리하지만 발급 주기가 보통 90일로 짧습니다.

유료 인증서를 원한다면 Comodo(현재 Sectigo), DigiCert, GlobalSign, Entrust 등 글로벌 CA나 국내 KISA 지정 상용 CA를 선택할 수 있습니다.

보증 한도, 고객지원, 추가 서비스(와일드카드·멀티도메인 지원 등) 등을 비교해서 결정하세요.



3. 개인키(private key) 및 CSR(Certificate Signing Request) 생성 서버에서 OpenSSL, keytool(Java), 또는 윈도우 IIS 관리 도구 등을 이용해 개인키와 CSR을 동시에 생성합니다.

예를 들어 OpenSSL 기반의 CSR 생성 명령은 다음과 같습니다.

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr 이때 입력하는 정보(Common Name, Organization, Country 등)가 발급 정보에 그대로 반영되므로 정확히 기재해야 합니다.



4. CA에 CSR 제출 및 결제(유료의 경우) 선택한 CA 웹사이트에 접속해 계정을 만들고, CSR 파일을 업로드하거나 텍스트 내용을 붙여 넣습니다.

유료 인증서라면 이 단계에서 결제를 진행합니다.

무료 인증서(Let’s Encrypt 등)는 별도 결제 없이 CSR 확인 절차만 거칩니다.



5. 도메인·신원 검증 CA가 제시하는 검증 방식에 따라 다음 중 하나를 선택해 도메인 소유권 또는 조직 실재 여부를 인증합니다.

- 이메일 검증: 도메인 WHOIS에 등록된 관리자 이메일로 발송된 링크를 클릭. - HTTP 파일 검증: CA가 지정한 파일을 웹사이트 특정 경로(예: /.well-known/acme-challenge/)에 업로드. - DNS 레코드 검증: 특정 DNS TXT 레코드를 도메인 설정에 추가. EV/OV의 경우 추가로 사업자등록증, 등기부 등 공적서류를 제출해야 하며, 검증 기간이 수일에서 길게는 수주가 소요될 수도 있습니다.



6. 인증서 발급 및 다운로드 검증이 완료되면 CA는 서버 인증서(PEM, CRT 등 형식)를 발급합니다.

일부 CA는 중간 인증서(Intermediate Certificate)와 루트 인증서를 함께 제공하므로, 이를 빠뜨리지 않고 다운로드해야 합니다.



7. 웹서버에 인증서 설치 및 설정 발급받은 서버 인증서와 개인키, 중간 인증서를 하나의 체인 파일로 묶거나 웹서버 설정에 따로 지정합니다.

- Apache: SSLCertificateFile(서버 인증서), SSLCertificateKeyFile(개인키), SSLCertificateChainFile(중간 인증서) 지시자를 사용해 설정 - Nginx: ssl_certificate(서버+중간 인증서 합본), ssl_certificate_key(개인키) 지시자 사용 설치 후에는 웹서버를 다시 로드(reload) 또는 재시작(restart)합니다.



8. 설정 정상 동작 여부 확인 브라우저로 접속해 주소창의 자물쇠 아이콘이 제대로 표시되는지 확인하고, SSL Labs(https://www.ssllabs.com/ssltest/) 같은 외부 도구로 테스트해 프로토콜, 암호화 스위트, 인증서 체인 오류 등을 점검합니다.



9. 갱신(리뉴얼) 및 자동화 인증서는 유효기간이 있기 때문에(무료 90일, 유료 보통 1~2년) 만료 전에 미리 갱신해야 합니다.

- Let’s Encrypt: Certbot, acme.sh 등 ACME 클라이언트를 이용해 자동 갱신 스크립트를 주기적(cron/스케줄러)으로 실행 - 유료 인증서: 만료 30일 전 CA로부터 갱신 안내 메일이 오며, CSR 제출 및 결제 과정을 반복해야 합니다.

이 과정을 차례대로 따라가면 웹서버에 필요한 SSL/TLS 인증서를 문제없이 발급받아 설치할 수 있습니다.

특히 운영 중인 서비스라면 인증서 만료로 인한 서비스 장애를 방지하기 위해 갱신 일정을 자동화하거나 적절히 관리하는 것이 중요합니다.