-
공돌이조회 수: 10187, 2017.03.16 18:07:02
-
사용기에서 쓴 바와 같이 letsencrypt.org 에서는 certbot라는 쉬운 인증서발급 클라이언트를 제공하고 있습니다.
OS나 웹서버에 따라 certbot 설치방식이 조금씩 다른 부분이 있으니 감안하시고 보면 될것 같습니다.
https://certbot.eff.org 들어가시면 환경별로 설치 안내가 자세히 나와있습니다 (영어지만).
여기서 OS와 웹서버를 선택하면 해당 버전에 맞는 안내가 나옵니다.
Debian8부터는 apt repository에 certbot가 포함되어 있으나 Debian7에서는 다음의 명령으로 직접 다운로드를 받아야 합니다.
적당한 폴더로 가서 아래의 명령을 이용해서 certbot 를 다운로드 받습니다.
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
Apache 웹서버를 쓰는 경우에는 인증서발급과 설치를 자동으로 할 수 있으나 nginx는 아직 자동인스톨을 지원하지 않으므로, 약간의 절차가 더 들어갑니다
다만, 웹 서버 설정이 좀 복잡한 경우에는 추천하지 않습니다. 서버설정이 엉켜버릴 수가 있어서...
(간단합니다)
우선 인증서를 발급받는 방법은 크게 3가지가 있습니다.
certbot-auto 가 설치된 디렉토리에서 아래의 명령어를 수행합니다.
참고로, /etc 폴더내에 letsencrypt 파일이 생성되므로 루트권한이 있어야 합니다 (아니면 sudo 로 실행)
.certbot-auto certonly
그러면 아래와 같은 화면이 뜹니다.
1) Apache 플러그인을 쓸거냐( 아파치가 실행중이어야 함),
2) 웹루트플러그인을 쓸거냐, 아니면
3) 자체웹서버를 이용해서 인증서를 받을거냐
셋 중의 하나를 선택해야 합니다.
1번 아파치방식은 아파치가 깔려있어야 하는거니까 저는 일단 패스.
2번 웹루트방식은 웹루트폴더에 특정파일을 추가해서 도메인을 검증받는 방법입니다.(본인이 해당 도메인의 소유자인지 확인)
3번 스탠드얼론방식은 별도로 파일이 웹폴더에 추가되거나 하지 않는 장점은 있으나, 기존의 웹서버들은 멈춘 상태에서 해야하므로 좀 불편한 부분도 있습니다.
여기서는 웹루트방식을 기준으로 설명하겠습니다.
1. 웹루트방식(웹루트에 파일을 넣어서 검증하는 방식)으로 인증서 발급
2번을 누르면 domain name을 입력하라고 나옵니다. 인증서를 받으려고 하는 서버의 도메인명을 입력합니다.
여러개의 도메인에 대해 각각 받으시려면 콤마나 스페이스로 띄워서 도메인을 입력하시면 됩니다.
아래 스크린샷에서
1) 2번 웹루트방식을 선택하고
2) 처음사용하시는 경우에는 갱신이나 보안관련 이메일받을 주소를 입력하라고 나옵니다. 입력하고
3) 이용약관 동의 (A)
하고 나면 이메일에 혹시 소식같은거 보내도 되냐고 나오는데 이건 알아서 Y/N중 선택하심 되고요
4) 도메인을 입력하라고 나오면 현재 사용중인 도메인명을 입력합니다 (여러개일 경우는 콤마나 스페이스로 띄워서 입력)
- 이메일주소로 컨펌메일이 아래처럼 날라오는데, 그냥 링크를 눌러주시면 컨펌이 완료됩니다.
그리고 나오는 화면에서
1) 1번 새로운웹루트 입력을 선택
2) 웹루트 경로를 입력
하시면 됩니다.
웹루트폴더를 입력하라고 할때 웹루트경로를 입력하시면 자동으로 루트 안에 .well-known이라는 히든폴더를 만들고 뭔가 파일을 만들어서 검증을 시도합니다.'
