ASP.NET Core 웹 사이트의 SSL 설정을 코드로 하는 방법
HTTPS 통신을 설정하는 방법은 1) (지난 글의 예제에서 설명한 것처럼) appsettings.json로 처리하는 것 외에도 2) 코드로 작성하는 것이 가능합니다.
이번 글에서는 바로 코드로 작성하는 경우도 테스트를 해볼 텐데요, 간단하게 지난 예제 코드로부터 appsettings.json 파일에 설정했던 Kestrel 노드를 제거(즉, 원래의 기본값으로 원복)하고,
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft.AspNetCore": "Warning"
}
},
"AllowedHosts": "*"
}
코드에 다음과 같이 추가한 후,
var builder = WebApplication.CreateBuilder(args);
var certPem = File.ReadAllText(@"test_site_cert.crt");
var keyPem = File.ReadAllText(@"test_site_cert.key");
var x509cert = X509Certificate2.CreateFromPem(certPem, keyPem);
builder.WebHost.ConfigureKestrel(options =>
{
options.Listen(IPAddress.Any, 5000);
options.Listen(IPAddress.Any, 7252, listenOptions =>
{
listenOptions.UseHttps(x509cert);
});
});
F5 키를 눌러 디버깅을 시작하면 웹 브라우저가 뜨면서 "https://localhost:7252" 페이지를 방문하지만, 이상하게도 ERR_CONNECTION_CLOSED 오류가 발생합니다.
netstat로 확인하면 분명히 바인딩은 "Any"로 되어 있고,
c:\temp> netstat -ano | findstr 7252
TCP 0.0.0.0:7252 0.0.0.0:0 LISTENING 45768
콘솔 출력 화면에도,
warn: Microsoft.AspNetCore.Server.Kestrel[0]
Overriding address(es) 'https://localhost:7252, http://localhost:5001'. Binding to endpoints defined via IConfiguration and/or UseKestrel() instead.
info: Microsoft.Hosting.Lifetime[14]
Now listening on: http://0.0.0.0:5000
info: Microsoft.Hosting.Lifetime[14]
Now listening on: https://0.0.0.0:7252
info: Microsoft.Hosting.Lifetime[0]
Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
Hosting environment: Development
info: Microsoft.Hosting.Lifetime[0]
Content root path: C:\temp\WebApplication1\WebApplication1
별다른 오류가 없습니다. 도대체 왜 이런 것일까요? ^^;
검색해 보면,
PEM Loading in .NET Core and .NET 5
; https://www.scottbrady91.com/c-sharp/pem-loading-in-dotnet-core-and-dotnet
Pem Loading in .NET Core and .NET 5/ScottBrady.Pem.Kestrel/Program.cs
; https://github.com/scottbrady91/samples/blob/master/Pem%20Loading%20in%20.NET%20Core%20and%20.NET%205/ScottBrady.Pem.Kestrel/Program.cs
윈도우 환경의 경우,
If you're not on Windows, you can do this by loading in the X509 certificate like above and passing it directly to Kestrel; however, at the time of writing, try to do that in Windows, and you'll get an exception from SslStream:
이런 오류가 발생한다고 합니다.
System.ComponentModel.Win32Exception (0x8009030E): No credentials are available in the security package
실제로, Visual Studio의 Output에 보면 여러 개의 예외가 발생한 것을 볼 수 있습니다.
Microsoft.Hosting.Lifetime: Information: Now listening on: http://0.0.0.0:5000
Microsoft.Hosting.Lifetime: Information: Now listening on: https://0.0.0.0:7252
Microsoft.Hosting.Lifetime: Information: Application started. Press Ctrl+C to shut down.
Microsoft.Hosting.Lifetime: Information: Hosting environment: Development
Microsoft.Hosting.Lifetime: Information: Content root path: C:\temp\WebApplication1\WebApplication1
Exception thrown: 'System.IO.IOException' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.ComponentModel.Win32Exception' in System.Net.Security.dll
...[생략]...
Exception thrown: 'System.Security.Authentication.AuthenticationException' in System.Net.Security.dll
...[생략]...
해당 오류의 상세 내용을 보면,
// 이 오류는, (이후에 설명할) pfx 인증서로 처리해도 발생하는 걸로 봐서 크게 상관이 없는 듯합니다.
System.IO.IOException
HResult=0x80131620
Message= Received an unexpected EOF or 0 bytes from the transport stream.
Source=System.Net.Security
StackTrace:
at System.Net.Security.SslStream.<ReceiveBlobAsync>d__147`1.MoveNext() in /_/src/libraries/System.Net.Security/src/System/Net/Security/SslStream.IO.cs:line 370
System.ComponentModel.Win32Exception
HResult=0x80004005
Message=No credentials are available in the security package
Source=System.Net.Security
StackTrace:
at System.Net.SSPIWrapper.AcquireCredentialsHandle(ISSPIInterface secModule, String package, CredentialUse intent, SCH_CREDENTIALS* scc) in /_/src/libraries/Common/src/Interop/Windows/SspiCli/SSPIWrapper.cs:line 138
"
PEM Loading in .NET Core and .NET 5" 글에서 설명한 바로 그 오류인 듯합니다.
그런데, 위의 오류는 .NET 7 이하에서 실행할 때만 발생하고 .NET 8부터는 예외가 없습니다. 하지만, 그런데도 윈도우 환경에서는 저 코드가 동작하지 않습니다.
재미있는 건, 저렇게 PEM 형식의 인증서는 안 되지만, 대신 PFX는 윈도우 환경에서 잘 동작하는데요, openssl로 생성한 crt, key 파일로부터 pfx를 생성 후,
c:\temp> openssl pkcs12 -export -out test_site_cert.pfx -inkey test_site_cert.key -in test_site_cert.crt
Enter Export Password:
Verifying - Enter Export Password:
// 비밀번호는 testtest로 가정
이렇게 로딩해 사용하면,
builder.WebHost.ConfigureKestrel(options =>
{
options.ListenAnyIP(7252, listenOptions =>
{
listenOptions.UseHttps("test_site_cert.pfx", "testtest");
});
});
이후 윈도우에서 HTTPS 접속이 잘됩니다.
혹시, 리눅스 환경은 어떨까요? 테스트를 위해 리눅스 버전으로 배포하고,
dotnet publish --os linux --arch x64 -c Release -o c:\temp\testapp
(쉽게 테스트할 수 있는) WSL 환경에서 실행하면,
$ cd /mnt/c/temp/testapp
$ dotnet WebApplication1.dll
코드를 이용해 설정한 PEM과 PFX 버전 모두 잘 동작하고, 이전 글의 appsettings.json 방법도 문제가 없습니다.
정리해 보면, appsettings.json에 설정한다면 PEM 형식도 괜찮지만, 코드로 할 거면 pfx로 처리하는 것이 좋다는!!! ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]