암호화는 ISRG(Internet Security Research Group)에서 개발한 무료 자동 개방형 인증 기관으로 무료 SSL 인증서를 제공합니다.
Let's Encrypt에서 발급한 인증서는 모든 주요 브라우저에서 신뢰하며 발급일로부터 90일간 유효합니다.
Nginx를 웹 서버로 실행하는 Ubuntu 20.04에 무료 SSL 인증서를 설치하는 방법을 설명합니다. 또한 SSL 인증서를 사용하도록 Nginx를 구성하고 HTTP/2를 활성화하는 방법에 대해서도 설명합니다.
필수 구성 요소
계속하기 전에 다음 필수 구성 요소가 충족되었는지 확인하십시오.
공용 IP를 가리키는 도메인 이름이 있습니다. example.com을 사용합니다.
CentOS 서버에 Nginx가 설치되어 있습니다.
방화벽이 포트 80 및 443에서 연결을 허용하도록 구성되어 있습니다.
Certbot을 설치
인증서봇을 사용하여 인증서를 획득하고 갱신합니다.
Certbot은 SSL 인증서를 가져오고 갱신하는 작업을 자동화하고 인증서를 사용하도록 웹 서버를 구성하는 모든 기능을 갖추고 사용하기 쉬운 도구입니다.
certbot 패키지는 기본 Ubuntu 리포지토리에 포함되어 있습니다. 설치하려면 다음 명령을 실행합니다.
sudo apt update
sudo apt install certbot
강력한 DH(Diffie-Hellman) 그룹을 생성
Diffie-Hellman 키 교환(DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.
다음 명령을 입력하여 2048비트 DH 파라미터의 새 집합을 생성합니다.
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
키 길이는 최대 4096비트까지 사용할 수 있지만 시스템 엔트로피에 따라 생성에 30분 이상 걸릴 수 있습니다.
SSL 인증서를 암호화
도메인에 대한 SSL 인증서를 얻으려면 ${webroot-path}/.well-known/acme-challenge 디렉터리에 요청된 도메인을 검증하기 위한 임시 파일을 만들어 작동하는 Webroot 플러그인을 사용합니다. 암호화 서버는 임시 파일에 HTTP 요청을 하여 요청된 도메인이 certbot이 실행되는 서버로 확인되는지 확인합니다.
쉽게 하기 위해 .well-known/acme-challenge에 대한 모든 HTTP 요청을 단일 디렉터리 /var/lib/letsencrypt에 매핑합니다.
다음 명령은 디렉토리를 만들고 Nginx 서버에 쓸 수 있도록 합니다.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
코드 중복을 방지하기 위해 두 개의 스니펫을 만들어 모든 Nginx 서버 블록 파일에 포함시킬 것입니다.
텍스트 편집기를 열고 첫 번째 스니펫인 etsencrypt.conf를 만듭니다.
# /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
그런 다음 Mozilla에서 권장하는 칩퍼가 포함된 두 번째 스니펫 ssl.conf를 만들고 OCSP Stapling, HTTP Strict Transport Security(HSTS)를 활성화하고 몇 가지 보안 위주의 HTTP 헤더를 적용합니다.
# /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
스니펫이 생성되면 도메인 서버 블록 파일을 열고 아래와 같이 letsencrypt.conf 스니펫을 포함합니다.
# /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
server_name example.com www.example.com을 참조하십시오. 새 서버 블록을 사용하려면 파일에서 사이트 사용 디렉토리로 심볼 링크를 만드십시오.
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
Nginx 서비스를 다시 시작하여 변경 내용을 적용합니다.
sudo systemctl restart nginx
이제 웹루트 플러그인으로 Certbot을 실행하고 다음을 발급하여 SSL 인증서 파일을 얻을 수 있습니다.
sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
SSL 인증서를 성공적으로 획득한 경우 certbot은 다음 메시지를 인쇄합니다.
# IMPORTANT NOTES:
# - Congratulations! Your certificate and chain have been saved at:
# /etc/letsencrypt/live/example.com/fullchain.pem
# Your key file has been saved at:
# /etc/letsencrypt/live/example.com/privkey.pem
# Your cert will expire on 2020-10-18. To obtain a new or tweaked
# version of this certificate in the future, simply run certbot
# again. To non-interactively renew *all* of your certificates, run
# "certbot renew"
# - Your account credentials have been saved in your Certbot
# configuration directory at /etc/letsencrypt. You should make a
# secure backup of this folder now. This configuration directory will
# also contain certificates and private keys obtained by Certbot so
# making regular backups of this folder is ideal.
# - If you like Certbot, please consider supporting our work by:
#
# Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
# Donating to EFF: https://eff.org/donate-le
이제 인증서 파일을 확보했으므로 다음과 같이 도메인 서버 블록을 편집할 수 있습니다.
# /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
위의 구성에서 HTTPS를 강제 적용하고 www에서 www 이외의 버전으로 리디렉션합니다.
Nginx 서비스를 다시 로드하여 변경 내용을 적용합니다.
sudo systemctl reload nginx
SSL 인증서가 성공적으로 설치되었는지 확인하려면 https://를 사용하여 웹 사이트를 열면 녹색 잠금 아이콘이 나타납니다.
SSL Labs Server Test를 사용하여 도메인을 테스트하는 경우 아래 이미지와 같이 A+ 등급을 받게 됩니다.
자동 갱신 SSL 인증서를 암호화
암호화의 인증서는 90일간 유효합니다. 인증서가 만료되기 전에 자동으로 갱신되도록 certbot 패키지는 cronjob 및 systemd 타이머를 생성합니다. 타이머는 만료 30일 전에 인증서를 자동으로 갱신합니다.
인증서가 갱신되면 nginx 서비스를 다시 로드해야 합니다. /etc/letsencrypt/cli.ini를 열고 다음 줄을 추가합니다.
# /etc/cron.d/certbot
deploy-hook = systemctl reload nginx
/etc/certbot.d/certbot을 참조하십시오.
갱신 프로세스를 테스트하려면 certbot --dry-run 명령을 실행합니다.
sudo certbot renew --dry-run
오류가 없으면 갱신 프로세스가 성공했음을 의미합니다.
인증봇을 사용하여 도메인에 대한 SSL 인증서를 암호화하는 방법에 대해 설명했습니다. 또한 코드 중복을 방지하기 위해 Nginx 스니펫을 만들고 인증서를 사용하도록 Nginx를 구성했습니다.
'SW > 리눅스' 카테고리의 다른 글
| Linux : Tar Gz 파일 생성 방법, 예제, 명령어 (0) | 2022.11.16 |
|---|---|
| Linux : 디렉토리 이름 변경 방법, 예제, 명령어 (1) | 2022.11.15 |
| Linux : Vim / Vi : 라인 삭제 방법, 예제, 명령어 (1) | 2022.11.13 |
| Linux : 메모리 사용량 확인 방법, 예제, 명령어 (0) | 2022.11.12 |
| Linux : Ubuntu 20.04 : Jenkins 설치 방법, 예제, 명령어 (0) | 2022.11.11 |