Spring framework 및 Tomcat 에서 SSL 인증서 자동 리다이렉트(HTTP to HTTPS Redirect)

Spring framework 그리고 Tomcat을 통해서 웹 서비스를 제공하고 있다는 전제하에 포스팅을 진행하겠습니다.

스마트폰이 보급되고 인터넷이 활발해지고 웹 또한 사용자가 많이 늘어나면서 웹 보안에 대해 중요시하게 되었는데요. 이 때문에 요즘 웹 사이트에서 SSL 인증서가 붙지 않은 사이트는 최신 브라우저로 접속했을 때 무섭게 경고를 합니다.

 

 

SSL 인증서 없는 사이트를 크롬 브라우저에서 접속 시 나타나는 화면

 

그리고 데이터를 웹서버와 브라우저가 주고 받으면서 웹 서버쪽에 인증서가 붙어있는 경우 암호화된 데이터를 주고 받기 때문에 좀 더 안전하다고 할 수 있습니다. 이 글에서는 인증서를 붙이는 방법에 대해서 정리하지 않고 인증서를 붙인 후에 사용자(클라이언트)가 http 주소로 접속했을 때 자동으로 https로 접속되도록 하는 방법에 대해 정리해보려고 합니다.

 

 

브라우저가 인정하지 않는 인증서 표시

참고로 제대로 인증되지 않은 인증서를 붙인 경우 예를 들어, 자체적으로 생산한 인증서를 서버에 적용하면 위의 이미지와 같이 브라우저에서 URI가 출력되는 부분에 주의가 필요하다고 표시가 됩니다.

 

서버환경

Tomcat 9.0.52
Spring framework 4.3.20.RELEASE

 

 

작업

1. Tomcat server.xml 인증서 적용
2. web.xml 자동 리다이렉트 설정

 

1. Tomcat server.xml 인증서 적용

우선 tomcat 서버의 conf 디렉토리 위치에 적용할 인증서 파일을 업로드 해줍니다. 여기서는 jks파일을 사용하였습니다.

 

인증서 파일 업로드

drwx------  3 apptm apptm   4096 10월 28 19:03 ./
drwxrwxr-x 10 apptm apptm   4096  9월  1 10:07 ../
drwxr-x---  6 apptm apptm   4096  8월 25 16:46 Catalina/
-rw-rw-r--  1 apptm apptm   6917  8월 25 17:01 인증서.jks
-rw-------  1 apptm apptm  13052  7월 31 13:12 catalina.policy
-rw-------  1 apptm apptm   7262  7월 31 13:12 catalina.properties
-rw-------  1 apptm apptm   1400  7월 31 13:12 context.xml
-rw-------  1 apptm apptm   1149  7월 31 13:12 jaspic-providers.xml
-rw-------  1 apptm apptm   2313  7월 31 13:12 jaspic-providers.xsd
-rw-------  1 apptm apptm   4144  7월 31 13:12 logging.properties
-rw-------  1 apptm apptm   9806 10월 27 14:36 server.xml
-rw-------  1 apptm apptm   2756  7월 31 13:12 tomcat-users.xml
-rw-------  1 apptm apptm   2558  7월 31 13:12 tomcat-users.xsd
-rw-------  1 apptm apptm 172359  7월 31 13:12 web.xml

인증서 이름은 어떤 이름이어도 상관없습니다. 사실 인증서 위치도 상관없습니다. server.xml에 설정을 잘 해주면 됩니다. 여기서는 설명을 위해서 파일이름을 인증서.jks로 업로드 했습니다.

 

 

server.xml 수정

설치된 톰캣 버전에는 SSL 설정하는 부분이 예시로 들어있고 주석처리가 되어 있습니다. 주석을 해제하고 알맞게 수정해줍니다.

    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443"/>
    <!-- A "Connector" using the shared thread pool-->
    <!--
    <Connector executor="tomcatThreadPool"
               port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />
    -->
    <!-- Define an SSL/TLS HTTP/1.1 Connector on port 8443
         This connector uses the NIO implementation. The default
         SSLImplementation will depend on the presence of the APR/native
         library and the useOpenSSL attribute of the
         AprLifecycleListener.
         Either JSSE or OpenSSL style configuration may be used regardless of
         the SSLImplementation selected. JSSE style configuration is used below.
    -->
    <Connector port="8443"
               protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150"
               SSLEnabled="true"
               defaultSSLHostConfigName="기본호스트명">

        <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />

        <SSLHostConfig hostName="호스트명">
            <Certificate certificateKeystoreFile="conf/인증서.jks"
                         certificateKeystorePassword="인증서비밀번호"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

인증서를 생성할 때 입력한 호스트명과 비밀번호 그리고 인증서 파일의 위치를 알맞은 위치에 넣어줍니다.

그러면 인증서 적용이 끝납니다! 만약 443포트 또는 8443포트(지정한포트)로 웹서버에 접속이 안된다면 방화벽 또는 iptable 설정 등 네트워크 설정을 확인해보시길 바랍니다.

 

2. web.xml 설정

Tomcat만 설정하고 마무리하는 경우에 사용자가 https 가 아닌 http 프로토콜로 접근하게 되면 인증서가 적용되지 않은체 사이트에 접근이 됩니다. 이런 현상을 방지하기 위해서 http 접속 시 자동으로 https로 리다이렉트 해주도록 web.xml을 수정해줍니다.

 

  ... 

  <security-constraint>
      <web-resource-collection>
          <web-resource-name>HTTPS or HTTP</web-resource-name>
          <url-pattern>/web/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
          <transport-guarantee>NONE</transport-guarantee>
      </user-data-constraint>
  </security-constraint>

  <security-constraint>
          <web-resource-collection>
                  <web-resource-name>SSL Forward</web-resource-name>
                  <url-pattern>/*</url-pattern>
          </web-resource-collection>
          <user-data-constraint>
                  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
          </user-data-constraint>
  </security-constraint>
</web-app>

위의 설정을 web-app 태그 안에 맨 아래에 넣어줍니다.

 

이렇게 Tomcat, Spring framework 기반 웹 서버 SSL 인증서 적용 방법을 정리해보았습니다.

부족한 글 찾아주셔서 감사합니다.

 

잘못된 부분이 있으면 지적해주시고 어떤 피드백도 감사하겠습니다.