로그인


l

팁 & 강좌 게시판

생활속에서 필요한 지식과 지혜를
다른 회원들과 나누는 게시판입니다.

  • 전체보기
  • [PDA]
  • [PC/모바일]
  • [생활상식]
  • [취미/음식]
  • [기타]
  • [카메라]
  • [iPhone/Touch]
  • [기타 전자기기]

[기타]

Let’s Encrypt 무료 인증서 자동갱신 및 Apache2에 TLS/SSL 적용

블로그에 올린 글을 그대로 가져다 붙였습니다.
https://madforfamily.com/5230/lets-encrypt-%EB%AC%B4%EB%A3%8C-%EC%9D%B8%EC%A6%9D%EC%84%9C-%EC%9E%90%EB%8F%99%EA%B0%B1%EC%8B%A0-%EB%B0%8F-apache2%EC%97%90-tls-ssl-%EC%A0%81%EC%9A%A9.html

언제나 그렇듯 클리앙 팁&강좌 게시판과 사용기게시판을 보다가 우연히 acme.sh을 이용한 무료 SSL 자동 갱신에 대한 글을 보았다. 안 그래도 최근 SSL/TLS 적용해야 할 일이 있기도 했기에 바로 착수했다. 우선 목표는 acme.sh(https://github.com/Neilpang/acme.sh)를 이용해서 인증서 자동 갱신 및 갱신 후 아파치 자동 재시작하는 것이다.

acme.sh
Let’s Encrypt 무료 인증서를 자동갱신해주는 쉘스크립트이다. Ubuntu 12.04에서 권한때문에 문제 생기는 게 귀찮아서 acme.sh 실행시 sudo를 사용할 예정인데, crontab에 등록해야 하므로 비밀번호 입력을 생략하기 위해 /etc/sudoer파일을 다음과 같이 수정한다.

vi /etc/sudoer
아이디 ALL=(ALL:ALL) NOPASSWD:ALL

이제 암호를 다시 입력하지 않고도 sudo를 사용할 수 있게 되었다. 만약 권한 문제가 없으리라 생각되면 이 과정은 생략해도 될듯 하다.

acme.sh를 다운받아서 이제 인증서 생성 및 적용하면 되는데, 무슨 이유에서인지 sudo사용시 절대경로를 지정해야만 실행이 되었다.

sudo “/home/아이디/.acme.sh”/acme.sh –issue -d abc.com -w /var/www/wp_abc_com
-d = domain
-w = document root

sudo ~/.acme.sh/acme.sh –issue -d abc.com -w /var/www/wp_abc_com
[Wed Mar 15 13:40:27 EDT 2017] Single domain=’abc.com’
[Wed Mar 15 13:40:27 EDT 2017] Getting domain auth token for each domain
[Wed Mar 15 13:40:27 EDT 2017] Getting webroot for domain=’abc.com’
[Wed Mar 15 13:40:27 EDT 2017] Getting new-authz for domain=’abc.com’
[Wed Mar 15 13:40:28 EDT 2017] The new-authz request is ok.

[Wed Mar 15 13:40:29 EDT 2017] Cert success.
—–BEGIN CERTIFICATE—–

—–END CERTIFICATE—–
[Wed Mar 15 13:40:29 EDT 2017] Your cert is in  /home/아이디/.acme.sh/abc.com/abc.com.cer
[Wed Mar 15 13:40:29 EDT 2017] Your cert key is in  /home/아이디/.acme.sh/abc.com/abc.com.key
[Wed Mar 15 13:40:29 EDT 2017] The intermediate CA cert is in  /home/아이디/.acme.sh/abc.com/ca.cer
[Wed Mar 15 13:40:29 EDT 2017] And the full chain certs is there:  /home/아이디/.acme.sh/abc.com/fullchain.cer

마지막 부분에 인증서가 저장된 위치를 보여주면 인증서 생성이 성공된 것이다. crontab -e 해서 보면 acme.sh에 대한 항목이 이미 생성되어 있는 것을 볼 수 있다. 개인 취향상 자동 지정된 시간을 매일 자정에 맞추었고 sudo지정 및 절대경로로 변경했다.

