세상을 삐딱하게 바라보는 또 다른 우리의 눈 따기닷컴
리눅스

Let’s Encrypt 를 사용하여 SSL HTTPS 적용하기

회원가입을 받는 사이트 즉, 회원정보를 보관하는 사이트는 정보처리방침에 따라 SSL 을 권고가 아닌 의무로 지정하고 있습니다.

그동안 이것 때문에 서버에 설치, 구입비용, 기타 기술적요인으로 어려움이 있었습니다.

한대의 서버에 여러 도메인을 사용하는 경우라면 멀티도메인 인증서를 구입해야 하고 멀티도메인은 싱글도메인 보다 가격도 더 비쌉니다.

저 같이 한서버에 여러 사이트를 돌리면 부담이 많이 됩니다.

여러가지 인증서 중에서 저는 COMODO가 제일 싸고 괜찮다고 생각해서 그동안 계속 이용을 해 왔었습니다.

SSL 에 대한 가격 얘기를 하고 싶지는 않았으나 저는 이것이 일종의 상술이 아닐까 생각합니다.

다음 기회에…^^;

 

하지만 Let’s Encrypt  를 알게 되면서 이제 돈도 아낄 수 있고, 한 서버에 여러 도메인도 셋팅을 쉽게 할 수 있게 되었습니다.

Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).

이렇게 말하고 있으니 한번 설치해 보기로 합니다.

 

우분투 14.04

$ wget https://dl.eff.org/certbot-auto
$ mv certbot-auto /usr/bin/letsencrypt
$ chmod 755 /usr/bin/letsencrypt

우분투 16.04

$ apt-get install letsencrypt
$ letsencrypt certonly --webroot --webroot-path=/home/blog -d ddagi.com -d www.ddagi.com

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for news.ddagi.com
Using the webroot path /mnt/disk/news for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/news.ddagi.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/news.ddagi.com/privkey.pem
   Your cert will expire on 2018-12-05. To obtain a new or tweaked
   version of this certificate in the future, simply run letsencrypt
   again. To non-interactively renew *all* of your certificates, run
   "letsencrypt renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

아파치에 붙이고

SSLCertificateFile "/etc/letsencrypt/live/mysitename.com/cert.pem"
SSLCertificateKeyFile "/etc/letsencrypt/live/mysitename.com/privkey.pem"
SSLCertificateChainFile "/etc/letsencrypt/live/mysitename.com/chain.pem"

갱신

10 5 1 * * root /usr/bin/letsencrypt renew >> /var/log/le-renew.log

 

인증서는 3개월에 한번씩 갱신해야 합니다. 한달에 한번 체크 할수 있게 크론에 등록하면 되겠네요.