CentOS 8에서 암호화하자.

Let 's Encrypt는 무료 SSL 인증서를 제공하는 ISRG (Internet Security Research Group)에서 개발 한 무료의 자동화 된 공개 인증 기관입니다.

Let 's Encrypt에서 발급 한 인증서는 모든 주요 브라우저에서 신뢰하며 발급일로부터 90 일 동안 유효합니다.

이 튜토리얼에서는 Nginx를 웹 서버로 실행하는 CentOS 8에 무료 Let 's Encrypt SSL 인증서를 설치하는 방법에 대한 단계별 지침을 제공합니다. SSL 인증서를 사용하고 HTTP / 2를 활성화하도록 Nginx를 구성하는 방법도 보여줍니다.

전제 조건

계속하기 전에 다음 전제 조건을 충족했는지 확인하십시오.

• 공개 IP를 가리키는 도메인 이름이 있습니다. example.com 사용합니다. CentOS 서버에 Nginx가 설치되어 있습니다. 방화벽은 포트 80 및 443의 연결을 허용하도록 구성되어 있습니다.

Certbot 설치

Certbot은 서버에서 HTTPS를 통해 SSL 인증서를 암호화하고 자동으로 활성화하는 과정을 단순화하는 무료 명령 줄 도구입니다.

certbot 패키지는 표준 CentOS 8 리포지토리에 포함되어 있지 않지만 공급 업체의 웹 사이트에서 다운로드 할 수 있습니다.

루트 또는 sudo 사용자로 다음 wget 명령을 실행하여 certbot 스크립트를 /usr/local/bin 디렉토리로 다운로드하십시오.

sudo wget -P /usr/local/bin

다운로드가 완료되면 파일을 실행 파일로 만듭니다.

sudo chmod +x /usr/local/bin/certbot-auto

Strong Dh (Diffie-Hellman) 그룹 생성

Diffie-Hellman 키 교환 (DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다.

다음 명령을 입력하여 2048 비트 DH 매개 변수의 새 세트를 생성하십시오.

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Let 's Encrypt SSL 인증서 얻기

도메인에 대한 SSL 인증서를 얻기 위해 ${webroot-path}/.well-known/acme-challenge 디렉토리에서 요청 된 도메인의 유효성을 검증하기위한 임시 파일을 작성하여 작동하는 Webroot 플러그인을 사용합니다. Let 's Encrypt 서버는 요청 된 도메인이 certbot이 실행되는 서버로 확인되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.

더 간단하게하기 위해 .well-known/acme-challenge 에 대한 모든 HTTP 요청을 단일 디렉토리 /var/lib/letsencrypt 합니다.

다음 명령어는 디렉토리를 생성하고 Nginx 서버에 쓸 수 있도록합니다.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

코드 복제를 피하려면 모든 Nginx 서버 블록 파일에 포함될 다음 두 스 니펫을 작성하십시오.

sudo mkdir /etc/nginx/snippets /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=63072000" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

위의 스 니펫에는 Mozilla에서 권장하는 칩 퍼가 포함되어 있으며 OCSP 스테이플 링, HSTS (HTTP Strict Transport Security)를 활성화하고 보안 중심 HTTP 헤더를 거의 사용하지 않습니다.

스 니펫이 생성되면 도메인 서버 블록을 열고 아래와 같이 letsencrypt.conf 스 니펫을 포함시킵니다.

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

변경 사항을 적용하려면 Nginx 구성을 다시로드하십시오.

sudo systemctl reload nginx

webroot 플러그인과 함께 certbot 도구를 실행하여 도메인의 SSL 인증서 파일을 확보하십시오.

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

certbot 처음 호출하면 도구가 누락 된 종속성을 설치합니다.

SSL 인증서가 성공적으로 획득되면 certbot은 다음 메시지를 인쇄합니다.

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-03-12. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

인증서 파일이 준비되었으므로 다음과 같이 도메인 서버 블록을 편집 할 수 있습니다.

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

위의 구성으로 HTTPS를 강제하고 www를 www가 아닌 ​​버전으로 리디렉션합니다.

마지막으로 변경 사항을 적용하려면 Nginx 서비스를 다시로드하십시오.

sudo systemctl reload nginx

이제 https:// 사용하여 웹 사이트를 열면 녹색 자물쇠 아이콘이 나타납니다.

자동 갱신 SSL 인증서 암호화

암호화하자 인증서는 90 일 동안 유효합니다. 인증서가 만료되기 전에 자동으로 갱신하려면 하루에 두 번 실행되는 크론 작업을 작성하고 만료 30 일 전에 자동으로 인증서를 갱신하십시오.

crontab 명령을 사용하여 새 cronjob을 작성하십시오.

sudo crontab -e

다음 줄을 붙여 넣습니다.

0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"

파일을 저장하고 닫습니다.

갱신 프로세스를 테스트하기 위해 certbot 명령과 --dry-run 스위치를 사용할 수 있습니다.

sudo certbot renew --dry-run

오류가 없으면 테스트 갱신 프로세스가 완료되었음을 의미합니다.

결론

이 자습서에서는 Let 's Encrypt 클라이언트 certbot을 사용하여 도메인의 SSL 인증서를 다운로드하는 방법을 보여주었습니다. 또한 코드 중복을 피하기 위해 Nginx 스 니펫을 만들었고 인증서를 사용하도록 Nginx를 구성했습니다. 자습서가 끝나면 자동 인증서 갱신을위한 cronjob을 설정했습니다.

Certbot에 대한 자세한 내용은 설명서 페이지를 방문하십시오.

nginx centos certbot ssl을 암호화하자