소개
이 문서에서는 Umbrella 통합이 s-platform.api.opendns.com 또는 fireeye.vendor.api.opendns.com에 액세스할 때 인증서 만료 오류를 해결하는 방법에 대해 설명합니다.
문제
일부 서드파티 클라이언트를 사용하는 Umbrella 통합은 s-platform.api.opendns.com and fireeye.vendor.api.opendns.com에서 Umbrella API에 대한 서버의 디지털 인증서를 확인하는 동안 오류가 발생하여 실패할 수 있습니다. 오류 텍스트 또는 코드는 통합에 사용되는 클라이언트 프로그램에 따라 다르지만 일반적으로 만료된 인증서가 있음을 나타냅니다.
원인
이 문제는 현재 유효한 서버의 인증서로 인해 발생한 것이 아닙니다. 오히려 클라이언트가 사용하는 오래된 인증서 신뢰 저장소에 의해 문제가 발생합니다.
s-platform.api.opendns.com 및 fireeye.vendor.api.opendns.com을 제공하는 웹 서버는 인증 기관 Let's Encrypt에서 중간 인증서 R3에 의해 발급(디지털 서명)된 디지털 인증서를 사용합니다. R3는 현재 URL에 있는 공개 키에 의해 서명됩니다. Let's Encrypt의 SRG 루트 X1 루트 인증서 및 SRG 루트 X1의 이전 상호 서명 버전입니다. 따라서 두 개의 유효성 검사 경로가 있습니다. 하나는 현재 SRG 루트 X1에서 종료되고 다른 하나는 인증 기관 IdenTrust에서 발급한 교차 서명된 버전인 DST 루트 CA X3 인증서의 발급자에서 종료됩니다.
발급 다이어그램은 Let's Encrypt에서 확인할 수 있습니다. 또한 Qualys SSL Labs 툴을 사용하여 각 인증서와 인증서 세부사항(예: 만료일)이 포함된 두 개의 "인증 경로"를 볼 수 있습니다.
루트 인증서는 클라이언트 시스템의 하나 이상의 인증서 신뢰 저장소에 보관됩니다. 2021년 9월 30일에 DST Root CA X3 인증서가 만료되었습니다. 이 날짜부터 트러스트 저장소에 DST 루트 CA X3 인증서가 있지만 최신 RG 루트 X1 루트 인증서가 없는 클라이언트는 인증서 오류로 인해 s-platform.api.opendns.com 또는 fireeye.vendor.api.opendns.com에 연결할 수 없습니다. 오류 메시지 또는 코드는 만료된 인증서를 오류의 원인으로 나타낼 수 있습니다. 만료된 인증서는 클라이언트의 신뢰 저장소에 있는 DST Root CA X3 인증서이며 API 서버(s-platform.api.opendns.com 및 fireeye.vendor.api.opendns.com)의 서버 인증서가 아닙니다.
해결
이 문제를 해결하려면 Let's Encrypt 웹 사이트에서 다운로드할 수 있는 새 SRG 루트 X1 인증서가 포함되도록 클라이언트의 트러스트 저장소를 업데이트하십시오. (이 페이지는 클라이언트 테스트를 위한 웹 사이트도 제공합니다.) 클라이언트 또는 운영 체제에 대한 설명서를 참조하여 클라이언트의 신뢰 저장소를 보고 업데이트하는 방법을 알아보십시오. 공식 업데이트 패키지 또는 자동 업데이트 메커니즘을 사용할 수 있는 경우 일반적으로 신뢰 저장소를 수동으로 업데이트하는 것이 좋습니다.
새 SRG 루트 X1 인증서로 신뢰 저장소를 수동으로 업데이트하는 경우 클라이언트의 검증 경로 구축 코드에 문제가 있는 경우 만료된 DST 루트 CA X3 인증서도 제거하는 것이 좋습니다. 클라이언트 또는 운영 체제 공급자의 신뢰 저장소를 공식적으로 업데이트하면 SRG 루트 X1을 추가하고 DST 루트 CA X3 인증서를 제거할 수 있습니다.
피드백