가끔 hidden folder에 접근이 안되도록 웹서버 설정이 된 경우가 있는데, 이때는 히든폴더를 막지 않도록 설정을 좀 바꿔주셔야 합니다.(certbot를 실행한 계정이 해당 폴더에 쓰기권한이 있어야 합니다)
이러면 일단은 인증서는 발급되어 /etc/letsencrypt/live/도메인명 밑에
cert.pem
chain.pem
fullchain.pem
privatekey.pem
파일이 생성되어 저장됩니다.
2. 만료될때마다 자동으로 갱신 적용하기
letsencrypt 를 통해서 발급받은 인증서는 90일 후 만료되기 때문에 90일마다 갱신해줘야 합니다. 귀찮죠? 얘네들이 쉽게 갱신할 수 있는 방법을 제공하더라구요.
certbot-auto 가 설치된 폴더에서
./certbot-auto renew --dry-run
를 해보면 갱신에 문제가 없는지 시뮬레이션을 해봅니다. 에러메시지가 안뜨면 문제가 없다는 거겠지요.
아무런 에러메시지가 안뜨면 cronjob 으로 (root 크론잡으로 해야겠죠 아마)
/certbot가설치된경로/certbot-auto renew --quiet --no-self-upgrade
를 등록해서 하루한번 혹은 일주일에 한번 정도 자동으로 실행되도록 하면 걱정 없습니다!
3. 발급받은 인증서로 서버에 SSL 적용하기
아까 발급받았던 인증서들을 이제 적용해야 하겠죠.
SSL설정에 자신이 없으신 분들은 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 로 가셔서 각자 자신의 환경에 맞게 조건을 설정하면, 추천 SSL설정이 나옵니다.
기존의 server 블록 안에 아래 내용을 넣거나 별도의 server block을 만들어 기존 서버설정을 복사한 후(포트같은거 빼고) 추가로 아래 내용을 넣어도 됩니다.
각각 항목의 자세한 설명은 생략하고 ㅎㅎ
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/도메인명/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/도메인명/privkey.pem;
ssl_session_cache shared:le_nginx_SSL:1m;
ssl_session_timeout 1440m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES256-SHA256 EDH-RSA-DES-CBC3-SHA";
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
# add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/도메인명/chain.pem;
resolver 8.8.8.8 8.8.4.4 valid=86400; #구글 public DNS를 resolver로 사용
resolver_timeout 10;
여기까지 설정이 완료되면, 웹서버를 재시작해서 SSL적용하신 후에 테스트 해보시면 됩니다
끝!
추가 꿀팁)
1) 무조건 트래픽을 HTTPS로만 받겠다 하시면 웹서버 설정에서 리다이렉션을 설정해주셔야 합니다
nginx의 경우 하나의 server 블록 안에 http 와 https설정이 같이 들어가 있다면
if ($scheme != "https") { rewrite ^ https://$host$uri permanent; }
이렇게 해주셔야 하구요,
별도의 server block에서 https 처리해주신다면 http server 블록 안에 아래처럼만 추가해주시면 됩니다.
rewrite ^ https://$host$uri permanent;
물론, 수정하신 후 서버 재시작은 잊지 않으셨죠?
2) 본인의 서버의 HTTPS 안전성여부를 테스트해보시려면
https://www.ssllabs.com/ssltest/
여기 가서 서버 도메인을 입력해보시면 테스트한 결과가 점수로(-_-) 나옵니다. 여러가지 테스트를 자세히 해주니까 좋은거 같아요.
Today 0,
Yesterday 0,
Total 30
|
|||||||
---|---|---|---|---|---|---|---|
2017-03-16 18:07:02
2017-03-08 11:10:54
2017-03-05 16:48:03
2017-02-28 17:05:35
2017-02-26 12:07:19
2017-02-23 16:26:16
2017-02-23 15:16:30
2017-02-23 14:15:44
2017-02-20 17:38:23
2017-02-19 15:21:16
2017-02-18 00:49:38
2017-02-17 18:02:59
2017-02-17 17:14:08
2017-02-17 16:33:55
2017-02-17 15:17:39
2017-02-17 15:04:00
2017-02-17 14:42:16
2017-02-17 14:27:50
|