0 0 * * * sudo “/home/아이디/.acme.sh”/acme.sh –cron –home “/home/아이디/.acme.sh” > /dev/null

아파치에 인증서 갱신 적용하기
이제 아파치에 적용해야 할 시간이다. 그런데 이 부분이 조금 어려웠다. 최초 적용시에는 아무래도 수동으로 직접 인증서를 복사해줘야 하는 것으로 보인다. 복사하지 않고 했더니 자꾸 에러가 났다.

먼저 인증서를 저장한 디렉토리를 생성하자
sudo mkdir /etc/apache2/ssl

이제 생성된 인증서를 복사해넣자.
sudo cp /home/아이디/.acme.sh/abc.com/abc.com.cer /etc/apache2/ssl
sudo cp /home/아이디/.acme.sh/abc.com/abc.com.key /etc/apache2/ssl
sudo cp /home/아이디/.acme.sh/abc.com/fullchain.cer /etc/apache2/ssl

이제는 httpd.conf를 수정해서 https가 사용가능하게 하고, http로 접속시 자동으로 https로 변경되도록 해보자.
sudo vi /etc/apache2/httpd.conf
# Load SSL module
LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so

# 기존 VirtualHost를 수정해서 https로 자동 이동되도록 함
<VirtualHost *:80>
ServerName  abc.com
ServerAlias  www.abc.com />DocumentRoot    /var/www/wp_abc_com
#  외부링크방지
SetEnvIfNoCase Referer abc\.com link_allow
SetEnvIfNoCase Referer www\.abc\.com link_allow
SetEnvIfNoCase Referer clien\.net link_allow
SetEnvIfNoCase Referer m\.clien\.net link_allow
SetEnvIfNoCase Referer ^$ link_allow
<FilesMatch “\.(jpe?g|gif|png|bmp|avi|swf|mpe?g|zip|z[00-99]|rar|mp[1-9]|arj|exe|asf|wm[a-z]*|ra[a-z]*|alz|ZIP|Z[00-99])$”>
Order Deny,Allow
Allow from env=link_allow
Deny from all
ErrorDocument 403 /error_page.php
</FilesMatch>
CustomLog /var/log/apache2/abc.com.access.log combined
LogLevel Error
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ 
https://abc.com%{REQUEST_URI} [L,R=301]
</VirtualHost>

# 위의 설정을 카피한 후 아래 부분을 변경처리
<VirtualHost *:443>
ServerName      abc.com:443
DocumentRoot    /var/www/wp_abc_com
#  외부링크방지
SetEnvIfNoCase Referer abc\.com link_allow
SetEnvIfNoCase Referer www\.abc\.com link_allow
SetEnvIfNoCase Referer clien\.net link_allow
SetEnvIfNoCase Referer m\.clien\.net link_allow
SetEnvIfNoCase Referer ^$ link_allow
<FilesMatch “\.(jpe?g|gif|png|bmp|avi|swf|mpe?g|zip|z[00-99]|rar|mp[1-9]|arj|exe|asf|wm[a-z]*|ra[a-z]*|alz|ZIP|Z[00-99])$”>
Order Deny,Allow
Allow from env=link_allow
Deny from all
ErrorDocument 403 /error_page.php
</FilesMatch>
CustomLog /var/log/apache2/abc.com.access.log combined
LogLevel Error
# 인증서 설정
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/abc.com.cer
SSLCertificateKeyFile /etc/apache2/ssl/abc.com.key
SSLCertificateChainFile /etc/apache2/ssl/abc.com.key
# Disable SSL V2 and V3
SSLProtocol all -SSLv2 -SSLv3
</VirtualHost>

이제는 https 접속을 위해 포트 443이 막혀있다면 방화벽에서 열어줘야 한다.
sudo ufw allow 443

이제 아파치를 재기동(sudo service apache restart)하고 http://abc.com 접속해서 https://abc.com 자동 이동되고 안전한 사이트로 표시되는 지 확인해보자.

