웹사이트 검색

Certbot 독립형 모드를 사용하여 Ubuntu 16.04에서 Let's Encrypt SSL 인증서를 검색하는 방법

소개

Certbot.

Certbot은 도메인을 검증하고, 인증서를 가져오고, Apache 및 Nginx를 자동으로 구성하는 다양한 방법을 제공합니다. 이 자습서에서는 Certbot의 독립형 모드와 이를 사용하여 메일 서버 또는 RabbitMQ와 같은 메시지 브로커와 같은 다른 유형의 서비스를 보호하는 방법에 대해 설명합니다.

SSL 구성에 대한 자세한 내용은 다루지 않겠지만 완료되면 자동으로 갱신되는 유효한 인증서를 갖게 됩니다. 또한 갱신된 인증서를 선택하기 위해 서비스 다시 로드를 자동화할 수 있습니다.

전제 조건

이 튜토리얼을 시작하기 전에 다음이 필요합니다.

  • 이 Ubuntu 16.04 서버 설정 자습서에 자세히 설명된 대로 루트가 아닌 sudo 사용 사용자 및 기본 방화벽 설정이 있는 Ubuntu 16.04 서버
  • 서버를 가리키는 도메인 이름. "DigitalOcean으로 호스트 이름을 설정하는 방법\에 따라 수행할 수 있습니다. 이 튜토리얼에서는 전체적으로 example.com을 사용합니다.
  • 포트 80 또는 443은 서버에서 사용하지 않아야 합니다. 보호하려는 서비스가 두 포트를 모두 차지하는 웹 서버가 있는 시스템에 있는 경우 Certbot의 webroot 모드와 같은 다른 모드를 사용해야 합니다.

1단계 - Certbot 설치

Ubuntu는 기본 리포지토리에 Certbot 클라이언트를 포함하지만 약간 구식입니다. 대신 Certbot의 공식 Ubuntu PPA 또는 Personal Package Archive에서 설치합니다. 보다 최신이거나 더 모호한 소프트웨어를 패키징하는 대체 리포지토리입니다. 먼저 저장소를 추가합니다.

  1. sudo add-apt-repository ppa:certbot/certbot

동의하려면 ENTER를 눌러야 합니다. 그런 다음 패키지 목록을 업데이트하여 새 리포지토리의 패키지 정보를 선택합니다.

  1. sudo apt-get update

마지막으로 certbot 패키지를 설치합니다.

  1. sudo apt-get install certbot

이제 Certbot을 설치했으므로 실행하여 인증서를 가져오겠습니다.

2단계 - Certbot 실행

Certbot은 우리가 도메인을 제어하고 있음을 증명하기 위해 Let’s Encrypt API에서 발행한 암호화 문제에 응답해야 합니다. 이를 위해 80(HTTP) 또는 443(HTTPS) 포트를 사용합니다. 방화벽에서 적절한 포트를 엽니다.

  1. sudo ufw allow 80

사용 중인 포트인 경우 위의 443로 대체하십시오. ufw는 규칙이 추가되었다는 확인을 출력합니다.

Output
Rule added
Rule added (v6)

이제 Certbot을 실행하여 인증서를 얻을 수 있습니다. --standalone 옵션을 사용하여 자체 내장 웹 서버를 사용하여 챌린지를 처리하도록 Certbot에 알립니다. --preferred-challenges 옵션은 Certbot이 포트 80 또는 포트 443을 사용하도록 지시합니다. 포트 80을 사용하는 경우 --preferred-challenges http를 원합니다. 포트 443의 경우 --preferred-challenges tls-sni입니다. 마지막으로 -d 플래그는 인증서를 요청하는 도메인을 지정하는 데 사용됩니다. 여러 -d 옵션을 추가하여 하나의 인증서에 여러 도메인을 포함할 수 있습니다.

  1. sudo certbot certonly --standalone --preferred-challenges http -d example.com

명령을 실행할 때 이메일 주소를 입력하고 서비스 약관에 동의하라는 메시지가 표시됩니다. 이렇게 하면 프로세스가 성공했으며 인증서가 저장된 위치를 알려주는 메시지가 표시됩니다.

Output
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2017-10-23. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again with the
   "certonly" option. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

우리는 우리의 인증서를 가지고 있습니다. 다운로드한 항목과 소프트웨어에서 파일을 사용하는 방법을 살펴보겠습니다.

3단계 - 애플리케이션 구성

애플리케이션마다 요구 사항과 구성 옵션이 다르기 때문에 SSL용으로 애플리케이션을 구성하는 것은 이 기사의 범위를 벗어납니다. 하지만 Certbot이 우리를 위해 다운로드한 것을 살펴보겠습니다. ls를 사용하여 키와 인증서가 있는 디렉토리를 나열합니다.

