SSL Diagnostics 툴은,
해당 서버에 설치된 SSL의 정보 및 오류를 체크해 주는 툴이다. 체된 각 항목을 클릭 해보면 상세한 설명을 볼수 있다.
다운로드는 다음 페이지에서 가능하며, 현재는 1.0 버젼이다.
SSL Diagnostics Version 1.0 (x86)
인증서 설치 방법은 다음 웹페이지에 설명이 잘 되어 있으니 참고해 보시기 바랍니다.
http://www.comodossl.co.kr/SSL/InstallGuide.aspx
실행하자 마자, 다음과 같은 결과 값을 보여준다.
System time: Wed, 01 Mar 2006 08:34:19 GMT
ModuleFileName: C:\Program Files\IIS Resources\SSLDiag\SSLDiag.exe
OS: Windows 2003 Service Pack 1
IIS6 - World Wide Web Publishing (W3SVC) service is installed
[ HKLM\System\CurrentControlSet\Services\HTTPFilter ]
ImagePath = C:\WINDOWS\system32\lsass.exe
Parameters\CertChainCacheOnlyUrlRetrieval = True(default)
strmfilt.dll loaded into process 480 (lsass.exe)
strmfilt.dll loaded into process 2904 (w3wp.exe)
strmfilt.dll loaded into process 5424 (w3wp.exe)
strmfilt.dll loaded into process 1324 (w3wp.exe)
[ SChannel Info ]
ServerCacheEntries = 0
ServerActiveEntries = 0
ServerHandshakes = 2955
ServerReconnects = 12499
CacheSize = 10000
[ W3SVC/1 ]
ServerComment = 기본 웹 사이트
ServerAutoStart = True
ServerState = Server started
SecureBindings = :443:
#WARNING: SSL port (SecureBindings) set but certificate not installed
[ W3SVC/397007713 ]
ServerComment = www.serverinfo.pe.kr
ServerAutoStart = True
ServerState = Server started
ModuleFileName: C:\Program Files\IIS Resources\SSLDiag\SSLDiag.exe
OS: Windows 2003 Service Pack 1
IIS6 - World Wide Web Publishing (W3SVC) service is installed
[ HKLM\System\CurrentControlSet\Services\HTTPFilter ]
ImagePath = C:\WINDOWS\system32\lsass.exe
Parameters\CertChainCacheOnlyUrlRetrieval = True(default)
strmfilt.dll loaded into process 480 (lsass.exe)
strmfilt.dll loaded into process 2904 (w3wp.exe)
strmfilt.dll loaded into process 5424 (w3wp.exe)
strmfilt.dll loaded into process 1324 (w3wp.exe)
[ SChannel Info ]
ServerCacheEntries = 0
ServerActiveEntries = 0
ServerHandshakes = 2955
ServerReconnects = 12499
CacheSize = 10000
[ W3SVC/1 ]
ServerComment = 기본 웹 사이트
ServerAutoStart = True
ServerState = Server started
SecureBindings = :443:
#WARNING: SSL port (SecureBindings) set but certificate not installed
[ W3SVC/397007713 ]
ServerComment = www.serverinfo.pe.kr
ServerAutoStart = True
ServerState = Server started
#WARNING: 부분의 경우 IIS6 이 설치된 경우는 기본값으로 443이 되어 있으므로, port 는 설정되어 있으나 인증서가 없다는 것이다.
다음은, 실제 comodossl.co.kr 웹에 설치된 인증서 정보이다. 오류가 있었다면, 해당 항목에 대해서 오류를 출력했을 것이다.
