Gradle Sync Fail 관련

회사 폐쇄망에서 빌드 시도시 SSL 관련 에러가 발생해서 물어봤다.

그레이들에서 SSL 오류가 발생하는 경우 여러 가지 원인이 있을 수 있습니다. 예를 들어:

인증서 문제: 인증서가 만료되었거나 올바르지 않은 경우 SSL 오류가 발생할 수 있습니다.
프록시 설정: 프록시 서버를 사용할 때 인증서 검증에 문제가 발생할 수 있습니다.
네트워크 문제: 네트워크 설정이 잘못되어 SSL 연결이 실패할 수 있습니다.
그레이들 버전: 사용 중인 그레이들 버전이 최신 버전과 호환되지 않을 수 있습니다.

어떤 오류가 발생했는지 구체적으로 알려주시면 더 자세히 도와드릴 수 있을 것 같아요. 어떤 오류 메시지를 보셨나요?

 

Got SSL handshake exception during request. It might be caused by SSL misconfiguration PKIX path building failed: sun.sercurity.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

라고 알려주니 아래와 같이 답변해 주었다.

 

알겠습니다. 이 문제는 서버에서 제공하는 인증서를 Java 런타임 환경(JRE)이 신뢰하지 않아서 발생하는 경우가 많습니다.

다음 단계들을 시도해보세요:

Java 버전 업데이트: 최신 버전의 Java를 사용하고 있는지 확인하세요. 오래된 버전은 필요한 루트 인증서를 포함하지 않을 수 있습니다.
인증서 체인 확인: 서버의 인증서 체인이 올바르게 구성되어 있고, 모든 중간 인증서를 포함하고 있는지 확인하세요.
서버 인증서 가져오기: 서버의 인증서를 JRE의 키스토어에 수동으로 추가할 수 있습니다.
커스텀 트러스트 매니저 사용: 개발 환경에서 작업 중이라면, SSL 인증서 검증을 우회하도록 커스텀 트러스트 매니저를 설정할 수 있습니다.

이 중에서 자세한 설명이 필요한 단계가 있나요?

 

혹시 openjdk 사용해서 발생한 문제가 아닌지 물어봤다.

네, OpenJDK를 사용할 때도 인증서 문제가 발생할 수 있습니다. 이유는 다음과 같습니다:

신뢰할 수 없는 인증서: OpenJDK의 기본 키스토어에 해당 인증서가 포함되지 않았을 경우, 인증서를 신뢰하지 않아 SSL 핸드셰이크 오류가 발생할 수 있습니다.
루트 인증서 누락: 사용 중인 OpenJDK 버전에 필요한 루트 인증서가 포함되지 않았을 수 있습니다.
중간 인증서 문제: 서버 측에서 제공하는 인증서 체인이 불완전할 경우, OpenJDK가 인증서를 검증하지 못할 수 있습니다.

이 문제를 해결하려면 서버의 인증서를 OpenJDK 키스토어에 수동으로 추가하는 방법을 사용할 수 있습니다. OpenJDK의 keytool 명령어를 사용하여 인증서를 추가하는 방법에 대해 안내해드릴까요?

 

알려달라고 했다.

 

알겠습니다! OpenJDK에 서버 인증서를 추가하려면 다음 단계를 따라 주세요.

먼저 서버 인증서를 가져옵니다. 웹 브라우저를 사용하여 서버에 접속하고, 인증서 정보를 확인한 후 인증서를 내보낼 수 있습니다.
인증서를 가져왔다면, 이를 OpenJDK 키스토어에 추가합니다. OpenJDK의 keytool 명령어를 사용하여 인증서를 추가할 수 있습니다.

명령어 예시는 다음과 같습니다:
keytool -import -alias your_certificate_alias -keystore $JAVA_HOME/lib/security/cacerts -file your_certificate.crt

여기서:
your_certificate_alias는 인증서의 별칭입니다.
$JAVA_HOME은 Java 설치 디렉터리입니다.
your_certificate.crt는 내보낸 인증서 파일입니다.

