Ubuntu 16.04에서 Nginx로 암호화 할 수있는 설정

• 전제 조건
• Certbot 설치
• Nginx 구성
• Let 's Encrypt SSL 인증서 얻기
• 갱신 자동화
• 강화 된 구성

암호화하자 자동 클라이언트와 함께 무료 SSL 인증서를 제공하는 인증 기관 (CA)입니다. Let 's Encrypt SSL 인증서를 사용하면 웹 사이트와 방문자 간의 트래픽을 암호화 할 수 있습니다. 전체 프로세스가 간단하고 갱신을 자동화 할 수 있습니다. 또한 인증서를 설치하거나 갱신해도 가동 중지 시간이 발생하지 않습니다.

이 튜토리얼에서는 Certbot을 사용하여 SSL 인증서를 획득, 설치 및 자동 갱신합니다. Certbot은 EFF (Electronic Frontier Foundation)에서 적극적으로 개발하고 있으며 Let 's Encrypt의 권장 클라이언트입니다.

전제 조건

• Ubuntu 16.04를 실행하는 Vultr 인스턴스
• 서버를 가리키는 등록 된 도메인 이름
• 니 진스

Certbot 설치

Let 's Encrypt SSL 인증서를 얻으려면 서버에 Certbot 클라이언트를 설치해야합니다.

저장소를 추가하십시오. ENTER수락하라는 메시지가 표시되면 키를 누릅니다 .

add-apt-repository ppa:certbot/certbot

패키지 목록을 업데이트하십시오.

apt-get update

Certbot 및 Certbot의 Nginx 패키지를 설치하여 진행하십시오.

apt-get -y install python-certbot-nginx

Nginx 구성

Certbot은 Nginx에 대해 SSL을 자동으로 구성하지만 Nginx 구성 파일에서 서버 블록을 찾아야합니다. server_name구성 파일 의 지시문을 인증서를 요청하는 도메인 이름과 일치시켜 이를 수행합니다.

기본 구성 파일을 사용하는 /etc/nginx/sites-available/default경우와 같은 텍스트 편집기로 파일을 열고 지시문을 nano찾으십시오 server_name. 밑줄 ( _)을 자신의 도메인 이름으로 바꾸십시오.

nano /etc/nginx/sites-available/default

구성 파일을 편집 한 후 server_name지시문은 다음과 같아야합니다. 이 예에서는 도메인이 example.com이고 example.com 및 www.example.com에 대한 인증서를 요청한다고 가정합니다.

server_name example.com www.example.com;

편집 구문을 확인하여 진행하십시오.

nginx -t

구문이 정확하면 Nginx를 다시 시작하여 새 구성을 사용하십시오. 오류 메시지가 표시되면 구성 파일을 다시 열고 오타가 있는지 확인한 후 다시 시도하십시오.

systemctl restart nginx

Let 's Encrypt SSL 인증서 얻기

다음 명령은 인증서를 얻습니다. Nginx 구성을 편집하여 사용하고 Nginx를 다시로드하십시오.

certbot --nginx -d example.com -d www.example.com

추가 도메인에 대한 SSL 인증서를 요청할 수도 있습니다. " -d"옵션을 원하는만큼 추가하십시오 .

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

인증서를 자동으로 설치하지 않고 Let 's Encrypt에서 인증서 만 얻으려면 다음 명령을 사용할 수 있습니다. 인증서를 얻기 위해 Nginx 구성을 임시로 변경하고 인증서가 다운로드되면 되돌립니다.

certbot --nginx certonly -d example.com -d www.example.com

Certbot을 처음 실행하는 경우 전자 메일 주소를 입력하고 서비스 약관에 동의하라는 메시지가 표시됩니다. 이 이메일 주소는 갱신 및 보안 공지에 사용됩니다. 이메일 주소를 제공하면 Certbot은 Let 's Encrypt에서 인증서를 요청하고 해당 도메인을 제어하는지 확인하기 위해 챌린지를 실행합니다.

Certbot이 SSL 인증서를 얻을 수있는 경우 HTTPS설정 구성 방법을 묻습니다 . 보안되지 않은 연결을 통해 웹 사이트를 방문하는 방문자를 리디렉션하거나 보안되지 않은 연결을 통해 웹 사이트에 액세스하도록 할 수 있습니다. 방문자가 SSL로 보호 된 웹 사이트 버전에만 액세스 할 수 있도록하기 때문에 일반적으로 사용하도록 설정해야합니다. 원하는 것을 선택한 다음를 누르십시오 ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

마지막으로 Certbot은 프로세스가 성공적이며 인증서가 저장된 위치를 확인합니다. 이제 인증서가 다운로드되어 설치되었습니다.

갱신 자동화

Let 's Encrypt는 무료 인증 기관이므로 사용자가 갱신 프로세스를 자동화하도록 권장하기 때문에 인증서는 90 일 동안 만 유효합니다. Certbot은 인증서 갱신을 자동으로 처리합니다. certbot renew를 통해 하루에 두 번 실행하면됩니다 systemd.

이 명령을 실행하여 자동 갱신이 작동 중인지 확인할 수 있습니다.

certbot renew --dry-run

다음 명령을 실행하여 언제든지 인증서를 수동으로 갱신 할 수도 있습니다.

certbot renew

강화 된 구성

위의 명령은 대부분의 경우에 적합한 구성으로 SSL 인증서를 확보하여 설치합니다. 웹 사이트에 대한 고급 보안 조치를 구현하려는 경우 다음 명령을 사용하여 인증서를 얻을 수 있습니다.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

는 --rsa-key-size 4096대신 더 안전한 2048 비트 키의 4096 비트 RSA 키를 사용합니다. 이것의 단점은 키가 클수록 약간의 성능 오버 헤드가 발생한다는 것입니다. 또한 이전 브라우저 및 장치는 4096 비트 RSA 키를 지원하지 않을 수 있습니다.

이 --must-staple인증서에 OCSP 스테이플 확장을 추가하고 OCSP 스테이플 링을 위해 Nginx를 구성합니다. 이 확장을 통해 브라우저는 인증서가 해지되지 않았으며 신뢰할 수 있는지 확인할 수 있습니다. 그러나 모든 브라우저가이 기능을 지원하지는 않습니다.