Certbot 독립 실행형 모드 검색을 사용하여 Ubuntu 18.04에서 SSL 인증서를 암호화하는 방법

Certbot 독립 실행형 모드 검색을 사용하여 Ubuntu 18.04에서 SSL 인증서를 암호화하는 방법

2022-06-01 last update

8 minutes reading Ubuntu 18.04 Security Ubuntu Let's Encrypt

소개


Let’s Encrypt는 자동화 API를 통해 무료 SSL 인증서를 제공하는 서비스입니다.가장 유행하는 Let's Encrypt 클라이언트는 EFF입니다.
Certbot은 도메인을 검증하고 인증서를 얻으며 Apache와 Nginx를 자동으로 설정하는 다양한 방법을 제공합니다.이 강좌에서는 Certbot의 독립적인 모델과 이를 사용하여 메일 서버나 RabbitMQ 같은 다른 종류의 서비스를 보호하는 방법에 대해 토론할 것입니다.
SSL 구성에 대한 자세한 내용은 다루지 않겠지만, 완료되면 자동으로 갱신되는 유효한 인증서가 있습니다.또한 갱신된 인증서를 얻기 위해 자동으로 서비스를 다시 불러올 수 있습니다.

선결 조건


이 강좌를 시작하기 전에 다음이 필요합니다.
  • Ubuntu 18.04 서버로 루트가 아닌 사용자, sudo를 지원하는 사용자와 기본 방화벽이 있습니다.
  • 서버의 도메인 이름을 가리키며 다음을 통해 "Certbot"을 완료할 수 있습니다.이 강좌는 항상 사용됩니다example.com.
  • 서버의 포트 80 또는 443은 사용되지 않아야 합니다.웹 서버가 이 두 포트를 동시에 차지하는 컴퓨터에 보호해 주려면 Certbotthis Ubuntu 18.04 server setup tutorial과 같은 다른 모드를 사용해야 합니다.
  • 1단계 - Certbot 설치


    Ubuntu는 기본 저장소에 Certbot 클라이언트를 포함하지만 좀 유행이 지났습니다.대신 Certbot의 공식 Ubuntu PPA나 개인 패키지 아카이브에서 설치합니다.이것들은 업데이트되거나 더 까다로운 소프트웨어를 포장하는 대체 저장소입니다.먼저 저장소를 추가합니다.
    1. sudo add-apt-repository ppa:certbot/certbot
    접수하려면 ENTER 를 누르십시오.그런 다음 패키지 목록을 업데이트하여 새 저장소에 대한 패키지 정보를 얻습니다.
    1. sudo apt update
    마지막으로 설치certbot 패키지:
    1. sudo apt install certbot
    인증서를 얻기 위해 Certbot을 설치했습니다.

    2단계 - Certbot 실행


    Certbot은 도메인을 제어하고 있음을 증명하기 위해 Let's Encrypt API의 암호화 문제에 대해 답변해야 합니다.포트80(HTTP) 또는 443(HTTPS)를 사용하여 이 작업을 수행합니다.방화벽의 해당 포트를 엽니다.
    1. sudo ufw allow 80
    사용 중인 포트가 443 인 경우 위의 포트를 교체하십시오.ufw 규칙에 추가된 확인을 내보냅니다.
    Output
    Rule added Rule added (v6)
    인증서를 받으려면 Certbot을 실행할 수 있습니다.Certbot에 내장된 웹 서버를 사용하여 문제를 처리하려면 --standalone 옵션을 사용합니다.--preferred-challenges 옵션은 Certbot에서 포트 80 또는 포트 443을 사용하도록 지시합니다.포트 80을 사용하는 경우 --preferred-challenges http 이 필요합니다.포트 443의 경우 --preferred-challenges tls-sni 이 됩니다.마지막으로 -d 로고는 인증서를 요청할 영역을 지정하는 데 사용됩니다.인증서에 여러 도메인을 덮어쓰기 위해 여러 개 -d 옵션을 추가할 수 있습니다.
    1. sudo certbot certonly --standalone --preferred-challenges http -d example.com
    이 명령을 실행하면 전자 메일 주소를 입력하고 서비스 약관에 동의하라는 메시지가 표시됩니다.이 작업을 수행하면 인증서가 어디에 저장되었는지 알려주는 메시지가 표시됩니다.
    Output
    IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-09. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
    우리는 증서가 있다.우리가 무엇을 다운로드했는지, 그리고 소프트웨어에서 이 파일을 어떻게 사용하는지 봅시다.