  1. sudo ls /etc/letsencrypt/live/example.com



Output
cert.pem  chain.pem  fullchain.pem  privkey.pem  README

이 디렉토리의 README 파일에는 이러한 각 파일에 대한 자세한 정보가 있습니다. 대부분의 경우 다음 파일 중 두 개만 필요합니다.

  • privkey.pem: 인증서의 개인 키입니다. 이것은 안전하고 비밀로 유지되어야 합니다. 이것이 대부분의 /etc/letsencrypt 디렉토리가 매우 제한적인 권한을 가지며 루트 사용자만 액세스할 수 있는 이유입니다. 대부분의 소프트웨어 구성에서는 이를 ssl-certificate-key 또는 ssl-certificate-key-file과 유사한 것으로 참조합니다.
  • fullchain.pem: 이것은 모든 중간 인증서와 함께 번들로 제공되는 인증서입니다. 대부분의 소프트웨어는 실제 인증서에 대해 이 파일을 사용하고 'ssl-certificate'와 같은 이름으로 구성에서 참조합니다.

존재하는 다른 파일에 대한 자세한 내용은 Certbot 문서의 "내 인증서는 어디에 있습니까?\ 섹션을 참조하십시오.

일부 소프트웨어는 다른 형식, 다른 위치 또는 다른 사용자 권한이 있는 인증서가 필요합니다. letsencrypt 디렉토리에 모든 것을 남겨두고 거기에 있는 권한을 변경하지 않는 것이 가장 좋지만(어쨌든 갱신 시 권한을 덮어쓰게 됩니다) 때로는 이것이 옵션이 아닐 수도 있습니다. 이 경우 필요에 따라 파일을 이동하고 권한을 변경하는 스크립트를 작성해야 합니다. 이 스크립트는 Certbot이 인증서를 갱신할 때마다 실행해야 하며 다음에 대해 설명하겠습니다.

4단계 - Certbot 자동 갱신 처리

Let’s Encrypt의 인증서는 90일 동안만 유효합니다. 이는 사용자가 인증서 갱신 프로세스를 자동화하도록 권장하기 위한 것입니다. 우리가 설치한 certbot 패키지는 갱신 스크립트를 /etc/cron.d에 추가하여 이를 처리합니다. 이 스크립트는 하루에 두 번 실행되며 만료 30일 이내의 모든 인증서를 갱신합니다.

인증서가 자동으로 갱신되므로 갱신 후 다른 작업을 실행할 방법이 여전히 필요합니다. 새 인증서를 선택하려면 적어도 서버를 다시 시작하거나 다시 로드해야 하며, 3단계에서 언급한 것처럼 사용 중인 소프트웨어에서 인증서 파일이 작동하도록 하려면 어떤 방식으로든 인증서 파일을 조작해야 할 수 있습니다. 이것이 Certbot의 renew_hook 옵션의 목적입니다.

renew_hook를 추가하기 위해 Certbot의 갱신 구성 파일을 업데이트합니다. Certbot은 인증서를 처음 가져온 방법에 대한 모든 세부 정보를 기억하고 갱신 시 동일한 옵션으로 실행합니다. 후크를 추가하기만 하면 됩니다. 선호하는 편집기로 구성 파일을 엽니다.

  1. sudo nano /etc/letsencrypt/renewal/example.com.conf

일부 구성 옵션과 함께 텍스트 파일이 열립니다. 마지막 줄에 후크를 추가합니다.

renew_hook = systemctl reload rabbitmq

서버를 다시 로드하거나 사용자 정의 파일 복사 스크립트를 실행하기 위해 실행해야 하는 항목으로 위의 명령을 업데이트하십시오. 일반적으로 Ubuntu에서는 주로 systemctl을 사용하여 서비스를 다시 로드합니다. 파일을 저장하고 닫은 다음 Certbot 연습 실행을 실행하여 구문이 올바른지 확인합니다.

  1. sudo certbot renew --dry-run

오류가 표시되지 않으면 모든 설정이 완료된 것입니다. Certbot은 필요할 때 갱신하고 새 파일을 사용하여 서비스를 받는 데 필요한 모든 명령을 실행하도록 설정됩니다.

결론

이 튜토리얼에서는 Certbot Let’s Encrypt 클라이언트를 설치하고, 독립 실행형 모드를 사용하여 SSL 인증서를 다운로드하고, 갱신 후크로 자동 갱신을 활성화했습니다. 이렇게 하면 일반 웹 서버 이외의 서비스에서 Let's Encrypt 인증서를 사용하는 데 좋은 출발점이 될 것입니다.

자세한 내용은 Certbot의 설명서를 참조하십시오.