Microsoft MVP성태의 닷넷 이야기
닷넷: 2162. ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법 [링크 복사], [링크+제목 복사]
조회: 1675
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법

HTTPS 통신을 설정하는 방법은 1) (지난 글의 예제에서 설명한 것처럼) appsettings.json로 처리하는 것 외에도 2) 코드로 작성하는 것이 가능합니다.

이번 글에서는 바로 코드로 작성하는 경우도 테스트를 해볼 텐데요, 간단하게 지난 예제 코드로부터 appsettings.json 파일에 설정했던 Kestrel 노드를 제거(즉, 원래의 기본값으로 원복)하고,

{
    "Logging": {
        "LogLevel": {
            "Default": "Information",
            "Microsoft.AspNetCore": "Warning"
        }
    },
    "AllowedHosts": "*"
}

코드에 다음과 같이 추가한 후,

var builder = WebApplication.CreateBuilder(args);

var certPem = File.ReadAllText(@"test_site_cert.crt");
var keyPem = File.ReadAllText(@"test_site_cert.key");

var x509cert = X509Certificate2.CreateFromPem(certPem, keyPem);

builder.WebHost.ConfigureKestrel(options =>
{
    options.Listen(IPAddress.Any, 5000);
    options.Listen(IPAddress.Any, 7252, listenOptions =>
    {
        listenOptions.UseHttps(x509cert);
    });
});

F5 키를 눌러 디버깅을 시작하면 웹 브라우저가 뜨면서 "https://localhost:7252" 페이지를 방문하지만, 이상하게도 ERR_CONNECTION_CLOSED 오류가 발생합니다.

netstat로 확인하면 분명히 바인딩은 "Any"로 되어 있고,

c:\temp> netstat -ano | findstr 7252
  TCP    0.0.0.0:7252           0.0.0.0:0              LISTENING       45768

콘솔 출력 화면에도,

warn: Microsoft.AspNetCore.Server.Kestrel[0]
      Overriding address(es) 'https://localhost:7252, http://localhost:5001'. Binding to endpoints defined via IConfiguration and/or UseKestrel() instead.
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: http://0.0.0.0:5000
info: Microsoft.Hosting.Lifetime[14]
      Now listening on: https://0.0.0.0:7252
info: Microsoft.Hosting.Lifetime[0]
      Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
      Hosting environment: Development
info: Microsoft.Hosting.Lifetime[0]
      Content root path: C:\temp\WebApplication1\WebApplication1

별다른 오류가 없습니다. 도대체 왜 이런 것일까요? ^^;




검색해 보면,

PEM Loading in .NET Core and .NET 5
; https://www.scottbrady91.com/c-sharp/pem-loading-in-dotnet-core-and-dotnet

Pem Loading in .NET Core and .NET 5/ScottBrady.Pem.Kestrel/Program.cs
; https://github.com/scottbrady91/samples/blob/master/Pem%20Loading%20in%20.NET%20Core%20and%20.NET%205/ScottBrady.Pem.Kestrel/Program.cs

윈도우 환경의 경우,

If you're not on Windows, you can do this by loading in the X509 certificate like above and passing it directly to Kestrel; however, at the time of writing, try to do that in Windows, and you'll get an exception from SslStream:


이런 오류가 발생한다고 합니다.

System.ComponentModel.Win32Exception (0x8009030E): No credentials are available in the security package

실제로, Visual Studio의 Output에 보면 여러 개의 예외가 발생한 것을 볼 수 있습니다.

Microsoft.Hosting.Lifetime: Information: Now listening on: http://0.0.0.0:5000
Microsoft.Hosting.Lifetime: Information: Now listening on: https://0.0.0.0:7252
Microsoft.Hosting.Lifetime: Information: Application started. Press Ctrl+C to shut down.
Microsoft.Hosting.Lifetime: Information: Hosting environment: Development
Microsoft.Hosting.Lifetime: Information: Content root path: C:\temp\WebApplication1\WebApplication1
Exception thrown: 'System.IO.IOException' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.ComponentModel.Win32Exception' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.Security.Authentication.AuthenticationException' in System.Net.Security.dll
...[생략]...

해당 오류의 상세 내용을 보면,

// 이 오류는, (이후에 설명할) pfx 인증서로 처리해도 발생하는 걸로 봐서 크게 상관이 없는 듯합니다.
System.IO.IOException
  HResult=0x80131620
  Message= Received an unexpected EOF or 0 bytes from the transport stream.
  Source=System.Net.Security
  StackTrace:
   at System.Net.Security.SslStream.<ReceiveBlobAsync>d__147`1.MoveNext() in /_/src/libraries/System.Net.Security/src/System/Net/Security/SslStream.IO.cs:line 370

System.ComponentModel.Win32Exception
  HResult=0x80004005
  Message=No credentials are available in the security package
  Source=System.Net.Security
  StackTrace:
   at System.Net.SSPIWrapper.AcquireCredentialsHandle(ISSPIInterface secModule, String package, CredentialUse intent, SCH_CREDENTIALS* scc) in /_/src/libraries/Common/src/Interop/Windows/SspiCli/SSPIWrapper.cs:line 138

"PEM Loading in .NET Core and .NET 5" 글에서 설명한 바로 그 오류인 듯합니다.

