🌱 오늘의 주제 : Let's Encrypt와 Nginx로 HTTPS 만들기
🌱 Let's Encrypt와 Nginx로 HTTPS 만들기
클라이언트와 WAS 사이에 리버스 프록시 서버를 두고 서버의 요청과 사용자의 요청을 대신 받는다. 클라리언트는 리버스 프록시 서버 뒷단의 WAS의 존재를 알지 못하기에 보안이 강화된다.
리버스 프록시 서버에 SSL 인증서를 발급해두어 HTTPS를 적용한다. WAS 서버가 여러대로 늘어나도 SSL 인증서 발급을 추가로 하지 않아도 되어 확장성이 좋다.
CA는 무료 SSL 인증서 발급 기관인 Let's Encrypt를 사용한다. 그리고 편리한 SSL 인증서 발급 및 Nginx 환경 설정을 위해서 Cerbot를 사용한다.
🌱 준비해야 하는 사항들
- 한개의 서버 : AWS의 EC2 또는 Lightsail 또는 타사 VPS
- 한개의 서버 : Nginx
- 도메인 (SSL 적용)
🌱 리버스 프록시 서버 세팅
Nginx 설치
$ sudo apt update
$ sudo apt install nginx
Nginx 리버스 프록시 설정
/etc/nginx/conf.d 디렉토리로 이동해서 nginx를 위한 설정 파일을 생성해보자.
sites-available/sites-enabled 는 더이상 사용되지 않는 Nginx 설정 방법이라고 한다. 이 포스팅에서는 conf.d 에 Nginx 설정 파일을 만들고 관리한다.
만약 sites-available과 sites-enabled에 기본 설정 파일이 있다면 제거하자. 또한 conf.d에 기본으로 default.conf 파일이 존재하면, 그 파일을 수정해서 설정하자.
$ cd /etc/nginx/conf.d
$ vim default.conf
위 명령을 실행해서 default.conf 파일을 생성하고 아래의 내용으로 채워주자.
server {
listen 80;
server_name your.domain.com;
location / {
proxy_pass http://192.168.XXX.XXX;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
}
}server_name 은 SSL을 적용할 여러분의 도메인을 입력해준다. 후술할 Certbot은 이 server_name 을 기준으로 Nginx 설정 파일을 찾고 여기에 HTTPS에 대한 설정을 자동으로 추가해준다.
proxy_pass 에는 프록시 서버가 클라이언트 요청을 전달할 리얼 서버의 주소를 적는다. 리버스 프록시의 큰 목적 중 하나는 실제 서버의 IP 주소를 클라이언트에게 노출하지 않기 위함이므로 여기서는 프라이빗 IP를 입력하였다. 퍼블릭 IP로 입력해도 큰 차이는 없다.
🌱 Certbot 설치 및 Let's Encrypt에서 SSL 인증서 발급
Certbot은 손쉽게 SSL 인증서를 자동 발급할 수 있도록 도와주는 도구이다. Certbot은 우분투의 snap 이라는 패키지 매니저를 사용하여 설치하는 것이 권장된다. 따라서 apt가 아닌 snap을 사용하여 설치하자.
$ sudo snap install certbot --classic그리고 아래 명령을 실행해서 SSL 인증서를 발급받자.
$ sudo certbot --nginx
이메일을 입력하고, 이용약관에 동의 후 사용할 도메인을 입력한다. 이때, 적용할 도메인에 대한 A 레코드가 반드시 적용되어 있어야 한다.
이 과정을 거치면 Certbot은 Let's Encrypt를 통해 자동으로 SSL 인증서를 발급해온다. 또한 우리가 작성한 Nginx의 default.conf 를 확인해보면 HTTPS를 위한 여러 설정이 자동으로 추가된 것을 볼 수 있다.
server {
server_name your.domain.com;
location / {
proxy_pass http://192.168.XXX.XXX:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = your.domain.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name your.domain.com;
return 404; # managed by Certbot
}
기존에 작성한 리버스 프록시 관련 세팅을 유지한 채 80 포트 즉, HTTP로 들어온 요청중 HOST 헤더가 your.domain.com 이라면 443 즉, HTTPS로 301 Moved Permanently Status를 사용해서 리디렉션 해주는 것을 확인할 수 있다. HOST 가 일치 하지 않으면 404 를 반환한다.
한번 설정한 도메인으로 웹브라우저에서 접속해보자. HTTPS가 제대로 적용된 것을 확인할 수 있다. SSL 인증서를 자세히 보면 아래 그림과 같이 발급자로 Let's Encrypt 가 제대로 찍혀 있는 모습을 확인할 수 있다.
🌱 Crontab으로 SSL 인증서 자동 갱신 설정
아쉽지만 Let's Encrypt에서 발급해주는 SSL 인증서는 90일짜리 단기 인증서이다. 우리는 90일 마다 서버에 접속하여 SSL 인증서를 수동으로 다시 발급해야한다. 리눅스 Crontab을 사용하여 이를 자동화 해보자.
Crontab이란 리눅스에서 제공하는 기능으로 특정한 시간 혹은 특정한 주기로 명령을 수행하고 싶을 때 사용한다. 즉, Crontab은 스케줄링 도구이다. 아래 명령을 이용해서 cron job 하나를 생성하자.
$ crontab -e간혹 기본 에디터를 무엇을 사용할 것 이냐는 질문이 나오는데, 자신이 가장 잘 쓰는 에디터를 선택하자. 필자는 vim을 선택했다. 그리고 주석 가장 아래에 아래 내용을 추가하고 파일을 저장하자.
0 0 * * * certbot renew --post-hook "sudo service nginx reload"매월, 매일 0시 0분에 certbot을 실행하여 SSL 인증서를 갱신하고, 갱신 이후 nginx의 설정파일을 reload 해주는 작업이다.
🌱 에러
- ERR_TOO_MANY_REDIRECTS 발생했다.
🌱 해결법
원인
백엔드 서버 포트 80을 해서 생긴 이유였다.
Nginx는 기본적으로 포트 80이다. 백엔드 서버와 통신 할 경우, Nginx가 먼저 실행되고, 백엔드 서버가 실행된다.
나의 경우는 백엔드 서버도 포트 80을 해서 Nginx와 백엔드 서버간의 무한루프가 발생한 거였다.
해결법
Nginx 포트가 80이기에, 백엔드 서버는 다른 포트번호를 지정해 준다. 나는 8080으로 바꿔 해결했다.
server {
server_name domain;
location / {
proxy_pass http://13.xxxxxxx:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/smartchart.shop/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/smartchart.shop/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = domain) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name domain;
return 404; # managed by Certbot
}
'Spring' 카테고리의 다른 글
| JWT 토큰 소개와 Spring Security + JWT 코드 공유 (0) | 2023.09.15 |
|---|---|
| 포트원 결제 - 카카오페이 (Spring, Java) With 시퀀스 다이어그램 (0) | 2023.09.13 |
| Kakao 로그인(OAuth 2.0) in Spring Boot With 시퀀스 다이어그램 (0) | 2023.09.12 |
| Spring - OAuth2.0 + Social Login (0) | 2023.08.22 |
| Spring - web-socket (0) | 2023.08.06 |
