가비아 + Linux + Nginx + Cerbot/SSL을 활용한 https 설정

서론

가비아 + Linux + Nginx + Cerbot/SSL을 활용한 https 설정에 대해 문서화하고자 글을 작성하게 되었습니다.

환경

• 웹 서버: Nginx
• 인증서 발급: Cerbot/SSL
• 운영체제: Amazone Linux
• 도메인 구매: 가비아

목차

1. 도메인 구매 및 설정
2. Nginx 설치 및 수정
3. Cetbot 설치 및 SSL 발급
4. Proxy 설정
5. 인증서 자동 갱신(선택)

1. 도메인 구매

먼저 도메인이 필요합니다. 도메인은 사람들이 원하는 사이트에 방문하기 위해 브라우저에서 입력하는 주소를 말합니다. https 적용에 있어서 도메인이 필요한 이유는 SSL 인증서를 발급받을 때 도메인이 아니라 IP일 경우에는 인증서 발급이 제한되기 때문입니다.
도메인을 얻을 수 있는 사이트는 굉장히 많지만 저는 그중 가비아라는 사이트를 이용해서 구매하도록 하겠습니다.

웹을 넘어 클라우드로. 가비아

원하는 도메인 검색

가비아 로그인 후 검색창에 원하는 도메인을 입력한 뒤 검색을 누릅니다.

원하는 도메인 선택

가격을 보시고 원하는 도메인을 선택 후 구매과정을 진행해주시면 됩니다. 연습용이면 500원이나 1900원짜리를 구매하는 게 베스트입니다.

등록 기간 확인

등록 기간이 디폴트로 3년이 잡혀있는데 필히 1년으로 지정해주시기 바랍니다. 1년만 할인가격이 적용되기 때문입니다. 이 외에는 따로 건드리지 않고 구매만 해주시면 됩니다.

My가비아 -> 서비스 관리

구매 후 'My가비아 -> 서비스 관리'에 가시면 위와 같이 본인이 방금 구매한 도메인이 구매 후로부터 5분 내외로 나타납니다.

관리 -> DNS 정보 -> DNS 관리 클릭

본인의 도메인 설정 클릭

그 후 '관리 -> DNS 정보 -> DNS 관리'에 들어가시면 위와 같은 관리 페이지로 넘어가게 됩니다.

DNS 레코드 입력

'설정 -> 레코드 수정'을 눌러서 DNS 레코드 수정을 띄운 뒤 다음과 같은 양식으로 입력하고 저장합니다.
값/위치 부분에 본인의 서버 아이피를 입력하고, 호스트는 www와 @ 두 개를 지정하는데, 이는 도메인에 www를 붙였을 때와 붙이지 않았을 때 모두 다 적용되도록 하는 것입니다.

도메인 적용이 된 모습

저장 후 5분 내외로 본인의 서버 아이피 대신에 도메인으로 접속하면 작동이 되는 것을 확인할 수 있습니다.

2. Nginx 설치 및 수정

먼저 저는 Amazone Linux 환경에서 작업을 하고 있습니다. Ubuntu나 일반 Linux로 작업하시는 분은 설치방법이 다르니 유의하시기 바랍니다. 적용 과정은 동일합니다.

sudo amazon-linux-extras install -y nginx1

2-1) Nginx 설치

먼저 Amazone Linux에서는 yum을 통한 nginx 설치를 지원하지 않기 때문에 위와 같은 명령어를 통해 Nginx를 설치해야 합니다.

정상적으로 설치되었는지 확인

nginx -v

정상적으로 설치가 되었는지는 위 버전 명령어를 통해 확인할 수 있습니다.

2-2) Nginx 수정

이제 Nginx에 우리가 1번에서 구매한 도메인을 작성해야 합니다. Nginx의 설정 파일들은 보통 /etc/nginx/* 아래에 위치하고 있으며, 로그파일은 /var/log/nginx/*에 위치하고 있습니다.

find / -name nginx.conf

만약 설정 파일들을 찾지 못할 경우 위와 같은 명령어로 환경 파일들을 찾을 수 있습니다.

sudo vi /etc/nginx/nginx.conf

저희가 수정할 파일은 nginx.conf 파일입니다. 위 명령어를 통해 열어줍니다.

수정할 부분

nginx.conf 파일에서 수정할 부분은 위 이미지의 빨간 박스 부분인 server_name입니다. 본인의 도메인을 입력하면 되는데 server_name 도메인 www.도메인; 과 같은 형식으로 입력합니다.

수정한 모습

3. Cerbot 설치 및 SSL 발급

sudo wget -r --no-parent -A 'epel-release-*.rpm' http://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/

sudo rpm -Uvh dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-*.rpm

sudo yum-config-manager --enable epel*

sudo yum install -y certbot python2-certbot-apache

sudo yum install certbot-nginx

위 명령어를 순차적으로 실행하여 Certbot을 설치하도록 합니다.

sudo certbot --nginx

Cerbot이 설치되었다면 위 명령어를 통해 인증서를 발급받도록 합니다.

