개요

---

도메인을 꼭 써야하는 이유 중 하나가 인증서 때문이기도 합니다.
인증서는 도메인에 대한 보안을 인증해주고 안정한 통신이 되도록 해주는 역할을 해줍니다.

많은 인증서 발급 기관 중 무료로 인증서를 발급해주는 Let’s Encrypt를 사용할 것입니다.
이번 시간에 인증서 발급부터 자동갱신 그리고 웹서버 적용까지 해보도록 합시다!

Certbot 설치

인증서 발급 소프트웨어인 Certbot을 설치할 것입니다.
설치를 하는 도중 엔터를 눌러 설치를 계속 진행하면 됩니다.

sudo apt install python3-certbot-nginx

인증서 발급

사용할 도메인 각각을 입력해서 발급을 해보자.
명령어 끝에 -d ygh.kr 과 -d www.ygh.kr 이 보일 텐데 인증서에 더 추가하고 싶은 도메인이 있을 경우 -d [도메인] 을 입력하면 됩니다.

아래 명령어 중 이메일 부분과 도메인 부분은 자신에 맞게 바꿔서 사용하시길 바랍니다.

sudo certbot certonly --nginx --non-interactive --agree-tos -m chchch1213@naver.com -d ygh.kr -d www.ygh.kr

만약 다음에 서비스가 추가되어 이미 만들어진 인증서에 도메인을 추가하고 싶다면 아래 명령어를 이용하세요.

sudo certbot --cert-name ygh.kr -d ygh.kr -d www.ygh.kr -d add.ygh.kr -d plus.ygh.kr

인증서 확인

발급이 완료되면 인증서가 잘 생성 되었는지 확인해봅시다.

sudo ls -l /etc/letsencrypt/live/ygh.kr

인증서 자동 갱신

발급받은 인증서를 90일뒤 자동 파기되는데 걱정하지 마세요.
Certbot을 이용해 발급받았기 때문에 자동 갱신되도록 되어있습니다.

인증서는 만료되기 30일 이후부터 갱신을 할 수가 있는데 리눅스의 cron이라는 스케줄러 프로그램이 매일 0시와 12시에 갱신이 필요한지 확인 후 필요 할 경우 갱신까지 해줍니다.

갱신 명령어가 잘 등록되어 있는지 확인해봅시다.

cat /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew

제일 아래 줄에 위와 같이 cron 스크립트가 보인다면 갱신 명령어가 잘 등록 되어 있는 것입니다.

DH Param 키 생성

Diffie–Hellman 키를 추가해서 사이트의 보안을 강화할 것입니다.

이게 치킨먹고 와도 끝나지 않을 정도로 시간이 상당히 오래 걸립니다.
대략 40분정도 소요되는 것 같습니다.

sudo openssl dhparam -out /etc/ssl/dhparam.pem 4096

끝났다면 아래 코드로 파일이 있는지 확인해봅시다.

ls -l /etc/ssl/dhparam.pem

한 줄이 나온다면 잘 생성 된 것입니다.

Nginx 인증서 적용

아래 내용을 자신의 [도메인] 에 맞게 수정 후 작성합시다.

sudo vim /etc/nginx/sites-available/[도메인]

server {
        listen 80 default_server;
        server_name [도메인];
        return 301 https://$server_name$request_uri;
}

server {
        listen 443 ssl http2 default_server;
        server_name [도메인];
        root /var/www/html;

        ssl_certificate /etc/letsencrypt/live/[도메인]/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/[도메인]/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/[도메인]/chain.pem;
        ssl_dhparam /etc/ssl/dhparam.pem;
        ssl_session_timeout 10m;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;

        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_ecdh_curve secp384r1;

        add_header Strict-Transport-Security max-age=31536000;
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-Frame-Options "SAMEORIGIN" always;
        add_header X-XSS-Protection "1; mode=block" always;

        ssl_stapling on;
        ssl_stapling_verify on;

        index index.html index.nginx-debian.html;

        location / {
                try_files $uri $uri/ =404;
        }
}

sudo nginx -t
sudo service nginx restart

기존에 http://[도메인] 의 접속은 https://[도메인] 으로 넘어가도록 301 리디렉션 코드를 작성했습니다.
이제 http 로 접속하면 자동으로 https 접속으로 바뀌게 됩니다.

접속 테스트

웹 페이지로 http://[도메인] 에 접속을 해보면 자동으로 https://[도메인] 으로 바뀌는 것을 볼 수가 있을 것이며 웹 페이지 주소 창에서 좌물쇠 모양과 인증서를 클릭해 보세요.
해당 사이트의 인증서를 확인할 수 있습니다.

보안 평가

이제 홈서버의 웹이 얼마나 안전한지 보안 등급을 매겨주는 테스트를 해봅시다.

아래 링크에 들어간 뒤 도메인 주소를 입력해보시면 수 분 뒤 결과를 알려줍니다.
https://www.ssllabs.com/ssltest/analyze.html