특정 PC에서만 Root CA 인증서 문제 있다고 뜰 때 해결책?

문제 상황

ssl ca certificate error

윈도우 10이 설치된 노트북 컴퓨터에서만 발급자가 Let’s Encrypt 인 SSL 인증서 적용된 사이트에 접속하려고 하면 인증서 경고가 뜨는 문제가 있었습니다.

신뢰된 인증 기관에서 이 인증서를 검증할 수 없습니다.

근데 문제가 골때리는 게 …

  1. 다른 기기, 다른 PC 에서는 안전하다고 표시되는 사이트인데, 오직 내 랩탑 컴퓨터에서만 안전하지 않음 경고가 뜬다.
  2. 내 랩탑 컴퓨터에서는 크롬/IE 브라우저 상관없이 해당 사이트에 대해 안전하지 않음 경고가 뜬다.
  3. 모든 SSL 적용된 사이트에서 경고가 뜨는 것도 아니고, 오직 Let’s Encrypt 인증서 적용한 블로그, 사이트에서만 문제가 발생한다. 내 블로그, 다른 사람 소유의 사이트 똑같이 문제가 발생하고, 모두 인증서는 만료되지 않고 정상 적용된 것들이다.

라는 거였죠.

문제는 CA 루트 인증서

에러 팝업을 자세히 보니, 인증 경로 탭에서 … 말단의 인증서 자체는 문제가 없었고,

문제는 상위의 루트 인증서(DST Root CA X3 Certificate)였습니다. “CA 루트 인증서가 신뢰할 수 있는 루트 인증 기관 저장소에 있지 않으므로 신뢰할 수 없다”는 게 요지이군요.

DST Root CA X3 certificate error

문제 이해 + 루트 인증서 설치 파일 구하기

구글링 + 커뮤니티에 물어보니까,

  1. 루트 인증서가 있어야 할 경로에 없거나 손상되었다.
  2. 시스템의 시간/날짜가 간혹 틀려서 윈도우 업데이트가 제대로 안 되어 있을 수 있으니 시스템 시간이 정확한지 확인 후, 윈도우를 최신 빌드까지 업데이트 완료하라.
  3. 그래도 안 되면 수동으로 루트 인증서를 설치하라.

위에서 2번은 완료했지만, 3번이 어려웠어요. 사실 윈도우 업데이트를 정상적으로 하면 아무 문제 없어야 하는데 … 1) 루트 인증서를 그래서 어떻게 구하란 말이지? 2) 구한 뒤에 어디에 설치하지? 의 문제가 남더군요.

1) 루트 인증서 구하는 건 실제 루트 인증서 환경설정이 포함된 윈도우 업데이트 빌드를 빌드 번호로 찾아서 시스템 환경에 맞게 재설치하라.. 는 조언도 있고, 아니면 인증서만 뽑아서 적용해주는 유틸을 이용해라.. 그런 말도 있었지만…

https://www.identrust.com/support/downloads

클리앙에서 어떤 분이 댓글로 가르쳐주셨는데 위 사이트 가니까 그냥 있더라고요. 제가 문제 있었던 게 “DST Root CA X3 certificate”인데 위 페이지 맨 아래에 보면 TrustID X3 항목 아래에 루트 인증서를 설치파일(.exe)로 배포합니다.

루트 인증서 설치(적용)하기

해당 파일을 받아 마우스 우클릭 – 인증서 설치하면 문제가 원래 해결되어야 하는데, 여기서 또 좌절. 자동 위치 인식으로 설치했지만 여전히 에러 뿜뿜~.

수동 위치 지정으로 신뢰할 수 있는 기관 항목 아래에 넣어보려고 했지만, 잘 안 됨. 그러다가, 브라우저의 환경 설정에서 역으로 불러오면 되지 않을까 해서 해보았습니다.

크롬 설정 > 고급설정 > 인증서 관리 메뉴로 가세요.

‘신뢰할 수 있는 루트 인증 기관’ 탭을 선택하고, 가져오기 버튼을 클릭합니다. 인증서 가져오기 마법사가 실행되고, 찾아보기 버튼으로 아까 다운받은 인증서 파일을 찾아 불러오세요. 확장자를 모두(.)로 변경하시면 보일 겁니다.

이후 이전에 안전하지 않다고 표시되었던 사이트에 다시 접속해봅시다! 후후! IE 의 환경설정에서 같은 작업을 반복할 필요는 없습니다. 즉시 적용되지 않아서 이상하면 브라우저의 임시 파일을 삭제하거나, 재부팅해보세요.

(2018년 7월)

댓글 남기기