dateno1 2023-03

혹시 메일 서버쪽의 인증서에 구 ISRG Root X1 인증서가 남아있다면 (Certbot같은걸로 갱신한 인증서가 총 3블럭이면 아마 마지막이 그거일테니 확인해보세요) 해당 부분을 제거하거나, ISRG Root X1 (Self Signed)로 교체해주세요

혹시 접속하는 클라가 업데이트한지 오래된 OS라 Root CA 갱신이 안 된 상태라 ISRG Root X1 (Self Signed)가 안 들어있는 상태라면 추가해주세요 (또한 가능하다면 DST Root CA X3를 삭제해버리는걸 추천합니다)

필요한 ISRG Root X1 (Self Signed)는 Let's Encrypt CA 다운받는 페이지에 있으니 가서 받아서 쓰시면 됩니다

만기된 DST Root CA X3로 사인된 인증서가 체인에 포함되어져있거나, 새로운 ISRG Root X1가 없는 상태면 저런식의 에러 띄울 수 있습니다

물른 다른게 원인일 가능성도 있지만, 서버 접속해서 인증서 확인하는정돈 10분이면 끝나는 문제니 손쉬운것부터 확인해보시는걸 추천합니다

민사장 2023-03

그 ISRG Root X1 라는 파일이 어떤 파일인지를 모르겠네요 통상적으로 주어지는 파일명 같은 것이 있다면 알려주시면 고맙겠습니다.
삭제는 어떻게 하면 되는 것인지 파일만 삭제하면 되는 것인지, 어디서 환경 설정을 고치면 되는 것인지...
답변은 고맙지만 작성하신 글만 보고서는 뭘 어떻게 해야할지 하나도 모르겠네요...

아니면 저에게 어느경로에서 뭘 확인해달라 이렇게 말씀하시면 해서 붙여드리겠습니다.

dateno1 2023-03

파일이 아니라 시스템의 Root CA 목록에 있는 항목명입니다

현시점에서 Let's Encrypt의 인증이 정상적으로 이루어질려면
Root CA or 인증서의 CA에 있는 ISRG Root X1 (Self Signed) -> R3 -> 개별 인증서
순으로 인증서가 처리되어야 합니다

결국 인증서에 R3랑 사이트용 인증서가 들어있을테니 최상위 인증서를 인증서랑 추가적으로 같이 전송해서 제공하던지 클라이언트가 가지고 있어야 정상적인 인증서로 인식할껍니다

안 된다고 뜨는 이유는 이게 없던지 만기된 구 DST Root CA X3가 내장되어서 이게 호출되던지 해서 문제가 있다고 인식해서 그런겁니다

Dreaday 2023-03

상위 인증키가 없거나 기간 만료로 그래서 ,

인증서 생성시  fullchain 으로 만들어주세요 .

letsencrypt 면  fullchain.pem 이라고 있을거에요 그걸로 쓰시면됩니다 .

민사장 2023-03

인증서를 생성하면 기본적으로 4가지 암호파일이 만들어집니다.
cert.pem,  privkey.pem, chain.pem, fullchain.pem
여기서 fullchain.pem 은 cert.pem + chain.pem 합친 것이죠.

구체적으로 뭘 어떻게 바꿔야 하는지 몰라서 질문을 드린것이고요
그렇다면 위에서 ssl_cert → cert.pem 대신에 ssl_cert → fullchain.pem 으로 바꿔볼까요 ?

민사장 2023-03

위에서 ssl_cert → cert.pem 대신에 ssl_cert → fullchain.pem 으로 바꿔서 해결했습니다.

빈경윤 2023-03

오류 원인은 앞서 두분이 알려주신것처럼, 사용중인 모바일 기기에 최신 Root CA 누락인 것 같고요.

조치 방법은 이미 아시는 것처럼 fullchain 인증서 사용인데...

ssl_cert 에 fullchain 을 바로 적용하는 형태가 가장 무난하고, ssl_ca 생략하거나 fullchain 사용하면 별다른 이슈가 없었던 것 같네요.

Dreaday 2023-03

fullchain이 필요한 경우는요 ,

내부 네트워크로 인해  방화벽이 뚫리지 않아 외부에서 RootCA를 조회할 수 없는 경우에  상대측 검증 단계에서 실패가 발생해서 입니다 .

그래서 보통은 Fullchain 
도메인 인증서  (cert.pem 과 RootCA 가 포함된  chain  이 결합된 fullchain을 사용합니다. ) - 중복 검증 방지