Let's encrypt - 기술

문서의 이전 판을 선택했습니다! 저장하면 이 자료로 새 판을 만듭니다.

{{tag>letsencrypt ssl https 무료인증서 인증서 암호화 우분투 리눅스}}
====== Let's encrypt ======

무료 [[SSL]] 서버인증서를 제공하는 https://letsencrypt.org 를 이용해보자.

{{https://letsencrypt.org/images/letsencrypt-logo-horizontal.svg}} https://letsencrypt.org

=====등록=====
기존의 웹서버 설정을 변경하지 않는 ''standalone''으로 할 것이므로 ((자동기능이 있지만 멀티서버, 서브도메인 설정 등이 있으면 잘 안되더라))
https://certbot.eff.org 에서

''none of above''  및 ''ubuntu'' 고르고 나오는 설명대로 진행하면 된다.

sudo apt-get update
  sudo apt-get install software-properties-common
  sudo add-apt-repository ppa:certbot/certbot
  sudo apt-get update
  sudo apt-get install certbot 
 
인증하는 동안 80 포트를 사용하기 때문에 잠시
[[nginx]] 웹서버를 꺼야 한다.

sudo service nginx stop

인증 작업...

sudo certbot certonly

2번 선택 (standalone)

<file>
Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Nginx Web Server plugin - Alpha (nginx)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
-------------------------------------------------------------------------------
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 2
Plugins selected: Authenticator standalone, Installer None
</file>

사용할 도메인 입력... 
이미 dns에 등록된 주소만 되므로 현재 사용중인 주소만 입력한다.

<file>
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): vaslor.net io.vaslor.net chat.vaslor.net bb.vaslor.net f4map.vaslor.net news.vaslor.net map.vaslor.net
</file>

<file>
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for vaslor.net
http-01 challenge for io.vaslor.net
http-01 challenge for chat.vaslor.net
http-01 challenge for bb.vaslor.net
http-01 challenge for f4map.vaslor.net
Waiting for verification...
Cleaning up challenges
</file>

위치는  ''/etc/letsencrypt/live/'' 에 도메인 이름의 서브폴더에 저장된다. 
=====정보보기 =====
등록된 도메인과 인증서의 경로를 표시해준다.

sudo certbot certificates

Domains: vaslor.net 
    bb.vaslor.net 
    chat.vaslor.net 
    f4map.vaslor.net 
    io.vaslor.net 
    map.vaslor.net 
    news.vaslor.net
=====갱신=====

3개월 마다 갱신을 해줘야 계속 작동된다.

standalone 상태에서는
갱신 시 80포트를 사용하므로 웹서버를 잠시 정지시키고 해야한다. 
  sudo certbot renew --pre-hook "service nginx stop" \
   --post-hook "service nginx start"

[[crontab]]을 이용해서 60일마다 자동으로 해주면 좋다.

#2개월마다 3일 3시 33분
  33 3 3 */2 * certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"

서브도메인이 제거된 경우 [[https://community.letsencrypt.org/t/solved-remove-delete-subdomain-alternate-name-from-certificat/51191|참조]]
=====예=====

<file config >
####### f4map.vaslor.net #######
server {
        listen 80;
        listen 443 ssl;   
        root /home/www/f4map;
        server_name f4map.vaslor.net;
        location / {
                try_files $uri $uri/ index.php;
        }
        # 브라우져 캐쉬 세팅
        location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
            expires 365d;
            access_log off;
        }

# SSL
        ssl_certificate /etc/letsencrypt/live/vaslor.net/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/vaslor.net/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

# Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 5m;

# Enable server-side protection against BEAST attacks
        ssl_prefer_server_ciphers on;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

include common.conf;
}

</file>

=====서버이전하기=====
이전할 서버에도 설치 해주고, 인증파일의 이동은
기본적으로 ''/etc/letsencript'' 의 내용을 복사해 넣으면 된다. 다만, 폴더 권한이 root:root 이므로 약간의 트릭이 필요하다.

임시 거처로 옮긴 다음 권한을 바꿔준다.

# 원본 서버
  # Note -p is added
  sudo rsync -az -p --progress /etc/letsencrypt ~/
  sudo chown -R $USER:$USER ~/letsencrypt

이제 [[tech:midnight_commander|]]의 ftp나 뭐 그런 것으로 대상 서버로 해당 폴더를 옮긴다.

# 대상 서버
  # Lack of trailing slash on source will cause the directory to be created on the destination directory
  sudo rsync -az --progress ~/letsencrypt /etc
  sudo chown -R root:root /etc/letsencrypt

etc 폴더로 옮기고, root 권한을 먹여줌.

자세한 것은 
[[https://dev-notes.eu/2016/12/moving-site-to-new-server-with-letsencrypt-certificates/|참조]]

=====에러=====
nginx plugin 없다?

>sudo apt install python3-certbot-nginx

=====D3 문제=====

Let’s Encrypt가 사용하는 DST Root CA X3 루트인증서는 2021년 9월에 만료.

Android 7.1 이전 버전은 Let’s Encrypt의 인증서가 설치된 웹 사이트에 접속하기 위해서는 ISRG Root X1루트인증서가 등록되어 있는 Firefox 브라우저로는 접속 가능 ( Firefox 브라우저는 운영체제의 루트인증서 목록에 의존하지 않고 자체 루트인증서 목록을 사용 )

내 컴퓨타가 해결되었는 지 확인해 볼 수 있는 사이트

> https://valid-isrgrootx1.letsencrypt.org/

> [[DisableRootAutoUpdate]]

2+1? 이 필드는 비어 있도록 유지하세요:

편집 요약

참고: 이 문서를 편집하면 내용은 다음 라이선스에 따라 배포하는 데 동의하는 것으로 간주합니다: CC Attribution-Noncommercial-Share Alike 4.0 International

연결문서