[ W3SVC/1947921215 ]
ServerComment = www.comodossl.co.kr
ServerAutoStart = True
ServerState = Server started
#Could not impersonate server account
SSLCertHash = e3 29 5a a3 50 e4 59 7a 4d 12 c0 07 23 bf 74 9f b3 89 f2 fa
SSLStoreName = MY
#CertName = comodossl.co.kr
#You have a private key that corresponds to this certificate
#ContainerName='{AF323E1A-5520-4A31-B965-7637722FA90E}'
#ProvName='Microsoft RSA SChannel Cryptographic Provider' ProvType=PROV_RSA_SCHANNEL KeySpec=AT_KEYEXCHANGE
#Subject: C=KR, PostalCode=122543, S=Seoul, L=Secho, STREET=1422-6 Seocho-Dong, O=Hanbiro, OU=HanbiroSoft, OU="Hosted by Hanbiro Co., Inc.", OU=InstantSSL, CN=comodossl.co.kr
#Issuer: C=GB, O=Comodo Limited, OU=Comodo Trust Network, OU=Terms and Conditions of use: http://www.comodo.net/repository, OU=(c)2002 Comodo Limited, CN=Comodo Class 3 Security Services CA
#Validity: From 2005-10-19 오전 9:00:00 To 2008-10-19 오전 8:59:59
SecureBindings = :443:
ServerComment = www.comodossl.co.kr
ServerAutoStart = True
ServerState = Server started
#Could not impersonate server account
SSLCertHash = e3 29 5a a3 50 e4 59 7a 4d 12 c0 07 23 bf 74 9f b3 89 f2 fa
SSLStoreName = MY
#CertName = comodossl.co.kr
#You have a private key that corresponds to this certificate
#ContainerName='{AF323E1A-5520-4A31-B965-7637722FA90E}'
#ProvName='Microsoft RSA SChannel Cryptographic Provider' ProvType=PROV_RSA_SCHANNEL KeySpec=AT_KEYEXCHANGE
#Subject: C=KR, PostalCode=122543, S=Seoul, L=Secho, STREET=1422-6 Seocho-Dong, O=Hanbiro, OU=HanbiroSoft, OU="Hosted by Hanbiro Co., Inc.", OU=InstantSSL, CN=comodossl.co.kr
#Issuer: C=GB, O=Comodo Limited, OU=Comodo Trust Network, OU=Terms and Conditions of use: http://www.comodo.net/repository, OU=(c)2002 Comodo Limited, CN=Comodo Class 3 Security Services CA
#Validity: From 2005-10-19 오전 9:00:00 To 2008-10-19 오전 8:59:59
SecureBindings = :443:
관련된 내용으로, IIS5 와 IIS6에서의 SSL 처리 부분이 약간 변경된 부분이 있다.
IIS5의 경우 다음 그림처럼, sspifilt.dll 가 인증서를 처리하게 된다. 전역설정의 ISAPI 필터 형태로 로드가 되며, SSL을 통한 요청시 위 ISAPI 필터가 처리를 해주게 된다. 해당 모듈을 로드하는 프로세스도 웹프로세스가 로드하게 된다.
IIS6에서는 IIS5에서의 ISAPI 필터 형태가 아니라, 별도의 "HTTP SSL" 서비스를 통해서 호스팅하게 된다. HTTP SSL은 윈도우인증 프로세스인 "LSASS.exe" 에서 처리하 된다. 이 서비스는 HTTP.sys 커널 드라이버와 통신하게 된다.
위 결과 값중 다음 부분에서 확인할수 있다. 기본값으로 480 프로세스 에서 로드했으며, 웹 작업자 프로세스 3개에서 각 로드를 한 것이다.
[ HKLM\System\CurrentControlSet\Services\HTTPFilter ]
ImagePath = C:\WINDOWS\system32\lsass.exe
Parameters\CertChainCacheOnlyUrlRetrieval = True(default)
strmfilt.dll loaded into process 480 (lsass.exe)
strmfilt.dll loaded into process 2904 (w3wp.exe)
strmfilt.dll loaded into process 5424 (w3wp.exe)
strmfilt.dll loaded into process 1324 (w3wp.exe)
ImagePath = C:\WINDOWS\system32\lsass.exe
Parameters\CertChainCacheOnlyUrlRetrieval = True(default)
strmfilt.dll loaded into process 480 (lsass.exe)
strmfilt.dll loaded into process 2904 (w3wp.exe)
strmfilt.dll loaded into process 5424 (w3wp.exe)
strmfilt.dll loaded into process 1324 (w3wp.exe)
HTTP SSL 서비스는 HTTP 및 IISAdmin 서비스에 종속적이며, WWW 서비스가 HTTP SSL에 종속적이다.
01-iis5-ssl.gif
01-iis6-httpssl.gif
댓글 없음:
댓글 쓰기