명령어를 실행하면, 인증서를 신뢰할 것인지 확인하는 메시지가 표시됩니다. yes를 입력하여 인증서를 추가합니다.
그레이들을 다시 실행하여 문제가 해결되었는지 확인합니다.

이 단계를 통해 SSL 핸드셰이크 예외를 해결할 수 있을 것입니다. 추가로 궁금한 점이나 문제가 발생하면 알려주세요!

 

근데 일일히 서버 인증서 가져올 수 없으니 해결책을 달라고 했다. 

맞아요, 모든 서버 인증서를 일일이 가져와서 추가하는 것은 매우 번거로운 일입니다. 다행히도 다른 해결 방법들도 있습니다.

글로벌 신뢰 저장소 사용: 신뢰할 수 있는 인증서를 자동으로 관리하는 툴이나 라이브러리를 사용하는 방법이 있습니다. 예를 들어, cacerts나 Let's Encrypt와 같은 공용 인증서를 자동으로 갱신하고 관리할 수 있는 솔루션을 활용할 수 있습니다.

그레이들 설정 수정: 그레이들의 build.gradle 파일에서 SSL 검증을 우회하도록 설정할 수 있습니다. 이 방법은 개발 환경에서만 사용하는 것이 좋습니다. 아래 예시 코드를 참고하세요:

allprojects {
    tasks.withType(JavaCompile) {
        options.compilerArgs << "-Xlint:unchecked" << "-Xlint:deprecation"
    }
    repositories {
        maven { url 'http://repo.mycompany.com/maven2' }
        mavenCentral {
            metadataSources {
                artifact()
            }
            name 'central'
        }
        maven { url 'https://repo.spring.io/release' }
    }
}
자체 CA 인증서 발급 및 사용: 회사 내부적으로 자체 CA(Certificate Authority)를 운영하고, 이를 통해 인증서를 발급받아 신뢰할 수 있는 환경을 조성할 수 있습니다.

각 방법마다 장단점이 있으니, 사용 환경에 맞는 방법을 선택하여 적용하시면 됩니다. 추가로 궁금한 점이 있거나 도움이 필요하면 알려주세요!

 

윈도우 인증서에 대해 물어봤다. 

윈도우 환경에서는 기본적으로 운영체제가 자체적으로 인증서 저장소를 관리하고, 많은 공인 인증서를 기본적으로 포함하고 있어 문제가 덜 발생할 수 있습니다. 이를테면, 윈도우는 다양한 루트 인증서를 이미 신뢰하는 목록에 포함하고 있습니다.

다음은 주요 차이점들입니다:

운영체제 통합: 윈도우는 자체적으로 신뢰할 수 있는 루트 인증서를 관리합니다. 그래서 많은 웹사이트나 서버의 인증서를 별도로 추가할 필요 없이 신뢰할 수 있습니다.

자동 업데이트: 윈도우 업데이트를 통해 새로운 루트 인증서가 자동으로 추가되거나 업데이트됩니다. 이를 통해 최신 인증서를 유지하고 보안 문제를 줄일 수 있습니다.

광범위한 호환성: 많은 애플리케이션이 윈도우의 인증서 저장소를 신뢰하고 사용하기 때문에, SSL 인증서 문제 발생 가능성이 줄어듭니다.

반면, OpenJDK와 같은 경우에는 자체적으로 인증서 저장소를 관리해야 하며, 기본적으로 포함된 루트 인증서가 제한적일 수 있습니다. 따라서 추가적인 인증서 설정이 필요할 수 있습니다.

이런 이유로 윈도우 환경에서는 인증서 관련 문제가 덜 발생하는 것처럼 느껴질 수 있습니다. 추가로 궁금한 점이 있거나 더 알아보고 싶은 부분이 있다면 말씀해 주세요!