다 잘 되었다면 이제 acme.sh가 인증서 갱신 후 아까 생성해둔 디렉토리로 인증서를 복사해넣고 아파치를 재기동하게 해주면 끝이다. 이에 앞서 아까 수동으로 복사해둔 인증서들을 삭제하고 다음 명령을 실행해서 인증서들이 잘 복사되는 지 확인하면 된다.

sudo “/home/아이디/.acme.sh”/acme.sh –install-cert -d abc.com \
–home “/home/아이디/.acme.sh” \
–certpath      /etc/apache2/ssl/abc.com.cer \
–keypath      /etc/apache2/ssl/abc.com.key \
–fullchainpath /etc/apache2/ssl/fullchain.cer \
–reloadcmd    “sudo service apache2 force-reload”

이제 acme.sh가 생성한 설정을 확인해보자. 다음 갱신이 언제인지, 어디로 인증서를 복사해넣을지 등에 대한 설정이 저장되어 있는 것을 볼 수 있을 것이다.

vi /home/아이디/.acme.sh/abc.com/abc.com.conf
Le_Domain=’abc.com’
Le_Alt=’no’
Le_Webroot=’/var/www/wp_abc_com’
Le_PreHook=”
Le_PostHook=”
Le_RenewHook=”
Le_API=’https://acme-v01.api.letsencrypt.org’
Le_Keylength=”
Le_LinkCert=’https://acme-v01.api.letsencrypt.org/acme/cert/…’
Le_LinkIssuer=’https://acme-v01.api.letsencrypt.org/acme/issuer-cert’
Le_CertCreateTime=’1489601638′
Le_CertCreateTimeStr=’Wed Mar 15 18:13:58 UTC 2017′
Le_NextRenewTimeStr=’Sun May 14 18:13:58 UTC 2017′
Le_NextRenewTime=’1494699238′
Le_RealCertPath=’/etc/apache2/ssl/abc.com.cer’
Le_RealCACertPath=”
Le_RealKeyPath=’/etc/apache2/ssl/abc.com.key’
Le_ReloadCmd=’sudo service apache2 force-reload’
Le_RealFullChainPath=’/etc/apache2/ssl/fullchain.cer’

이제 Let’s Encrypt 인증서 자동 갱신 적용이 끝났다.


signature
Auckland, NZ
  • 술빨님
  • (2017-03-17 19:03)
분명히 저도 letsencrypt 사용하고 있는데 되게 복잡하군요.. 저는 crontab에 @monthly ~/letsencrypt-auto renew && service apache2 reload 한 문장 등록하고 말았었는데 세달이 아직 안지나서 갱신이 되는지는 확인 못해봤네요.
  • All인님
  • (2017-03-17 19:21)
제 경우는 이미지 외부 링크 차단과 함께 http접속시 https로 자동이동 등이 필요해서 인듯 합니다.
  • 색다른일상님
  • (2017-03-18 00:49)
오우~ 감사합니다. 한번 해봐야겠습니다
  • PumkinStew님
  • (2017-03-19 03:49)
감사합니다. 최근 네이버 https 적용 이슈때문에 관심이 있었는데...
스크랩할게요.
  • 별넷우유님
  • (2017-03-19 11:32)
좋은 정보 감사합니다
#CLiOS
이전글 F-5E 타이거와 미그 21이 싸우면, 누가 이길까? :: 쉽고 재미있는 밀덕 이야기 #48[20] 켈틱나무 03-17 20:12
다음글 끌량인들의 유튜브 채널 모음입니다.[20] 03-17 16:06