    3단계 - 애플리케이션 구성


    SSL을 위한 프로그램은 본고의 범위를 넘어섰습니다. 프로그램마다 서로 다른 요구와 설정 옵션이 있기 때문입니다. 그러나 Certbot이 우리에게 무엇을 다운로드했는지 봅시다.키 및 인증서를 저장하는 디렉토리를 ls 로 나열합니다.
    1. sudo ls /etc/letsencrypt/live/example.com
    Output
    cert.pem chain.pem fullchain.pem privkey.pem README
    이 디렉토리의 README 파일에는 각 파일에 대한 자세한 내용이 들어 있습니다.일반적으로 다음 두 개의 파일만 필요합니다.
  • privkey.pem: 인증서의 개인 키입니다.이것은 안전과 기밀을 유지해야 한다. 이것이 바로 대부분의 /etc/letsencrypt 디렉터리가 매우 엄격한 권한을 가지고 루트 사용자만 접근할 수 있는 이유이다.대부분의 소프트웨어 구성에서는 이를 ssl-certificate-key 또는 ssl-certificate-key-file 과 유사한 컨텐트라고 합니다.
  • fullchain.pem: 이것은 우리의 인증서로 모든 중간 인증서와 한데 묶여 있습니다.대부분의 소프트웨어는 이 파일을 실제 인증서로 사용하고 설정에서 "ssl 인증서"와 같은 이름으로 인용합니다.
  • 추가 파일에 대한 자세한 내용은 Certbot 문서의 "How to Set Up a Host Name with DigitalOcean"섹션을 참조하십시오.
    일부 소프트웨어는 다른 형식, 다른 위치 또는 다른 사용자 권한이 있는 인증서를 필요로 합니다.모든 내용을 letsencrypt 디렉터리에 보존하는 것이 좋습니다. 이 디렉터리의 권한을 변경하지 마십시오. (권한은 갱신할 때 무시됩니다.) 그러나 때로는 옵션이 아닙니다.이 경우 스크립트를 작성하여 파일을 이동하고 필요에 따라 권한을 변경해야 합니다.Certbot이 인증서를 업데이트할 때마다 이 스크립트를 실행해야 합니다. 아래에서 토론하겠습니다.

    단계 4 - Certbot 자동 갱신 처리


    암호화된 인증서는 90일 안에만 유효합니다.이것은 사용자가 인증서 갱신 과정을 자동화하도록 장려하기 위해서이다.저희가 설치한 certbot 패키지는 /etc/cron.d에 스크립트를 갱신하여 이 문제를 해결합니다.이 스크립트는 매일 두 번 실행되며, 만료된 후 30일 이내의 모든 인증서를 갱신합니다.
    인증서가 자동으로 갱신되기 때문에, 우리는 갱신 후에 다른 작업을 실행하는 방법이 여전히 필요하다.우리는 적어도 새 인증서를 얻기 위해 서버를 다시 시작하거나 불러와야 한다. 3단계에서 설명한 바와 같이, 우리는 어떤 방식으로 인증서 파일을 조작해서 우리가 사용하고 있는 소프트웨어와 함께 작업을 해야 할 수도 있다.이것이 바로 Certbotrenew_hook 옵션의 목적입니다.renew_hook를 추가하려면 Certbot의 갱신 구성 파일을 업데이트합니다.Certbot은 인증서의 모든 세부 정보를 처음 가져오는 것을 기억하고 갱신할 때 같은 옵션을 사용해서 실행합니다.우리는 단지 우리의 갈고리를 덧붙이기만 하면 된다.원하는 편집기를 사용하여 구성 파일을 엽니다.
    1. sudo nano /etc/letsencrypt/renewal/example.com.conf
    구성 옵션이 포함된 텍스트 파일이 열립니다.마지막 줄에 갈고리 추가하기
    /etc/letsencrypt/renewal/example.일반 도메인 이름 형식입니다.형태
    renew_hook = systemctl reload rabbitmq
    
    위의 명령을 서버를 다시 불러오거나 사용자 정의 파일을 실행하여 스크립트를 씹는 데 필요한 모든 내용으로 업데이트합니다.일반적으로 Ubuntu에서는 주로 systemctl 를 사용하여 서비스를 다시 로드합니다.파일을 저장하고 닫은 다음 Certbot 건식 실행을 실행하여 구문이 제대로 작동하는지 확인합니다.
    1. sudo certbot renew --dry-run
    만약 당신이 잘못을 보지 못했다면, 모든 것이 준비되었을 것입니다.Certbot은 필요할 때 갱신하도록 설정하고 새 파일을 사용하여 서비스를 가져오는 데 필요한 명령을 실행합니다.

    결론


    이 강좌에서는 Certbot Let's Encrypt 클라이언트를 설치하여 독립 모드로 SSL 인증서를 다운로드하고 갱신 연결을 사용하여 자동 갱신을 사용합니다.이것은 전형적인 웹 서버가 아닌 Let's Encrypt certificates with services를 사용하는 데 좋은 시작을 제공할 것입니다.
    자세한 내용은 webroot mode 을 참조하십시오.