 

윈도우 인증서를 그대로 쓸 수 있는 방법에 대해 물어봤다. 

주로 윈도우 시스템의 인증서를 참조하게 하려면 gradle.properties 파일에 다음과 같이 설정할 수 있습니다:

systemProp.javax.net.ssl.trustStoreType=WINDOWS-ROOT
systemProp.javax.net.ssl.trustStore=NUL

WINDOWS-ROOT: 이 설정은 Java가 윈도우 시스템의 루트 인증서를 사용하도록 합니다.
NUL: 이 설정은 인증서 경로를 비워두어 윈도우 시스템의 인증서를 참조하게 합니다.

이 두 가지 설정을 함께 사용하면 그레이들이 윈도우 인증서 저장소를 사용할 수 있습니다.

추가적으로 궁금한 사항이나 도움이 필요하면 언제든지 말씀해 주세요! 😊

 

근데 이런 세팅 없이도 잘되는 케이스가 있어서 환경에 대해 다시 한번 물어봤다.

폐쇄망 PC에서 이러한 설정 없이도 문제가 발생하지 않는 이유는 몇 가지가 있을 수 있습니다:

네트워크 환경 차이: 폐쇄망 PC는 외부 네트워크와 격리되어 있어, SSL 인증서 문제나 외부 서버 연결 문제를 덜 겪을 수 있습니다.
미리 구성된 환경: 폐쇄망 PC는 일반적으로 보안 정책에 맞추어 미리 구성된 환경일 가능성이 큽니다. 인증서 저장소나 네트워크 설정이 미리 조정되어 있을 수 있습니다.
캐시된 인증서: 이전에 성공적으로 연결된 서버의 인증서가 로컬에 캐시되어 있어 문제가 발생하지 않을 수 있습니다.
보안 소프트웨어의 영향: 폐쇄망 PC에서 사용하는 보안 소프트웨어가 SSL 인증서 문제를 처리해주고 있을 수 있습니다.
운영체제 및 소프트웨어 버전: 폐쇄망 PC와 외부망 PC가 사용 중인 운영체제나 Java 버전, 그레이들 버전 등이 다를 수 있습니다.

이러한 요인들로 인해 폐쇄망 PC에서는 문제가 발생하지 않는 것처럼 보일 수 있습니다. 특정 차이점을 더 자세히 분석하려면 두 환경의 구성과 설정을 비교해 보는 것이 도움이 될 수 있습니다. 추가로 궁금한 점이 있으면 언제든지 말씀해 주세요!

 

인증서 문제되는 케이스에 대해 물어봤다.

네, 인증서 자체가 문제가 있는 경우도 몇 가지가 있습니다. 여기 몇 가지 예시를 들어볼게요:

만료된 인증서: 인증서의 유효기간이 지나면 신뢰할 수 없는 인증서로 간주되어 오류가 발생합니다.
잘못된 인증서 체인: 인증서 체인이 완전하지 않거나 중간 인증서가 누락된 경우 인증서를 신뢰할 수 없습니다.
서명되지 않은 인증서: 인증서가 신뢰할 수 있는 인증 기관에 의해 서명되지 않은 경우 SSL 오류가 발생할 수 있습니다.
루트 인증서 누락: 클라이언트의 신뢰할 수 있는 루트 인증서 저장소에 서버의 루트 인증서가 없는 경우 문제가 발생할 수 있습니다.
잘못된 호스트명: 인증서에 포함된 호스트명(도메인명)과 실제 서버의 호스트명이 일치하지 않으면 SSL 오류가 발생할 수 있습니다.
인증서 형식 문제: PEM, DER 등 인증서 형식이 호환되지 않는 경우 문제가 발생할 수 있습니다.

