티스토리 뷰

WEB

LetsEncrypt 명령어 하나로 셋팅하기

초보의 CHOMAN 2017.09.07 13:25


무료 인증서 (SSL) 발급 서비스 (LetsEncrypt) 간단 셋팅하기



사이트



 https://letsencrypt.org





특징


 

자가 서명 인증서 (무료)


인증서 유효기간은 90일 (30일 미만 남았을때 부터 인증서 갱신 가능)


*.domain 일괄 서브 도메인 등록 불가 (서브 도메인 하나씩 인증서 발급)


certbot 이라는 스크립트 이용하여 인증서 자동 생성, 갱신 가능





테스트 환경


 

도메인 : test.kensei.co.kr


Centos 7 64bit


httpd, mod_ssl (RPM)





EPEL 저장소 추가


yum install epel-release




certbot 설치



yum install certbot





웹서버가 Apache 인 경우



yum install python2-certbot-apache

 




웹서버가 nginx 인 경우


 

yum install python2-certbot-nginx






[사전 작업 필요]


 

SSL 모듈 설치 필요 (mod_ssl)


1. 발급받을 도메인이 certbot을 실행하는 서버 아이피를 바라보고 있어야 함


2. SSL 설정이 되어 있어야 함




1번 예시) test.kensei.co.kr 이라는 도메인을 네임서버에서 certbot 을 설치한 웹 서버로 잡아준다.


 




2번 예시)


/etc/httpd/conf.d/ssl.conf (파일에 도메인 설정이 되어 있어야 함)



ServerName test.kensei.co.kr:443

 




위 2가지 작업이 미리 진행되어야 아래와 같이 에러 없이 잘 실행된다.




certbot 명령어 실행 (apache 에서 실행해보았다)



[root@iwinvhelper-8053 wordpress]# certbot --apache -m takakocap@naver.com -d test.kensei.co.kr -n --agree-tos
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Cert not yet due for renewal
Keeping the existing certificate
Deploying Certificate for test.kensei.co.kr to VirtualHost /etc/httpd/conf.d/ssl.conf

-------------------------------------------------------------------------------
Congratulations! You have successfully enabled https://test.kensei.co.kr

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=test.kensei.co.kr
-------------------------------------------------------------------------------

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/test.kensei.co.kr/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/test.kensei.co.kr/privkey.pem
   Your cert will expire on 2017-12-19. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le 





/etc/httpd/conf.d/ssl.conf (아래 라인이 추가되었다)



SSLCertificateFile /etc/letsencrypt/live/test.kensei.co.kr/cert.pem

SSLCertificateKeyFile /etc/letsencrypt/live/test.kensei.co.kr/privkey.pem

SSLCertificateChainFile /etc/letsencrypt/live/test.kensei.co.kr/chain.pem

ServerAlias test.kensei.co.kr





nginx 에서도 아래와 같이 하면 ssl.conf 파일안에 자동으로 설정까지 끝난다.



[root@iwinvhelper-7795 etc]# certbot --nginx -m takakocap@naver.com -d cert.kensei.co.kr -n --agree-tos
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for cert.kensei.co.kr
Waiting for verification...
Cleaning up challenges
Deployed Certificate to VirtualHost /etc/nginx/nginx.conf for set(['cert.kensei.

-------------------------------------------------------------------------------
Congratulations! You have successfully enabled https://cert.kensei.co.kr

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=cert.kensei.co.kr
-------------------------------------------------------------------------------

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/cert.kensei.co.kr/fullchain.pem. Your cert
   will expire on 2017-12-06. To obtain a new or tweaked version of
   this certificate in the future, simply run certbot again with the
   "certonly" option. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le





인증서 갱신 명령어 (crontab 에 추가해서 자동으로 돌려주면 된다)



certbot renew

 




아직 인증서 갱신 할때가 안되었나 보다


 

[root@iwinvhelper-8561 conf.d]# certbot renew

Saving debug log to /var/log/letsencrypt/letsencrypt.log


-------------------------------------------------------------------------------

Processing /etc/letsencrypt/renewal/wp.kensei.co.kr.conf

-------------------------------------------------------------------------------

Cert not yet due for renewal


-------------------------------------------------------------------------------


The following certs are not due for renewal yet:

  /etc/letsencrypt/live/wp.kensei.co.kr/fullchain.pem (skipped)

No renewals were attempted.

-------------------------------------------------------------------------------






참고 사이트


 

http://blog.naver.com/itperson/220853849351


https://i.k-june.com/wp/4087



댓글
댓글쓰기 폼