암호화는 ISRG(Internet Security Research Group)에서 개발한 무료 자동화 개방형 인증 기관으로 무료 SSL 인증서를 제공합니다.
Let's Encrypt에서 발급한 인증서는 모든 주요 브라우저에서 신뢰되며 발급일로부터 90일 동안 유효합니다.
Nginx를 웹 서버로 실행하는 버스터, Debian 10, 무료 Let's Encrypt SSL 인증서를 설치하는 방법을 보여줍니다. 또한 Nginx가 SSL 인증서를 사용하고 HTTP/2를 사용하도록 구성하는 방법을 보여 줍니다.
필수 조건
가이드를 진행하기 전에 다음 전제 조건이 충족되었는지 확인하십시오.
루트 또는 sudo 권한이 있는 사용자로 로그인했습니다.
SSL 인증서를 가져올 도메인은 공용 서버 IP를 가리켜야 합니다. example.com을 이용하겠습니다.
Nginx가 설치되었습니다.
Certbot을 설치
인증서봇 도구를 사용하여 인증서를 획득하고 갱신합니다.
Certbot은 SSL 인증서를 가져오고 갱신하는 작업을 자동화하고 인증서를 사용하도록 웹 서버를 구성하는 모든 기능을 갖춘 사용하기 쉬운 도구입니다.
인증서봇 패키지는 기본 Debian 리포지토리에 포함되어 있습니다. 다음 명령을 실행하여 certbot을 설치합니다.
sudo apt update
sudo apt install certbot
DH(Diffie-Hellman) 그룹을 생성
DH(Diffie-Hellman 키 교환)는 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.
보안을 강화하기 위해 새로운 2048비트 DH 매개 변수 세트를 생성할 예정입니다.
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
최대 4096비트까지 크기를 변경할 수 있지만 시스템 엔트로피에 따라 생성에 30분 이상이 걸릴 수 있습니다.
SSL 인증서를 암호화
도메인에 대한 SSL 인증서를 얻기 위해 Webroot 플러그인을 사용합니다. ${webroot-path}/.well-known/acme Challenge 디렉터리에서 요청된 도메인을 검증하기 위한 임시 파일을 만드는 방식으로 작동합니다. Let's Encrypt 서버는 임시 파일에 HTTP 요청을 하여 요청된 도메인이 인증서봇이 실행되는 서버로 확인되는지 확인합니다.
.well-known/acme 당면 과제에 대한 모든 HTTP 요청을 단일 디렉토리인 /var/lib/lets 암호화에 매핑합니다.
다음 명령을 실행하여 디렉토리를 만들고 Nginx 서버에 쓰기 가능하도록 합니다.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
코드 중복을 방지하기 위해 모든 Nginx 서버 블록 파일에 포함될 두 개의 스니펫을 만듭니다.
텍스트 편집기를 열고 첫 번째 조각인 letsencrypt.conf를 만듭니다.
# /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
두 번째 코드 조각 ssl.conf에는 Mozilla에서 권장하는 키퍼가 포함되어 있으며, OCSP 스테이플링, HTTP 엄격한 전송 보안(HSTS)을 사용하도록 설정하고 보안 중심의 HTTP 헤더를 거의 적용하지 않습니다.
# /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
작업이 완료되면 도메인 서버 블록 파일을 열고 아래와 같이 letsencypt.conf 조각을 포함합니다.
# /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
도메인 서버 블록을 활성화하기 위해 사이트 사용 디렉토리에 대한 심볼 링크를 만듭니다.
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
변경 내용을 적용하려면 Nginx 서비스를 다시 시작합니다.
sudo systemctl restart nginx
이제 다음 명령을 실행하여 SSL 인증서 파일을 가져올 준비가 되었습니다.
sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
# IMPORTANT NOTES:
# - Congratulations! Your certificate and chain have been saved at:
# /etc/letsencrypt/live/example.com/fullchain.pem
# Your key file has been saved at:
# /etc/letsencrypt/live/example.com/privkey.pem
# Your cert will expire on 2020-02-22. To obtain a new or tweaked
# version of this certificate in the future, simply run certbot
# again. To non-interactively renew *all* of your certificates, run
# "certbot renew"
# - If you like Certbot, please consider supporting our work by:
#
# Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
# Donating to EFF: https://eff.org/donate-le
SSL 인증서를 성공적으로 얻으면 다음 메시지가 터미널에 인쇄됩니다.
다음과 같이 도메인 서버 블록을 편집하고 SSL 인증서 파일을 포함합니다.
# /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
위의 구성은 Nginx가 HTTP에서 HTTPS로, www에서 non-www 버전으로 리디렉션하도록 지시합니다.
변경 내용을 적용하려면 Nginx 서비스를 다시 시작하거나 다시 로드하십시오.
sudo systemctl restart nginx
https://를 사용하여 웹 사이트를 열면 녹색 잠금 아이콘이 표시됩니다.
SSL Labs Server 테스트를 사용하여 도메인을 테스트하는 경우 아래 이미지에 표시된 대로 A+ 등급을 받게 됩니다.
SSL 인증서를 암호화하도록 자동 갱신
암호화의 인증서는 90일 동안 유효합니다. 인증서가 만료되기 전에 자동으로 갱신하기 위해 certbot 패키지는 cronjob과 systemd 타이머를 생성합니다. 타이머는 만료 30일 전에 인증서를 자동으로 갱신합니다.
인증서가 갱신되면 nginx 서비스도 다시 로드해야 합니다. /etc/letsencypt/cli.ini를 열고 다음 줄을 추가합니다.
# /etc/cron.d/certbot
deploy-hook = systemctl reload nginx
다음 명령을 실행하여 자동 갱신 프로세스를 테스트합니다.
sudo certbot renew --dry-run
오류가 없으면 갱신 프로세스가 성공했음을 의미합니다.
요즘은 SSL 인증서가 필수입니다. 웹 사이트를 보호하고 SERP 순위 위치를 높이며 웹 서버에서 HTTP/2를 사용하도록 설정할 수 있습니다.
이 튜토리얼에서는 certbot 스크립트를 사용하여 SSL 인증서를 생성하고 갱신하는 방법을 보여드렸습니다. 또한 Nginx가 인증서를 사용하도록 구성하는 방법도 보여드렸습니다.
Certbot에 대해 자세히 알아보려면 Certbot 설명서를 참조하십시오.
'SW > 리눅스' 카테고리의 다른 글
| Linux : Docker 실행하는 방법, 명령어, 예제 (0) | 2022.05.02 |
|---|---|
| Linux : Diff 명령어, 사용 방법, 예제 (0) | 2022.05.01 |
| Linux : CIFS로 윈도우 공유 마운트 방법, 예제, 명령어 (0) | 2022.04.29 |
| Linux : CentOS 8 : 구글 크롬 브라우저 설치 방법, 예제, 명령어 (0) | 2022.04.28 |
| Linux : CentOS 8 : Go 설치 방법, 예제, 명령어 (0) | 2022.04.27 |