이런 문제들이 발생할 수 있으므로, 문제가 있는 인증서를 확인하고 필요한 조치를 취하는 것이 중요합니다. 인증서 문제를 진단하고 해결하는 방법에 대해 더 알고 싶으시면 언제든지 말씀해 주세요! 😊

 

인증서 체인이 완전하지 않다는게 무슨 의미인지 다시 물어봤다.

"인증서 체인이 완전하지 않다"는 말은 SSL/TLS 인증서가 신뢰할 수 있는 루트 인증서까지 이어지는 체인(연결)이 완성되지 않았다는 의미입니다. SSL/TLS 인증서는 일반적으로 여러 계층의 인증서를 통해 신뢰 관계를 형성합니다. 이 체인은 루트 인증서부터 시작하여 중간 인증서, 그리고 최종 사용자 인증서까지 연결됩니다.

인증서 체인의 구조
루트 인증서: 신뢰할 수 있는 최상위 인증서입니다. 브라우저나 운영체제에 기본적으로 포함되어 있습니다.
중간 인증서: 루트 인증서와 최종 사용자 인증서 사이에 있는 인증서입니다. 여러 개의 중간 인증서가 있을 수 있습니다.
최종 사용자 인증서: 실제로 사용되는 인증서입니다. 예를 들어, 웹사이트의 SSL 인증서입니다.

인증서 체인이 불완전한 경우
인증서 체인이 완전하지 않다는 것은 다음과 같은 경우를 포함할 수 있습니다:

중간 인증서 누락: 서버가 중간 인증서를 제공하지 않는 경우, 클라이언트는 최종 사용자 인증서를 루트 인증서까지 검증할 수 없습니다.
잘못된 인증서: 중간 인증서나 루트 인증서 중 하나가 유효하지 않거나 만료된 경우.
인증서 경로 문제: 인증서 파일의 경로가 잘못 설정되었거나 손상된 경우.

해결 방법
중간 인증서 추가: 서버 설정에서 필요한 중간 인증서를 포함시킵니다. 이를 통해 클라이언트가 올바른 체인을 검증할 수 있게 됩니다.
인증서 갱신: 만료된 인증서를 갱신하고 올바른 루트 인증서를 사용합니다.
서버 설정 검토: 서버 설정을 검토하여 인증서 체인이 올바르게 구성되었는지 확인합니다.

추가로 궁금한 점이나 도움이 필요하면 언제든지 말씀해 주세요! 😊

 

루트 인증서 어떻게 확인하는지 물어봤다.

DigiCert, GlobalSign, Let's Encrypt, 그리고 Comodo는 모두 공인된 인증 기관(CA)입니다. 이 기관들이 발급한 인증서 중에는 루트 인증서뿐만 아니라 중간 인증서 및 서버 인증서도 포함될 수 있습니다.

루트 인증서 확인 방법
이 기관들이 발급한 인증서가 루트 인증서인지 확인하려면, 다음을 참고하세요:

인증서 세부 정보 확인:
인증서를 더블 클릭하여 세부 정보를 확인합니다.
"발급자"와 "주체" 필드가 동일한지 확인합니다. 루트 인증서의 경우 발급자가 자신입니다.

인증서 경로 확인:
인증서 경로 탭에서 인증서 체인을 확인합니다.
루트 인증서는 인증서 체인의 최상단에 위치합니다.

유효 기간 및 유효성:
유효 기간이 만료되지 않았는지 확인합니다.
"이 인증서는 신뢰할 수 있습니다"와 같은 메시지를 확인합니다.

루트 인증서의 예
다음은 DigiCert, GlobalSign, Let's Encrypt, Comodo의 대표적인 루트 인증서 예시입니다:

DigiCert Global Root G2
GlobalSign Root CA
Let's Encrypt Authority X3
COMODO RSA Certification Authority

이 정보를 통해 공인된 루트 인증서를 식별할 수 있습니다. 추가로 궁금한 사항이 있으면 언제든지 말씀해 주세요! 😊

 

오늘은 여기까지