tls1 tls1.1 지원 종료에 따른 레거시 시스템 버전 업그레이드

사내 인사시스템(윈도우)이 구 버전의 apache(2.2) 와 weblogic(10.3.x) 으로 구성이 되어 있었다.

어느날 크롬으로 접속을 해보니,

크롬 버전 업데이트로 인해, tls1과 1.1 이 곧 지원 중단 예고를 선언하며

"연결의 보안이 완벽하지 않음"

"이 사이트를 로드하는 데 사용된 연결에는 TLS 1.0 또는 TLS 1.1이 사용되었으며, 이러한 TLS는 지원이 중단되어 향후 사용 중지될 예정입니다. 사용 중지된 후에는 사용자가 이 사이트를 로드할 수 없습니다. 서버에서 TLS 1.2 이상을 사용해야 합니다."

이라는 문구과 함께 경고페이지가 먼저 노출되었다.

보통 apache ssl 설정 파일에 다음과 같이 1.2 버전을 명시해 주면 되는데

SSLProtocol -all +TLSv1 + TLSv1.1 +TLSv1.2

기존 컴파일된 apache 의 경우, openssl 0.9 버전으로 tls 1.1 이상 설정이 지원되지 않았다. (옵션 적용 후 구동이 안 됨)

(1.0.0h까지 Openssl 버전은 SSLv2, SSLv3 및 TLSv1.0을 지원합니다. Openssl 1.0.1부터 TLSv1.1 및 TLSv1.2에 대한 지원이 추가되었습니다.)

아무래도 아래 사이트에서 제공하는 것 처럼

msi 파일로 설치할 경우 openssl 버전이 상당히 낮아서 발생한 문제 같았다. ㅠㅠ

따라서, 컴파일 했을 때, openssl 버전이 낮을 경우는, 상위 버전으로 다시 컴파일을 해야 한다.

apache 경우 찾아보니, 페이지에서 openssl 상위 버전으로 제공하는 2.2 버전의 apache가 있었다

apache 버전을 올리고 싶었으나, weblogic 과 연동되는 모듈의 호환성과

weblogic 버전의 이슈로 그러지는 못하고..

위 사이트에서 다운 받은 뒤, weblogic 연동 모듈만 moudle 디렉터리에 옮기고

설정 파일을 복사 한 뒤

cmd 창에서 apache bin 경로로 들어가 아래와 같이 인스톨 해주면 된다.

httpd.exe -k install -n "new_apache2.2"

근데 이번에는 msvcr100.dll 파일을 찾을 수 없다는 에러가 발생하였고

이것은 아래 페이지에서 파일을 다운받아 설치하였더니 해결 되었다.

(프로그램 32bit 의 경우는 아래 파일, 64bit 일 경우 다른 파일 받아서 설치하기)

이후, TLSv1.2 옵션을 줘도 문제가 없이 구동 되었고

확인은 다음과 같은 명령어로 할 수 있다.

openssl s_client -connect 서버IP:443 -tls1_2

* 만약 지원하지 않을 경우, 아래와 같은 문구가 뜰 것임.

Secure Renegotiation IS NOT supported

아래 사이트에 의하면

곧 모든 브라우저에서 2020년 중으로 tls1, 1.1 버전의 지원을 종료 한다고 하니

관련하여 웹 서버의 설정을 점검해 보는게 좋겠다

WHEREIS