SSLseverity: normalresolved
PAS-K 4000 SSL VPN 클라이언트에서 '신뢰할 수 없는 인증서' 경고
증상 및 본문
2024년 6월 10일 오전 9시경, PAS-K 4010 장비를 이용하는 SSL VPN 클라이언트 사용자들이 접속 시 '신뢰할 수 없는 인증서' 경고 메시지를 받았습니다. 경고를 무시하고 접속은 가능하지만, 사용자들의 보안 우려가 커지고 있습니다. 대상 장비는 PAS-K 4010, 펌웨어 버전은 V2.1.6입니다. 약 100여 명의 사용자가 영향을 받았습니다. 이는 최근 자체 서명 인증서(Self-Signed Certificate)를 사용하다가 공인 인증서로 교체하는 과정에서 발생한 것으로 보입니다.
근본 원인
SSL VPN 서비스에 적용된 공인 인증서의 중간 인증서(Intermediate CA)가 클라이언트의 신뢰 저장소에 없거나, 장비에 중간 인증서가 올바르게 체인되지 않아 클라이언트에서 신뢰 경로를 구축하지 못했습니다.
조치
공인 인증서 발급기관으로부터 제공받은 모든 중간 인증서 파일을 장비에 업로드하고, 'config ssl-profile <profile_name> ca-certificate add <intermediate_ca_name>' 명령어를 통해 SSL 프로파일에 중간 인증서를 추가했습니다.
코멘트 (2)
- 파트너2025. 01. 16. AM 12:23고객사 영업 시간 종료 후 펌웨어 업그레이드 예정 (금일 23:00).
- 파트너2025. 01. 16. AM 10:23고객사 담당자 회의 후 trace 캡쳐 가능 시간 확보 — 30분 후 수집.