Dev 도메인을 사용할경우 SSL은 강제된다. 그것 외에도 평문으로 인터넷사용하는 건 솔직히 좀 그렇기도 하고 최소한의 인증서정도는 받는게 낫다. 특정 서비스는 https으로 접속 한거 아니면 접속 자체가 안되기도 하고...
Let's Encrypt같은경우 크게 3가지 방식으로 인증서를 받을수있다.
1. Standalone
운영측 면에선 가장 쓰면안되나 쓰기는 제일 쉽다. 발급시 사용하는 certbot이 잠시 웹서버를 열어 인증서를 받기에 발급/갱신시엔 80,443 포트는 다른데서 사용하고 있으면 안된다. 이말은 즉슨 그때마다 웹서버 내려야한다는 말인데 지속성을 생각하면 그렇게 좋은 선택은 아니다. 그러나 두번 강조하지만 제일 간단하다. 그냥 명령어 한줄만 치면 알아서 받아오고 3개월 마다 (보통은 두달?) 끽해야 1~2분 내외로 갱신되니 여태까진 이방식으로 써왔으나 Wildcrad 인증서는 발급되지 않아 사용 불가능하다.
2. Webroot
돌아가고 있는 웹서버에 특정 파일을 쓰고 그걸 확인하여 내주는 방식. 웹서버 네이티브로 쓰면 상관없지만 Docker등으로 사용할경우 www 디렉토리에 폴더를 만들고 하는등 작업이 필요하다. 설정해놓으면 웹서버 죽이지 않고 그냥 자기가알아서 갱신되게 까지 가능하다. 일반적으로 이방식으로 사용하는 편.
그러나 이것 또한 Wildcard 인증서는 발급되지 않다.
3.DNS
유일하게 Wildcard 인증서를 발급받을수 있는 방식. 위에것들은 보면 인증 주체가 서버지만 해당 인증서는 DNS의 인증주체가 되는 방식이라 Wildcard 인증서가 가능하다고 생각하면 편하다. 이것때문에 대부분 사람들이 도메인을 사는 경우가 발생한다. (뭐 freenom은 무료라도 가능하다고 하는데 솔직히 안이뻐서...)
이렇듯 3번 DNS 방식으로 인증서를 발급 받아보자
우선 인증서 프로그램을 설치하자
sudo apt install certbot설치될떄 의존성으로 letsencrypt까지 같이 설치될것이다.
그다음
sudo certbot certonly --manual -d *.example.com -d example.com --preferred-challenges dns을 자신상황에 맞춰 수정하여 입력한다 같은 주소 두번 치는게 맞다. *.는 앞에 뭐가나오던 받겠다는 의미기 떄문. 뒤에는 원래 주소를 의미한다.
처음이면 이름및 이메일 주소등을 요구한다. 그러다 보면 _acme-challenge 어쩌구 저쩌구 하면서 뭔가 입력하라는 내용이 있다. 그걸 구글 도메인에서 DNS -> 리소스 레코드 -> 맞춤 레코드 관리에서 호스트이름은 _acme-challenge, 유형은 TXT, 데이터는 진행중인 곳에서 입력하라는 데이터를 입력한다 저장을 누른다. 입력한 주소가 두개니 두번 뜰텐데 둘다 입력후 기다렸다가 엔터입력시 성공하는 모습을 볼수 있다.
'NAS SW' 카테고리의 다른 글
| 구글 도메인 DDNS설정 (0) | 2022.12.07 |
|---|