무료 SSL 서버인증서를 제공하는 https://letsencrypt.org 를 이용해보자.

https://letsencrypt.org

기존의 웹서버 설정을 변경하지 않는 standalone으로 할 것이므로 ¹⁾ https://certbot.eff.org 에서

none of above 및 ubuntu 고르고 나오는 설명대로 진행하면 된다.

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot 

인증하는 동안 80 포트를 사용하기 때문에 잠시 Nginx 웹서버를 꺼야 한다.

sudo service nginx stop

인증 작업…

sudo certbot certonly

2번 선택 (standalone)

Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Nginx Web Server plugin - Alpha (nginx)
2: Spin up a temporary webserver (standalone)
3: Place files in webroot directory (webroot)
-------------------------------------------------------------------------------
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 2
Plugins selected: Authenticator standalone, Installer None

사용할 도메인 입력… 이미 dns에 등록된 주소만 되므로 현재 사용중인 주소만 입력한다.

Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): vaslor.net io.vaslor.net chat.vaslor.net bb.vaslor.net f4map.vaslor.net news.vaslor.net map.vaslor.net

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for vaslor.net
http-01 challenge for io.vaslor.net
http-01 challenge for chat.vaslor.net
http-01 challenge for bb.vaslor.net
http-01 challenge for f4map.vaslor.net
Waiting for verification...
Cleaning up challenges

위치는 /etc/letsencrypt/live/ 에 도메인 이름의 서브폴더에 저장된다.

등록된 도메인과 인증서의 경로를 표시해준다.

 sudo certbot certificates

  Domains: vaslor.net 
  bb.vaslor.net 
  chat.vaslor.net 
  f4map.vaslor.net 
  io.vaslor.net 
  map.vaslor.net 
  news.vaslor.net

3개월 마다 갱신을 해줘야 계속 작동된다.

standalone 상태에서는 갱신 시 80포트를 사용하므로 웹서버를 잠시 정지시키고 해야한다.

sudo certbot renew --pre-hook "service nginx stop" \
 --post-hook "service nginx start"

Crontab (Linux)을 이용해서 60일마다 자동으로 해주면 좋다.

서브도메인이 제거된 경우 참조

####### f4map.vaslor.net #######
server {
        listen 80;
        listen 443;  # 같이 해도 됨~!
        root /home/www/f4map;
        server_name f4map.vaslor.net;
        location / {
                try_files $uri $uri/ index.php;
        }
        # 브라우져 캐쉬 세팅
        location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
            expires 365d;
            access_log off;
        }
 
	# SSL
        ssl on;
        ssl_certificate /etc/letsencrypt/live/vaslor.net/fullchain.pem;
        ssl_certificate_key     /etc/letsencrypt/live/vaslor.net/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  #센 것들만
 
        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 5m;
 
        # Enable server-side protection against BEAST attacks
        ssl_prefer_server_ciphers on;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
 
	include common.conf;
}

https://dev-notes.eu/2016/12/moving-site-to-new-server-with-letsencrypt-certificates/