Certbot SSL발급 최고의 적용 방법 with Nginx

개요

---

certbot을 통해 발급한 *.mydomain.com 이라는 와일드카드 주소가 renew로 갱신이 안 돼서 다른 방법을 찾게 되었다.
와일드카드도 자동 갱신이 가능하긴 한데 과정이 너무 복잡하여 다른 방법을 찾게 되었고, 이번엔 가장 깔끔한 방법을 정리하고자 한다.
아래 내용은 web호스팅, 프록시 호스팅을 예시로 두고 있다.
또한 가비아 등 별도로 도메인 공급업체에서 ACME 수동 인증을 통하지 않아서 번거로움을 줄일 수 있다.

 

환경

---

• Ubuntu 22.04
• certbot
• nginx
• code-server (설치되어있음. 8080 포트 사용)

 

진행

---

1. Certbot 설치하기

Ubuntu/Debian

sudo apt update 
sudo apt install certbot
sudo apt install python3-certbot-nginx # Nginx와 acme챌린지를 위한 플러그인
sudo apt install python3-certbot-apache # Apache와 acme챌린지를 위한 플러그인

 

CentOS/RHEL

sudo yum install certbot 
sudo yum install python3-certbot-nginx # Nginx와 acme챌린지를 위한 플러그인
sudo yum install python3-certbot-apache # Apache와 acme챌린지를 위한 플러그인

예제에서는 apache도 존재하지만, 내가 시도하는 방식은 nginx 위주로만 작성하였기 때문에 nginx플러그인을 설치하도록 한다.

 

2. 인증서 발급하기

!!!! 해당 방식을 진행하기 전엔 무조건 도메인 제공 업체에 내가 사용할 1차 도메인 mydomain.com, 2차 도메인 second.mydomain.com 등이 미리 추가가 되어있어야 한다!!!!

 

아래 명령어를 통해 SSL 발급을 시도한다.

sudo certbot certonly --nginx --cert-name mydomain.com -d mydomain.com -d www.mydomain.com -d code.mydomain.com
# mydomain.com과 www.mydomain.com과 code.mydomain.com에 대한 인증서를 izvillain.com이라는 이름으로 합쳐서 발급

 

설명

• sudo certbot: SSL을 발급하고 저장할 때 Certbot이 시스템디렉터리에 접근하여 작업을 수행하기 때문에 sudo권한이 필요
• certonly: 해당 옵션이 없다면 nginx나 apache 플러그인을 통해 certbot이 알아서 막. conf파일을 수정하게 된다.
• --nginx: 인증 방식 중 웹서버인증방식인 nginx를 선택
• --cert-name: 인증서들을 묶어둘 대표 이름 (나중에 SSL 디렉터리가 해당이름으로 생성됨)
• -d: 어떤 도메인에 대한 인증서를 발급할 것 인지 선택

 

3. Nginx Https(80 TO 443) 자동 업그레이드 구성

여기까지 잘 진행했다면 SSL인증서는 /etc/letsencrypt/live/mydomain.com/ 에 존재할 것이다.
이제 할 일은 Nginx 웹서버로 들어오는 모든 요청을 https로 업그레이드하도록 유도하게 하는 것이다.

아래 명령어를 입력하여, 공용 http.conf 파일을 만들도록 하자

cd /etc/nginx/sites-available
sudo vi http.conf

#shared http
server{
    listen 80;
    return 308 https://$host:443$request_uri; #들어오는 모든 80번 포트 요청에 대해 443으로 업그레이드
}

:wq 로 저장 및 나오기

 

링크 생성

sudo ln -s /etc/nginx/sites-available/http.conf /etc/nginx/sites-enabled/http.conf

 

nginx 유효성 검사

sudo nginx -t

Success가 잘 표시된다면 문제없는 상태다.

 

4. SSL 적용하기

조금만 더 하면 기초작업은 완료된다.
아래 명령어를 통해 SSL을 적용할 도메인에 대한 conf 파일을 만들어주도록 하자.

sudo vi /etc/nginx/sites-available/mydomain.com.conf

 

아래 .conf파일 에서 1번과 2번은 같은 웹사이트로 가게 하는 예시고,
3번은 별도로 내부에서 호스팅 하는 다른 서버로 이동하게 하는 예시다.
나의 경우는 code-server를 로컬포트 8080으로 열고,

3번과 같이 구성하여 외부에서는 code.mydomain.com으로만 유입 가능하게 처리를 했다.

 

#mydomain.com을 사용하는 모든 호스팅들

#1: 웹호스트
server {
        listen 443 ssl;
        server_name mydomain.com; #1차도메인으로  들어오는 주소  캐치

        ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem; #
        ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;

        location / {
                root /home/user/myweb/build/web; #호스팅할 웹사이트 경로
                index index.html; #시작할 웹사이트 인덱스 파일
        }
}

#2: 웹호스트 www에 대해 강제로 mydomain.com으로 이동
server {
        listen 443 ssl;
        server_name www.mydomain.com; #2차 도메인 www로 들어오는 주소  캐치

        ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;

        return 301 https://mydomain.com$request_uri; #이동시킬  실제  주소
}


#3: 프록시호스트 (또는 가상호스트)
server {
        listen 443 ssl;
        server_name code.mydomain.com; #2차 도메인 code로 들어오는 주소 캐치

        ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;

        location / {
                proxy_pass http://127.0.0.1:8080; #로컬에서 호스팅중인 실제 주소
                proxy_set_header Host code.mydomain.com; #반드시 요청 URL 과 동일하게 적어야함 (오류가 난다면 대부분 여기서 문제,  포트도 붙여서 시도해보기)
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection upgrade;
                #proxy_set_header Accept-Encoding gzip;

        }
}

:wq 로 저장 및 나오기

 

필요하다면 server{} 항목을 더 추가하여 info.mydomain.com 또는 sample.mydomain.com 같은 다양한 2차 도메인도 호스팅 할 수 있다.