그런데, 위의 오류는 .NET 7 이하에서 실행할 때만 발생하고 .NET 8부터는 예외가 없습니다. 하지만, 그런데도 윈도우 환경에서는 저 코드가 동작하지 않습니다.

재미있는 건, 저렇게 PEM 형식의 인증서는 안 되지만, 대신 PFX는 윈도우 환경에서 잘 동작하는데요, openssl로 생성한 crt, key 파일로부터 pfx를 생성 후,

c:\temp> openssl pkcs12 -export -out test_site_cert.pfx -inkey test_site_cert.key -in test_site_cert.crt
Enter Export Password:
Verifying - Enter Export Password:

// 비밀번호는 testtest로 가정

이렇게 로딩해 사용하면,

builder.WebHost.ConfigureKestrel(options =>
{
    options.ListenAnyIP(7252, listenOptions =>
    {
        listenOptions.UseHttps("test_site_cert.pfx", "testtest");
    });
});

이후 윈도우에서 HTTPS 접속이 잘됩니다.




혹시, 리눅스 환경은 어떨까요? 테스트를 위해 리눅스 버전으로 배포하고,

dotnet publish --os linux --arch x64 -c Release -o c:\temp\testapp

(쉽게 테스트할 수 있는) WSL 환경에서 실행하면,

$ cd /mnt/c/temp/testapp

$ dotnet WebApplication1.dll

코드를 이용해 설정한 PEM과 PFX 버전 모두 잘 동작하고, 이전 글의 appsettings.json 방법도 문제가 없습니다.

정리해 보면, appsettings.json에 설정한다면 PEM 형식도 괜찮지만, 코드로 할 거면 pfx로 처리하는 것이 좋다는!!! ^^





[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 11/16/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13561정성태2/20/2024207닷넷: 2218. C# - (예를 들어, Socket) 비동기 I/O에 대한 await 호출 시 CancellationToken을 이용한 취소파일 다운로드1
13560정성태2/19/2024372디버깅 기술: 195. windbg 분석 사례 - Semaphore 잠금으로 인한 Hang 현상 (닷넷)
13559정성태2/19/2024454오류 유형: 895. ASP.NET - System.Security.SecurityException: 'Requested registry access is not allowed.'
13558정성태2/18/2024615닷넷: 2217. C# - 최댓값이 1인 SemaphoreSlim 보다 Mutex 또는 lock(obj)를 선택하는 것이 나은 이유
13557정성태2/18/2024332Windows: 258. Task Scheduler의 Author 속성 값을 변경하는 방법
13556정성태2/17/2024523Windows: 257. Windows - Symbolic (hard/soft) Link 및 Junction 차이점
13555정성태2/15/2024675닷넷: 2216. C# - SemaphoreSlim 사용 시 주의점
13554정성태2/15/2024502VS.NET IDE: 189. Visual Studio - 닷넷 소스코드 디컴파일 찾기가 안 될 때
13553정성태2/14/2024789닷넷: 2215. windbg - thin/fat lock 없이 동작하는 Monitor.Wait + Pulse
13552정성태2/13/2024874닷넷: 2214. windbg - Monitor.Enter의 thin lock과 fat lock
13551정성태2/12/20241092닷넷: 2213. ASP.NET/Core 웹 응용 프로그램 - 2차 스레드의 예외로 인한 비정상 종료
13550정성태2/11/20241137Windows: 256. C# - Server socket이 닫히면 Accept 시켰던 자식 소켓이 닫힐까요?
13549정성태2/3/20241404개발 환경 구성: 706. C# - 컨테이너에서 실행하기 위한 (소켓) 콘솔 프로젝트 구성
13548정성태2/1/20241241개발 환경 구성: 705. "Docker Desktop for Windows" - ASP.NET Core 응용 프로그램의 소켓 주소 바인딩(IPv4/IPv6 loopback, Any)
13547정성태1/31/20241101개발 환경 구성: 704. Visual Studio - .NET 8 프로젝트부터 dockerfile에 추가된 "USER app" 설정
13546정성태1/30/20241046Windows: 255. (디버거의 영향 등으로) 대상 프로세스가 멈추면 Socket KeepAlive로 연결이 끊길까요?
13545정성태1/30/2024973닷넷: 2212. ASP.NET Core - 우선순위에 따른 HTTP/HTTPS 호스트:포트 바인딩 방법
13544정성태1/30/20241009오류 유형: 894. Microsoft.Data.SqlClient - Could not load file or assembly 'System.Security.Permissions, ...'
13543정성태1/30/2024958Windows: 254. Windows - 기본 사용 중인 5357 포트 비활성화는 방법
13542정성태1/30/2024926오류 유형: 893. Visual Studio - Web Application을 실행하지 못하는 IISExpress - 두 번째 이야기
13541정성태1/29/2024961VS.NET IDE: 188. launchSettings.json의 useSSL 옵션
13540정성태1/29/20241110Linux: 69. 리눅스 - "Docker Desktop for Windows" Container 환경에서 IPv6 Loopback Address 바인딩 오류
13539정성태1/26/20241174개발 환경 구성: 703. Visual Studio - launchSettings.json을 이용한 HTTP/HTTPS 포트 바인딩
13538정성태1/25/20241254닷넷: 2211. C# - NonGC(FOH) 영역에 .NET 개체를 생성파일 다운로드1
13537정성태1/24/20241324닷넷: 2210. C# - Native 메모리에 .NET 개체를 생성파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...