SW/리눅스

Debian 9 : Let's Encrypt로 Nginx 암호화 방법, 예제, 명령어

얇은생각 2021. 5. 24. 07:30
반응형

Let's Encrypt ISRG(Internet Security Research Group)에서 개발한 무료 개방형 인증 기관입니다. 암호화에서 발급한 인증서는 오늘날 거의 모든 브라우저에서 신뢰됩니다.

이 튜토리얼에서는 Certbot 도구를 사용하여 Debian 9에서 Nginx에 대한 무료 SSL 인증서를 얻는 방법을 설명합니다. 또한 SSL 인증서를 사용하도록 Nginx를 구성하고 HTTP/2를 사용하도록 설정하는 방법도 보여 줍니다.

 

 

Debian 9 : Let's Encrypt로 Nginx 암호화 방법, 예제, 명령어

 

 

전제조건

본 자습서를 계속하기 전에 다음 필수 구성 요소가 충족되었는지 확인하십시오. 

- sudo 권한을 가진 사용자로 로그인했습니다.

- 공용 서버 IP를 가리키는 도메인 이름이 있습니다. example.com을 이용하겠습니다.

- Nginx를 설치하십시오.

- 도메인에 대한 서버 블록이 있습니다. 만드는 방법에 대한 자세한 내용은 다음 지침을 따르십시오.

 

 

 

Certbot 설치

Certbot은 완전한 기능을 갖추고 사용하기 쉬운 도구로서, Let's Encrypt SSL 인증서를 가져오고 갱신하고 인증서를 사용하도록 웹 서버를 구성하는 작업을 자동화할 수 있습니다. certbot 패키지는 기본 Debian 저장소에 포함되어 있습니다.

패키지 목록을 업데이트하고 Certbot 패키지를 설치합니다.

sudo apt update
sudo apt install certbot

 

 

 

강력한 Dh(Diffie-Hellman) 그룹을 생성

Diffie-Hellman 키 교환(DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다. 보안을 강화하기 위해 새로운 2048비트 DH 매개 변수 세트를 생성할 예정입니다.

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

 

 

원하는 경우 최대 4096비트까지 크기를 변경할 수 있지만 이 경우 시스템 엔트로피에 따라 생성에 30분 이상 걸릴 수 있습니다.

 

 

 

SSL 인증서를 암호화

도메인에 대한 SSL 인증서를 얻기 위해 ${webroot-path}/.webroot-path}/.acme-challenge 디렉토리에서 요청한 도메인을 검증하기 위한 임시 파일을 생성하여 작동하는 Webroot 플러그인을 사용할 예정입니다. Let's Encrypt 서버는 임시 파일에 HTTP 요청을 만들어 요청한 도메인이 certbot이 실행되는 서버로 확인되는지 확인합니다.

.well-known/acme-challenge에 대한 모든 HTTP 요청을 /var/lib/lets 암호화라는 단일 디렉토리에 매핑합니다.

다음 명령은 디렉토리를 생성하고 Nginx 서버에 쓰기 가능하도록 합니다.

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

 

 

코드 복제를 방지하려면 Nginx 서버 블록 파일 모두에 포함될 다음 두 개의 코드를 만드십시오.

텍스트 편집기를 열고 첫 번째 코드 조각을 만듭니다

# /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

 

 

Mozilla에서 권장하는 키퍼를 포함하는 두 번째 코드 조각 ssl.conf를 생성하고, OCSP Stapling, HTTP Trict Transport Security(HSTS)를 사용하도록 설정하고, 보안 중심 HTTP 헤더를 거의 적용하지 않습니다.

# /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

 

 

완료되면 아래와 같이 도메인 서버 블록 파일을 열고 letsencrypt.conf 코드 조각을 포함합니다.

# /etc/nginx/sites-available/example.com.conf

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

 

 

사이트 사용 디렉토리에 대한 심볼 링크를 작성하여 새 서버 블록을 사용 가능으로 설정합니다.

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

 

 

Nginx 서비스를 다시 시작하여 변경 내용을 적용합니다.

sudo systemctl restart nginx

 

 

이제 Webroot 플러그인으로 Certbot을 실행하고 다음을 실행하여 SSL 인증서 파일을 가져올 수 있습니다.

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

 

 

SSL 인증서가 성공적으로 획득되면 터미널에 다음 메시지가 인쇄됩니다.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-07-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

 

 

# /etc/nginx/sites-available/example.com.conf

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

 

 

위의 구성에서는 HTTPS를 강제 적용하고 www에서 non-ww 버전으로 리디렉션하고 있습니다.

Nginx 서비스를 다시 로드하여 변경 내용을 적용합니다.

sudo systemctl reload nginx

 

 

 

자동 갱신 SSL 인증서를 암호화

암호화의 인증서는 90일 동안 유효합니다. 인증서를 만료하기 전에 자동으로 갱신하려면 certbot 패키지는 하루에 두 번 실행되는 크론 작업을 생성하고 만료 30일 전에 인증서를 자동으로 갱신합니다.

인증서가 갱신되면 certbot 웹 루트 플러그인을 사용하기 때문에 nginx 서비스도 다시 로드해야 합니다. --renew-hook "systemctl reload nginx" /etc/cron.d/certbot 파일에 다음과 같이 추가합니다.

# /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'slee

 

 

다음 명령을 실행하여 자동 갱신 프로세스를 테스트합니다.

sudo certbot renew --dry-run

 

 

오류가 없으면 갱신 프로세스가 성공했음을 의미합니다.

 

 

 

결론

요즘은 SSL 인증서를 가지고 있어야 합니다. 웹 사이트를 보호하고 SERP 랭킹 위치를 늘리며 웹 서버에서 HTTP/2를 사용하도록 설정할 수 있습니다.

이 튜토리얼에서는 Certbot Let's Encrypt 클라이언트를 사용하여 도메인에 대한 SSL 인증서를 생성했습니다. 코드 복제를 방지하기 위해 Nginx 조각을 생성하고 인증서를 사용하도록 Nginx를 구성했습니다. 자습서 끝에 인증서 자동 갱신을 위한 크론 작업을 설정했습니다.

Certbot 사용 방법에 대해 자세히 알아보려면 설명서를 참조하십시오.

반응형