2번에서 server_name을 명시했을 경우

2번에서 Nginx 설정 파일에 server_name을 명시했을 경우 위 이미지와 같이 도메인(server_name)이 자동으로 매칭이 되는 것을 확인할 수 있습니다. 확인이 되었다면 엔터를 입력하여 진행하도록 합니다.
만약 Nginx 설정 파일에서 server_name을 지정해주지 않았을 경우 dkswnkk.shop www.dkswnkk.shop와 같은 양식으로 입력하여 직접 지정해주도록 합니다. (ex: dkswnkk.shop www.dkswnkk.shop)

이메일 입력

계속해서 수행하면 먼저 이메일을 입력하라고 나옵니다. 본인의 이메일을 입력해주시면 됩니다.

ACME 서버에 등록할 것인지 동의 여부

그다음 Y를 입력하여 동의해줍니다.

EFF 소식을 이메일로 받을지 선택

이메일 수신 여부는 자유롭게 입력하여 다음으로 넘어가 줍니다.

인증서 발급 성공!

그럼 성공적으로 인증서를 발급받은 것을 확인할 수 있습니다.
여기서 만약 숫자 1과 2를 선택하라는 문장이 나온다면 해당 문장은 기존 http 연결을 어떻게 설정할 것인가에 대한 질문입니다.

• 1을 입력한다면 http 연결을 https로 자동으로 리다이렉트 하지 않는다.
• 2를 입력한다면 http 연결을 https로 자동으로 리다이렉트 한다.

1 또는 2를 입력하고 엔터를 누르면, 구성이 업데이트되고 Nginx가 재시작됩니다. 이후 자동으로 등록되며, 3개월 뒤에 자동으로 갱신되는 스케줄도 등록됩니다.

4. Proxy 설정

이제 우리가 구매한 도메인으로 시작하는 주소로 접근하면 우리의 스프링 서버로 연결을 보내기 위해 proxy_pass 설정을 해줘야 합니다.

sudo vi /etc/nginx/nginx.conf

다시 위의 명령어를 통해 Nginx 설정 파일을 연 뒤 아래와 같이 입력 후 저장합니다.

입력할 부분

location / {
               proxy_pass http://localhost:8080; # 자신의 springboot app이사용하는 포트
               proxy_set_header Host $host;
               proxy_set_header X-Real-IP $remote_addr;
               proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
               proxy_set_header X-Forwarded-Proto $scheme;
           }

입력 한 모습

이미지의 화살표 부분에 위와 같은 코드를 입력하고 저장합니다.

 sudo service nginx restart

이제 위 명령어를 통해 Nginx를 재 실행 후 https://본인의 도메인에 접속하게 되면 https가 성공적으로 적용이 된 것을 확인할 수 있습니다.

성공적으로 https 적용 된 모습

또한 http로 접속해도 자동으로 https로 리다이렉트 되는 것도 확인할 수 있습니다.
여기서 혹시 접속이 되지 않으시는 분들은 서버 EC2의 보안 그룹 중 인바운드에서 443 포트가 열려있는지 확인하시기 바랍니다.

5. 인증서 자동 갱신(선택)

Cerbot은 무료로 제공하다 보니 기본적으로 90일의 만료기간이 있습니다. 하지만 90일마다 매번 서버에 접속하여 새로운 인증서를 발급하는 것은 번거로움이 발생할 수 있기 때문에 이를 cron을 통해 자동화하여 해결할 수 있습니다.

sudo vi /etc/crontab

먼저 crontab 파일을 수정하여 cron을 지정하도록 합니다. 위 명령어를 통해 crontab을 엽니다.

39 1,13 * * * root certbot renew --no-self-upgrade

위 내용을 입력 후 저장합니다. 위의 명령은 다음과 같습니다.

• 39 1,13 * * * : 매일 1시 39분, 13시 39분에 실행하도록 합니다.
• root : 명령이 root 권한으로 실행하도록 합니다.
• certbot renew --no-self-upgrade : Let's Encrypt 인증서를 갱신합니다.
  renew는 Certbot이 이전에 얻은 모든 인증서가 점검하고 만료 날짜가 다가오고 있는 인증서를 갱신합니다.
  --no-self-upgrade 플래그를 사용하면 Certbot이 사용자의 개입 없이 자체 업그레이드하지 않습니다.

1. 시간 설정은 임의로 작성한 것이지만, Certbot 개발자는 최소한 매일 두 번 명령을 실행하는 것을 제안한다고 합니다.
2. 시간 설정은 90일에 안쪽으로 원하시는 날짜에 맞춰서 작성하셔도 되겠습니다.
3. 모든 설정이 끝났다면 cron을 재실행하여 적용시키도록 합니다.

sudo systemctl restart crond

이제 crond를 재 시작하여 인증서를 자동으로 갱신하도록 합니다.

참고

Amazon Linux2에서 Certbot을 통해 HTTPS 적용하기 (With. Nginx)