Oracle Webserver OHS OHS:2079 Client SSL handshake error, nzos_Handshake returned

에러 : [user: test] [VirtualHost: xxxxx:82] OHS:2079 Client SSL handshake error, nzos_Handshake returned 43126(server xxxxxxx:82)
[2022-07-21T13:18:54.6676+09:00] [OHS] [ERROR:32] [OH99999] [ossl] [host_id: test3] [host_addr: xxx.xxx.xxx.xxx] [pid: 17151] [tid: 139950024484608] [user: test] [VirtualHost: xxxxxxxb:82] OHS:2171 NZ Library Error: Unknown error

OHS:2079 Client SSL handshake error, nzos_Handshake returned 43126

원인 : OHS 인증서 교체 후 해당 에러 발생 

접속 사용자 PC에 이미 업데이트 된 CA인증서가 설치 되어있을 경우 cross인증서로 하위 인증서를 무효화 시키고 상위 인증서를 먼저 불러와서 에러 로그를 발생
실제 서비스는 문제 없고 인증서 교체시 초반에만 에러가 발생 되며 계속 에러가 발생되지 않음

참고 : 
상호인증(Cross Certification)이란, 서로 다른 두 영역의 PKI를 가진 인증기관(CA, Certification Authority)이 상호연동을 하는 방법이다.
상호인증(Cross Certification)은 두 인증기관(CA) 를 가진 PKI에서는 대표되사이에서 이루어진다. 계층적 구조는 인증기관은 최상위인증기관(Root-CA)가 된다. 하지만, 꼭, 최상위인증기관(Root-CA) 만이 가능한 것은 아니다. 인증기관(CA)들 사이에도 가능하다. 그림처럼, 인증기관 CA-A과 상대 인증기관 CA-B가 서로 교차인증을 하고 나면, 각 인증기관(CA)에 달린 사용자 User-A와 User-B는 자연스럽게 연결이 된다. 마치 두 영역이 하나의 연장된 영역으로 확장된 것처럼, 사용자 User-A에게 User-B는 그저 같은 영역의 사용자가 되는 것이다. 그 역인, 사용자 User-B에게 User-A역시 같은 영역의 사용자로 인식되게 된다.

상호인증(Cross Certification)의 장점

첫째는, 매끄러운 일 처리의 흐름이다. 두 영역이 만나는 영역의 연결이 매끄러워서, 마치 두 개의 PKI영역이 하나의 큰 PKI영역이 된 것처럼 일 처리의 흐름이 이루어진다.
둘째는, 사용자의 투명성인데, 사용자들에게 상호인증의 협정이 명확해 진다는 점이다.

상호인증(Cross Certification)의 단점
첫째는, 절차의 복잡성이다. 세밀한 부분까지도 정책연결이 요구되어지는 성격상, 상호인증(Cross Certification)을 하는 절차가 무척 복잡하다.
둘째는, 확장성이 용이하지 않다. 항상 두 인증기관(CA)들 사이에서 연결이 되어져야 하므로, 새로운 PKI영역이 추가되려면, 추가되는 PKI영역의 CA와 기존의 다른 PKI영역의 연결이, 기존의 PKI영역간의 연결 할 때와 같은 절차로 반복되면서, 그 소요되는 연결의 개수가 기하급수적으로 늘어난다.
마지막으로, 앞의 두 가지 이유로 비추어 보면, 비즈니스의 시각에서 보면 무척 어렵고 비효율적인 방법이 된다는 것이 문제점이다. 이런 문제점들은 사실상, 전자상거래를 지원하려고 했던 기본적인 의도에 부합되지 않아서, 보다 나은 인증의 방법이 필요하게 되었다. 상호인정(Cross Recognition)이 그 대안이다.

 

OHS : Oracle HTTP Server