SW/리눅스

CentOS 7 : Nginx에 Let's Encrypt로 HTTPS, SSL 적용하기

얇은생각 2020. 10. 4. 07:30
반응형

CentOS 7 : Nginx에 Let's Encrypt로 HTTPS, SSL 적용하기

 

Let Encryption ISRG(Internet Security Research Group)에서 개발한 무료 개방형 인증 기관입니다. Let's Encrypt에서 발급한 인증서는 오늘날 거의 모든 브라우저에서 신뢰됩니다.

이번 포스팅에서는 CentOS 7 certbot 도구를 사용하여 Let's Encryption으로 Nginx를 보호하는 방법에 대한 단계별로 알아보겠습니다.

 

 

필수 구성 요소 

이 튜토리얼을 계속하기 전에 다음 필수 구성 요소를 충족했는지 확인합니다.

- 공용 서버 IP를 가리키는 도메인 이름이 있습니다. 이 튜토리얼에서는 example.com을 사용할 것입니다.

- CentOS 7 Nginx를 설치하는 방법에 따라 EPEL 리포지토리를 사용하고 Nginx를 설치했습니다.

 

 

 

Certbot 설치 

Certbot Let's SSL 인증서 획득 및 갱신 및 웹 서버 구성 작업을 자동화할 수 있는 사용하기 쉬운 도구입니다.

EPEL 리포지토리에서 certbot 패키지를 설치하려면 다음을 실행합니다.

sudo yum install certbot

 

 

 

Strong Dh(Diffie-Hellman) 그룹 생성 

DH(Diffie-Hellman 키 교환)는 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.

다음 명령을 입력하여 새 2048비트 DH 매개변수 집합을 생성합니다. 

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

 

원하는 경우 크기를 최대 4096비트까지 변경할 수 있지만 이 경우 시스템 엔트로피에 따라 생성 시간이 30분 이상 걸릴 수 있습니다.

 

 

 

SSL 암호화 인증서 가져오기

도메인에 대한 SSL 인증서를 얻으려면 ${webroot-path}/.well-known/acme-challenge 디렉토리에서 요청된 도메인의 유효성을 검사하기 위한 임시 파일을 생성하여 작동하는 Webroot 플러그인을 사용합니다. Let's Encryption 서버는 임시 파일에 HTTP 요청을 하여 요청한 도메인이 certbot이 실행되는 서버로 결정되는지 확인합니다.

보다 간단하게 하기 위해 .well-know/acme-challerge에 대한 모든 HTTP 요청을 단일 디렉토리 /var/lib/lets 암호화로 매핑합니다.

다음 명령은 디렉터리를 만들고 Nginx 서버에 대해 쓰기 가능하도록 설정합니다.

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

 

코드 복제를 방지하려면 Nginx 서버 블록 파일에 포함할 다음과 같은 두 개의 스니펫을 만듭니다.

sudo mkdir /etc/nginx/snippets
# /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}
# /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

 

위의 코드 조각에는 Mozilla에서 권장하는 지퍼가 포함되어 있으며, OCSP Stapling, HTTP Strict Transport Security(HSTS)를 사용하도록 설정하고 보안 중심 HTTP 헤더를 거의 적용하지 않습니다.

코드 조각이 생성되면 도메인 서버 블록을 열고 다음과 같이 letsecrypt.conf 코드 조각이 포함됩니다.

# /etc/nginx/conf.d/example.com.conf

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

 

변경 내용을 적용하려면 Nginx 구성을 다시 로드합니다.

sudo systemctl reload nginx

 

이제 Webroot 플러그인으로 Certbot을 실행하고 다음을 실행하여 도메인의 SSL 인증서 파일을 가져올 수 있습니다.

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

 

SSL 인증서를 성공적으로 획득한 경우 certbot은 다음 메시지를 인쇄합니다.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

 

이제 인증서 파일이 있으므로 다음과 같이 도메인 서버 블록을 편집할 수 있습니다.

# /etc/nginx/conf.d/example.com.conf

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

 

위의 구성에서는 HTTPS를 강제 적용하고 www non www 버전으로 리디렉션합니다.

마지막으로 Nginx 서비스를 다시 로드하여 변경 내용을 적용합니다.

sudo systemctl reload nginx

 

 

 

SSL 인증서를 자동 갱신

암호화 인증서는 90일 동안 유효합니다. 만료되기 전에 인증서를 자동으로 갱신하기 위해 하루에 두 번 실행되며 만료 30일 전에 인증서가 자동으로 갱신되는 cronjob을 만듭니다.

crontab 명령을 실행하여 새 cronjob을 생성합니다. 

sudo crontab -e

 

다음 줄을 붙여넣습니다.

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

 

파일을 저장한 후 닫습니다.

갱신 프로세스를 테스트하려면 certbot 명령과 함께 --dry-run 스위치를 사용할 수 있습니다.

sudo certbot renew --dry-run

 

오류가 없으면 테스트 갱신 프로세스가 성공적이었음을 의미합니다.

 

 

 

정리

이 튜토리얼에서는 Let's Encrypt 클라이언트, certbot을 사용하여 도메인의 SSL 인증서를 다운로드했습니다. 또한 코드 복제를 방지하기 위해 Nginx 스니펫을 만들고 인증서를 사용하도록 Nginx를 구성했습니다. 마지막으로 인증서 자동 갱신을 위한 cronjob을 설정합니다. Certbot 사용 방법에 대해 자세히 알고 싶다면 Certbot의 설명서를 참조해주세요.

본인의 도메인에 https를 적용하기 위해서, 위 예제에 적용된 example.com을 본인의 도메인을 잘 변경해주셔야 합니다. 

반응형