 

링크 생성

sudo ln -s /etc/nginx/sites-available/mydomain.com.conf /etc/nginx/sites-enabled/mydomain.com.conf

링크를 생성한 이유는 nginx 기본 설정으로 인해 sites-enabled 폴더 안에 있는 .conf 파일만 읽을 수 있기 때문이다. 나중에 해당 사이트를 잠시 안 쓰려면 mydomain.com.conf.bak 으로 이름만 바꾸면 된다.

 

nginx 유효성 검사

sudo nginx -t

Success 가 잘 출력되면 문제없음.

 

Nginx 서비스 재시작

sudo systemctl restart nginx 

내가 원하는 도메인으로 잘 이동이 되는지 확인이 되면 기초 공사는 모두 끝이다.

 

5. (선택사항) SSL 자동갱신 구성

아래 명령어를 입력하면 certbot으로 생성한 모든 SSL를 갱신할 수 있다.

sudo certbot renew

 

근데 3개월마다 갱신해주려고 신경을 써야한다는게 여간 귀찮은 일이 아닐 수 없다.

이를 해결하기 위한 가장 심플한 방법은 리눅스의 자동화 기능인 crontab을 사용해서 갱신되도록 구성하면 된다.

우선 아래 명령어로 원하는 디렉토리에 certbot관련된 폴더와 파일을 만들도록 하자

 

cd /home/user #디렉토리는 꼭 자신의 디렉토리에 맞게 변경
mkdir certbot
cd certbot
vi renew.sh

 

쉘스크립트 작성

#!/bin/bash

LOG_FILE="/home/user/certbot/renew.log" #디렉토리는 꼭 자신의 디렉토리에 맞게 변경

echo "[$(date)] Certbot 갱신 시작" >> "$LOG_FILE"

certbot renew >> "$LOG_FILE" 2>&1

echo "[$(date)] Certbot 갱신 완료" >> "$LOG_FILE"

:wq 로 저장 및 나오기

 

모든 그룹에 파일 읽기/쓰기/실행 권한 부여

chmod 777 renew.sh

여기까지 되었다면 아래 명령어를 입력해서

sudo ./renew.sh

스크립트가 잘 실행되는지랑 로그가 잘 남는지 확인해보자.

크론탭 추가

sudo crontab -e #반드시 sudo로 해야 su권한으로만 실행 가능한 certbot renew 가 정상실행됨.

#3시간 마다 certbot renew
0 */3 * * * /home/user/certbot/renew.sh #디렉토리는 꼭 자신의 디렉토리에 맞게 변경

이제 3시간마다 자동으로 SSL을 모두 갱신할 수 있게 되었다.

 

6. (선택사항) 2차 도메인 추가

현재까지 나는 mydomain.com, www.mydomain.com code.mydomain.com 이렇게 3가지의 SSL 인증서를 mydomain.com이라는 곳에 합쳐서 발급했다.
만약 info.mydomain.com 이라는 주소를 쓰는 사이트를 호스팅 하려면 어떻게 해야 할까?

!!!! 해당 방식을 진행하기 전엔 무조건 도메인 제공 업체에 내가 사용할 1차 도메인 mydomain.com, 2차 도메인 second.mydomain.com 등이 미리 추가가 되어있어야 한다!!!!

아래 코드를 통해 info.mydomain.com 인증서를 추가하자.

sudo certbot certonly --nginx --cert-name mydomain.com -d mydomain.com -d www.mydomain.com -d info.mydomain.com

이번엔 처음 인증서를 발급할 때랑은 달리

- - - - - - - - - - - - - - - - - - - - - - - - - - 
You are updating certificate izvillain.com to include new domain(s):
+ info.mydomain.com

You are also removing previously included domain(s):
(None)

Did you intend to make this change?
- - - - - - - - - - - - - - - - - - - - - - - - - -
(U)pdate certificate/(C)ancel: U

라는 메시지가 뜬다

추가되는 도메인과 삭제될 도메인 목록인데 삭제되는 게 있는지 반드시!! 잘 확인해보고 U를 입력.

 

이번에는 해당 2차 도메인을 신규호스트에 물리기 위해 nginx의 .conf파일을 수정하도록 하자

vi /etc/nginx/sites-enabled/mydomain.com.conf

... 끝에 추가

#4: 추가 웹호스트
server {
        listen 443 ssl;
        server_name info.mydomain.com; #1차도메인으로  들어오는 주소  캐치

        ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem; #
        ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;

        location / {
                root /home/user/infoweb/build/web; #호스팅할 웹사이트 경로
                index index.html; #시작할 웹사이트 인덱스 파일
        }
}

:wq 로 저장 및 나오기

 

nginx 유효성 검사

sudo nginx -t

Success가 잘 표시된다면 문제없는 상태므로 nginx 서비스 재시작

sudo systemctl restart nginx

이제 새로 추가한 주소인 info.mydomain.com 이 잘 접속되는지 확인해보자.

 

7. (선택사항) Certbot 유용한 명령어들

• sudo certbot certificates: 현재 certbot을 통해 등록되어 있는 모든 인증서들을 표시한다.
• sudo certbot delete --cert-name mydomain.com: 해당 이름을 사용하는 모든 인증서를 삭제한다.
• sudo certbot renew: 모든 SSL인증서 갱신.