curl: (35) SSL connect error tls1.2 사용 문제

오래된 centos6 버전에서 curl로 https에 접근할때  나오는 문제다.

nss버전을 확인한다. nss 1.19.1-6 이후 부터 대응한다고 한다.

 

버전이 낮다면 과감하게 실행한다.

#] yum install nss

 

SSL 보안서버 인증서 설치 확인 사이트

SSL 인증서를 적용하고 웹브라우저 상에서 https로 접근해서 사이트가 잘 뜨는것 까지 확인했는데.... 페이스북 디버거 페이지에서 접근하면 Curl Error : SSL_CACERT SSL certificate problem: unable to get local issuer certificate 문구가 뜨면서 페이스북에서 접근이 불가능하다.

아래 사이트에서 SSL 테스트가 가능하다.

1. https://www.ssllabs.com/ssltest/

2. https://www.sslshopper.com/ssl-checker.html

3. https://whatsmychaincert.com/

위 사이트에서 SSL설치시 체인에 문제가 있다는것을 발견하고 설치는 정상적으로 되었으나 웹방화벽에 SSL인증서 문제가 있어 재설치 요청으로 문제가 해결됨.

아파치 http 에서 https로 변경

SSL 적용으로 http로 유입되는 트레픽을 https로 자동변경 하는 방법

1.httpd-vhosts.conf 파일수정

/etc/httpd/conf.d/httpd-vhosts.conf 파일에 내용 추가

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

2. .htaccess 파일 수정 또는 추가

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

마지막 옵션은 검색엔진에 색인된 http로 유입되는 경우 https로 301리디렉션(페이지주소 영구이동) 후 L의 옵션에 의해 다음 라인의 명령어를 무시한다.

검색엔진에 의해 301리디렉션이 실행된 경우 색인된 URL을 수정한다. 시간이 지나면 자연스럽게 https로 주소가 수정된다.

혹 302로 변경한 경우(페이지 임시 이동) 페이지는 이동되지만 검색엔진의 경우 색인된 url을 변경하지 않는다.

[SSL 인증서 갱신] 기존 인증서가 적용되는 경우

SSL 인증서 만료일이 다가와 SSL 인증서를 갱신받아 설치 해도 예전 인증서가 노출되는 경우 확인 하는 방법


갱신된 인증서가 정상적으로 설치 되었는지 확인 하는 간단한 방법으로 테스트용 PHP파일을 생성하면 된다.

https://my.domain/test.php 으로 접근

<?php
print_r($_SERVER); 
?>

결과값 중(시작일과 만료일 확인)
[SSL_SERVER_V_START] => Oct 25 00:00:00 2019 GMT
[SSL_SERVER_V_END] => Jan 22 23:59:59 2022 GMT

브라우저에서 URL입력란의 자물쇠 모양 클릭해서 시작일과 만료일 확인.
브라우저에는 예전인증서가 확인되고, PHP로 확인한 결과 갱신한 인증서가 확인된 경우 웹방화벽이 운용중 이라면 웹방화벽에도 해당 인증서 설치를 요청하면 해결됨.