인증서 갱신했는데 ERR_CERT_AUTHORITY_INVALID 오류가 발생 했을 때

Let's encrypt 인증서를 사용하고 있다. 90일 마다 갱신해야 하는 불편함은 있지만 무료다. 기한이 돼서 인증서를 갱신하고 아파치 설정을 수정 한 게 있어서 데몬을 재실행 했는데 갑자기 모든 브라우저에서 인증서 오류가 생긴다.

 

"연결이 비공개로 설정되어 있지 않습니다."

NET:ERR_CERT_AUTHORITY_INVALID

 

 

■ 셋톱박스, Wi-Fi 공유기 초기화

며칠 동안 정말 별별 짓을 다 해 봤다. 그래도 오류를 고치지 못했다. 공유기, 셋톱박스 전원도 뽑아 봐도 같은 현상이다. 그러다 혹시나 하고 스마트폰 데이터로 접속해 보니 잘 된다. PC에서 크롬 VPN을 설치해 접속해 보니 된다. 혹시 공유기가 전원만 뽑는다고 초기화 되지 않을 수 있다는 생각이 들었다. 혹시나 하고 공유기 리셋버튼을 이용해 초기화 했다. 이렇게 간단히 해결 되는 걸 PC만 붙잡고 있었다.

 

 

공유기를 초기화 했기 때문에 암호 설정을 다시 해야 한다.

https://zibsin.tistory.com/351

무선 공유기 바이러스 걸렸다면 초기화(Reset)하고 업그레이드 하자

 

 

 

↓아래 부분은 그동안 삽질했던 것 중에 몇 개 확인하는 차원에서 기록용

 

옛날 캐시가 브라우저에 남아 있나 해서 지난 임시 파일 삭제도 해보고 크롬에서 HSTS(HTTP Strict Transport Security)도 삭제 해 봤다.

크롬에서 주소창에

chrome://net-internals/#hsts

로 접속하면 설정 페이지가 열리는데 "Delete domain security policies"에서 해당 도메인 주소를 넣고 Delete 버튼을 클릭하면 된다. 

 

그런데 사실 이런 방법으로 해결하지 못했다. 윈도우에서 루트 인증서 수동 설치도 해봤다.

윈도에서 "certmgr.msc"을 이용해 

ISRG Root X1 루트 인증서를 받는 게 일반적이라고 한다. 아래 링크에서 인증서를 받을 수 있다.

공식 루트 인증서 다운로드 링크: https://letsencrypt.org/certs/isrgrootx1.pem

만약 윈도우에 openssl이 설치되 있지 않으면 다운받은 .pem파일을 .crt(.der)로 변환할 때 다음 링크에서 변환 할 수 있다. http://ttps://www.sslshopper.com/ssl-converter.html

이런 방법으로 "신뢰할 수 있는 루트 인증 기관"에 수동으로 인증서를 등록했지만 그때 뿐이다. 컴퓨터를 재실행 하면 계속 같은 오류가 뜬다.

 

 

■서버 점검

conf/http-vhosts.conf

 

<VirtualHost *:80>
    ServerName mydomain.com
    ServerAlias http://www.mydomain.com

 

    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

 보안되지 않은 80번 포트에서 RewriteEngine On, RewriteCon 설정을 확인 해 본다.

 

conf.d/httpd-sss.conf

 

ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;

 

보안서버 설정에서 fullchanin.pem 때신 .cert.pem을 사용했는지 확인해 본다.

 

#openssl s_client -connect mydomain.com:443 -showcerts

만약 이 명령을 내렸을 때 -----BEGIN CERTIFICATE-----로 시작하는 인증서 두 개 이상이 보이지 않으면 인증서 오류 일 수 있다. 이럴 땐 재발급 받고 처음부터 다시 하는 게 정신건강에 이롭다.