SSLseverity: highresolved
PAS-K 4000 SSL VPN 접속 시 '인증서 체인 오류' 발생
증상 및 본문
2024년 1월 10일 오전 10시경, PAS-K 4010 장비를 이용한 SSL VPN 접속 시 클라이언트에서 '인증서 체인 오류' 메시지가 발생하며 연결이 실패했습니다. 대상 장비는 PAS-K 4010, 펌웨어 버전은 V2.1.5입니다. 약 50여 명의 재택근무 직원들이 VPN 접속에 어려움을 겪었습니다. 이전에 잘 동작하던 VPN 서비스였으나, 최근 신규 SSL 인증서로 교체한 이후부터 문제가 발생했습니다. 브라우저에서 인증서 정보를 확인해보니 중간 인증서가 누락된 것으로 추정됩니다.
근본 원인
새로 교체된 SSL 인증서가 완전한 인증서 체인(Root CA, Intermediate CA, Server Certificate)을 포함하지 않아 클라이언트에서 인증서 신뢰 경로를 검증할 수 없었습니다.
조치
발급기관으로부터 전체 인증서 체인(Server Certificate, Intermediate CA Certificate)을 받아 하나의 파일로 병합하여 장비에 업로드하고, 'config ssl-profile <profile_name> certificate <merged_certificate_name>' 명령어로 적용했습니다.
코멘트 (3)
- 엔지니어10일 전근본 원인 분석 위해 tsa 파일 추가 수집 요청. 고객사 회신 대기.
- 엔지니어10일 전임시 조치로 `vrrp preempt delay 0` 적용 완료. 안정성 모니터링 중.
- AI9일 전**AI 1차 분석** 유사 케이스 3건 발견 (#CASE-12, #CASE-46). VRRP advertise 미수신 패턴. 권장 명령어: `show vrrp brief` _AI 생성 — 검증 후 사용_