G2 루트 인증서 변경 가이드

1인증서 적용배경

DigiCert Global Root CA 인증서가 Mozilla에서 2026년에 제거할 예정에 있어 DigiCert Global Root G2 인증서로 교체가 필요합니다.

관련 링크 : 한국전자인증 'DigiCert SSL인증서 루트/체인 업데이트 (2023.03.08실행)' 공지
https://cert.crosscert.com/%EC%A4%91%EC%9A%94%EA%B3%B5%EC%A7%80-digicert-ssl%EC%9D%B8%EC%A6%9D%EC%84%9C-%EB%A3%A8%ED%8A%B8-%EC%B2%B4%EC%9D%B8-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8-2023-03-08%EC%8B%A4%ED%96%89/

2인증서 다운로드

G2 인증서 다운로드 URL(https://www.digicert.com/kb/digicert-root-certificates.htm)에서 DigiCert Global Root G2 인증서를 다운로드 받아 서버에 적용 바랍니다.

3인증서 적용대상

Q인증서 적용 대상은 모두 포함인가요?

'DigiCert Global Root G2' 인증서는 Windows 및 최신 브라우저에 기본으로 적용되어 있으므로
 별도로 추가적인 작업을 진행하실 필요는 없습니다.

다만, 아래와 같이 특수한 환경에서 인증서를 사용하시는 경우에는 추가 조치가 필요합니다.
[추가로 작업이 필요한 경우]
- Root 인증서를 Pinning 하는 경우
- Root 인증서를 Hard coding 에서 사용하는 경우
- 별도의 신뢰 인증서 저장소(Trust Store)를 사용하는 경우
- 폐쇄망 환경에서 TLS/SSL 인증을 하는 경우
- Java SE 8 8u361 버전 하위(이상은 기본적으로 포함되어 있음)
                        

Q인증서 적용 대상인지 확인해볼 수 있는 방법이 있나요?

루트 인증서 자동 업데이트 지원이 없는 시스템, 디바이스, 솔루션, 폐쇄환경에서는 수동 설치가 필요합니다.
아래 호환성 테스트에서 '신뢰할수 없는 인증서' 경고창이 발생하는 경우, '루트 인증서' 수동 설치 필요합니다.
DigiCert Global Root G2 호환성 테스트 해보기 : https://global-root-g2.chain-demos.digicert.com
                        

4인증서 설치 방법

[JAVA]

1. 설치여부 확인

Keytool –list –v –keystore $JAVA_HOME/jre/lib/security/cacerts | grep "DigiCert Global Root G2"

정상설치의 경우 아래와 같이 소유자, 발급자 정보 노출/ 노출되지 않으면 설치 필요

소유자: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
발급자: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US

2. 설치방법

G2 인증서 다운로드 URL(https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem)에서 DigiCert Global Root G2 인증서를 다운로드 받아 서버에 적용 바랍니다

예시) jvm 키스토어 비밀번호가 changeit 인 경우

keytool -importcert -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass [보통은 changeit] -trustcacerts -alias
digicert_global_root_g2 -file [루트 인증서 파일위치]/DigiCertGlobalRootG2.crt.pem -noprompt

[PHP]

1. 설치여부 확인

소스 또는 php.ini 의 $caFile 경로 확인

$caFile = '/path/…./Root.pem';

Pem 또는 crt 파일을 열어 DigiCert Global Root G2 가 있는지 확인합니다.

