KINA
시작하기
Axigen SSL 인증서는 보안 강화를 위해 필수적인 요소입니다. 이 가이드에서는 Axigen SSL 인증서의 설치 및 설정 방법을 다룹니다.
메일서버에서 SSL 인증서란?
메일서버에서 SSL 인증서 작업은 SMTP, POP3, IMAP등의 서비스의 보안인증 통신을 위해서 거의 필수적으로 사용해야 하는 중요한 작업입니다. 물론 보안 인증서 없이 SMTP는 25번포트, POP3 는 110번포트와 같이 보안되지 않은 통신으로 사용할 수도 있지만 대부분의 웹메일서비스에서는 인증되지 않는 메일의 수발신을 차단하고 있기때문에 실제 사용 시 거의 사용할 수 없습니다. Axigen Mail Server의 SSL 보안인증서 적용은 Web Admin에서 매우 손쉽게 인증서를 발급하고 갱신할 수 있습니다.
그렇다면 Axigen Mail Server의 Web Admin에서 SSL 보안 인증서를 발급 받고 관리하는 법을 단계별로 알아보겠습니다.
도메인 연결
Axigen Mail Server를 설정하기 전에, 먼저 도메인을 서버와 연결해야 합니다. 이를 위해 도메인 서비스에서 A 레코드를 등록하고, 외부에서 서버로의 접근이 가능한지 확인해야 합니다.
즉, 예를 들어서 mail.domain.com이나 smtp.domain.com과 같은 도메인을 메일서버의 주소로 사용하고자 한다면 이용하고 있는 도메인의 DNS서버에서 해당 mail또는 smtp 등의 2차도메인의 A레코드의 주소를 Axigen Mail Server가 설치된 서버의 ip주소로 등록 해야 합니다. 보통 DNS서버에서 메일서버 사용을 위해 등록한 MX Record로 등록한 2차도메인의 서버 ip로 등록하면 됩니다.
DNS 레코드가 제대로 설정되었는지 확인하기 위해 다른 컴퓨터에서 Ping 명령어를 실행합니다.
C:\Users\id>ping mail.domain.com
Ping *.*.*.* 32바이트 데이터 사용:
*.*.*.*의 응답: 바이트=32 시간=7ms TTL=45
*.*.*.*의 응답: 바이트=32 시간=6ms TTL=45
*.*.*.*의 응답: 바이트=32 시간=7ms TTL=45
*.*.*.*의 응답: 바이트=32 시간=6ms TTL=45
*.*.*.*에 대한 Ping 통계:
패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
최소 = 6ms, 최대 = 7ms, 평균 = 6ms
Let’s Encrypt를 이용한 SSL 인증서 발급
Axigen Mail Server는 Let’s Encrypt를 통해 무료 SSL 인증서를 발급받을 수 있는 기능을 제공합니다. Let’s Encrypt를 사용하면 간단한 몇 가지 단계를 통해 인증서를 설치하고 갱신할 수 있습니다.
- Web Admin 인터페이스에서 Security & Filtering > SSL Certificates로 이동합니다.
Add SSL Certificate버튼을 클릭합니다.- Generate a new SSL Certificate 항목의 내용을 아래와 같이 입력합니다.
- LET’S ENCRYPT 옵션 선택
- HOSTNAME에 위에서 설정한 발급 받을 도메인 주소를 입력
- 약관 동의 선택
- 입력을 완료한 후 GENERATE CERTIFICATE 버튼을 눌러서 인증서를 생성합니다.
SSL인증서 사용
이제 발급 받은 SSL인증서를 각각의 서비스에서 활성화 시킨 후 사용 해 봅시다. SSL인증서는 다음의 서비스들에서 사용할 수 있습니다.
- SMTP
- POP3
- IMAP
- WEB MAIL
- WEB ADMIN
Web Admin의 Services 탭의 위에 나열된 서비스들의 설정 페이지에 가면 Non SSL 포트를 사용하는 Listener와 함께 SSL 포트를 사용하는 Listener가 함께 존재 합니다.
이 Listener들의 ACTIONS의 연필모양의 아이콘을 클릭하여 세부 옵션을 설정합니다. 세부옵션의 설정페이지가 로드 되면 SHOW SSL CONFIGURATION 버튼을 클릭하여 세부설정창을 열어 줍니다.
- Enable SSL for this Listener : 이 항목을 클릭하면 해당 서비스에 SSL을 적용합니다. SSL서비스를 사용하려면 이 항목을 클릭 해야 합니다.
- Certificate File : 앞의 항목에서 발급받은 SSL 인증서가 목록에 자동으로 나타납니다. 목록 중 발급 받았던 SSL인증서를 선택 합니다.
- Allow the following SSL versions : SSL 보안통신에서 사용할 SSL의 버전을 선택 합니다. 일반적으로 TLS 1.0과 TLS1.1은 매우 예전에 사용되던 규격이므로 보안에 매우 취악합니다. 따라서 TLS 1.2와 TLS 1.3 또는 TLS1.3만 선택합니다.
- Certificate authorities file / DH (Diffie-Hellman) parameter files : 이 두항목은 Axigen Mail Server의 Web Admin에서 발급한 SSL인증서가 아닌 별도의 서비스에서 발급받은 SSL파일을 사용할 떄에 사용합니다. 우리는 Web Admin에서 발급한 SSL인증서를 사용하기 때문에 해당 부분은 기본 내용에서 수정하지 않습니다.
- Max Chain verification depth : SSL인증서 내의 인증 기관과 중간 인증기관들의 조회 깊이를 설정합니다. 기본 값으로 놔두면 충분합니다.
- Use Chiper suite : 보안통신에 사용 할 암호화 알고리즘 등을 설정 합니다. 기본 설정된 값으로 사용해도 되지만 보다 더 나은 보안통신 알고리즘을 위해서 다음 값으로 변경 합니다.
- ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384
- Prefer server’s cipher suite order : 서버가 클라이언트와의 SSL/TLS 연결 시 사용할 암호화 알고리즘의 우선순위를 결정합니다. 체크되어 있으면, 클라이언트가 지원하는 암호화 알고리즘 중 서버가 지정한 우선순위에 따라 알고리즘이 선택됩니다. 보안강화를 위해 권장되므로 선택 합니다.
- Use Ephemeral Key : Diffie-Hellman Ephemeral (DHE) 또는 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 키 교환 방식을 사용하도록 설정합니다. 이 옵션을 활성화하면 연결마다 고유한 임시 키가 생성되므로, 이전 통신 데이터가 해독될 가능성을 줄이고 보안을 강화합니다. 대부분의 보안 연결에서 권장되므로 선택합니다.
- Request certificate-based authentication from client : 클라이언트 측 인증서를 요청하도록 설정합니다. 활성화되면, 서버가 클라이언트가 신뢰할 수 있는 인증서를 제공했는지 확인합니다. 이는 주로 높은 보안 수준이 요구되는 환경에서 사용되며, 클라이언트 인증서가 없으면 연결이 거부됩니다. 예를 들어 내부 조직의 인트라넷 어플리케이션에서만 사용하는 경우와 같은 특수한 사용합니다. 일반 적인 상황에서는 선택을 하지 않습니다.
SAVE CONFIGURATION 버튼을 클릭해서 입력한 내용을 저장하면, 해당 서비스의 SSL포트에 인증서가 적용 됩니다. 모든 서비스들마다 위의 SSL 설정은 동일하므로 서비스에 맞게 설정 하시면 됩니다.
결론
이 가이드를 통해 Axigen Mail Server에 SSL 인증서를 성공적으로 적용할 수 있습니다. 인증서를 올바르게 설정하면 서버와 클라이언트 간의 통신이 암호화되어 보안을 강화할 수 있습니다. 추가적인 설정은 Axigen 공식 문서를 참조하시기 바랍니다.
https://www.axigen.com/documentation/managing-ssl-certificates-p65437755
https://www.axigen.com/knowledgebase/How-to-Configure-SSL-Settings_213.html