정상설치의 경우 아래와 같이 정보 노출, 노출되지 않으면 설치 필요

< DigiCert Global Root G2 인증서 >
-----BEGIN CERTIFICATE-----
MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBhMQswCQYDVQQG
EwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3d3cuZGlnaWNlcnQuY29tMSAw
MjAwMDBaMGExCzAJBgNVBAYTAlVTMRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3
dy5kaWdpY2VydC5jb20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkq
-----END CERTIFICATE-----

2. 설치방법

G2 인증서 다운로드 URL(https://cacerts.digicert.com/DigiCertGlobalRootG2.crt)에서 DigiCert Global Root G2 인증서를 다운로드 받아 서버에 적용 합니다

[CentOS]

1. 설치여부 확인

cd /etc/pki/tls/certs/
grep -i "DigiCert Global Root G2" ca-bundle.crt

정상설치의 경우 아래와 같이 정보 노출, 노출되지 않으면 설치 필요

Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
Subject: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2

2. 설치방법

G2 인증서 다운로드 URL(https://cacerts.digicert.com/DigiCertGlobalRootG2.crt)에서 DigiCert Global Root G2 인증서를 다운로드 받아 서버에 적용 합니다

예시)
//CA 저장소 공유기능 활성화
update-ca-trust enable
 
//루트 인증서 파일을 복사
* 환경에 따라 /usr/share/pki/ca-trust-source/ 에 복사해야 하는 경우가 있습니다.
cp DigiCertGlobalRootG2.crt /etc/pki/ca-trust/source/anchors/
 
//루트인증서 업데이트 명령어를 실행
update-ca-trust extract

[윈도우]

1. 설치여부 확인

윈도우키 + R -> 실행창에서 ‘certmgr.msc’ 입력 실행 -> ‘신뢰할 수 있는 루트 인증 기관’에서 ‘인증서’ 우측 리스트에서 ‘DigiCert Global Root G2’ 확인

정상설치의 경우 신뢰할 수 있는 루트 인증기관에서 인증서 우측 리스트에 인증서 노출/미노출시 설치 필요

2. 설치방법

G2 인증서 다운로드 URL : https://www.digicert.com/kb/digicert-root-certificates.htm DigiCert Global Root G2 인증서 다운로드

- 다운로드 url에서 아래 인증서(certificate)파일 검색 후 다운로드

1. 다운로드 받은 인증서 실행 및 인증서 설치

2. 인증서 가져오기

3-1. 인증서 경로설정

3-2. 인증서 경로설정

3-3. 인증서 경로설정

4. 인증서 설치완료

- 인증서 정상 설치 확인 방법

윈도우키 + R -> 실행창에서 ‘certmgr.msc’ 입력 실행 -> ‘신뢰할 수 있는 루트 인증 기관’에서 ‘인증서’ 우측 리스트에서 ‘DigiCert Global Root G2’ 확인

[MAC]

‘키체인접근’ 응용프로그램 실행
(직접 앱실행 또는 ‘이동’ 메뉴에서 ‘폴더로 이동’ 선택 후 ‘/Applications/Utilities/Keychain Access.app’ 입력하고 엔터)

1. 설치여부 확인

왼쪽 측면 패널에서 ‘시스템’ 또는 ‘시스템 루트’ 선택해서 키체인접근 응용프로그램에서 ‘인증서’ 선택 목록에서 DigiCert Global Root G2 확인

2. 설치방법

왼쪽 측면 패널에서 ‘시스템’ 선택
‘파일’ 메뉴에서 ‘항목 가져오기’ 선택 후 다운로드한 인증서 선택하여 설치

5참고사항

[DigiCert Global Root G2인증서 호환 브라우저 최소버전]

수동 설치하면 최소버전 하위에서도 인증서 적용이 가능합니다.

[참고링크]

- DigiCert 공지 페이지

https://knowledge.digicert.com/generalinformation/digicert-g5-root-and-intermediate-ca-certificate-migration.html?om_ext_cid=dc_email_7014z000001hvISAAY_10982&mth=September%2C%202022

- DigiCert Root 다운로드 페이지

https://knowledge.digicert.com/generalinformation/digicert-g5-root-and-intermediate-ca-certificate-migration.html?om_ext_cid=dc_email_7014z000001hvISAAY_10982&mth=September%2C%202022

- DIgiCert Global Root G2 호환성 테스트 페이지

https://global-root-g2.chain-demos.digicert.com

- DigiCert Global Root G2 호환성 정보

https://knowledge.digicert.com/generalinformation/compatibility-of-digicert-trusted-root-certificates.html