운영 서버 TLS/SSL 적용하기

[JJ503]

도메인 구매 및 설정

도메인 구매

가비아를 통해 [blooming-goal.store](http://blooming-goal.store) 주소 구매

DNS 관리를 통해 운영 서버와 연결

• TTL : Time To Live, 컴퓨터나 네트워크에서 데이터의 유효기간을 나타내기 위한 방법, 레코드 변경사항이 적용될 때까지 걸리는 시간
• TTL은 3600이 권장하는 곳이 많음
  • TTL을 너무 크게 설정하는 경우 DNS에서 수정 내용이 전파되는 시간이 길어짐
  • TTL이 너무 작게 설정하는 경우 DNS 서버의 부하가 커짐

ssl 적용

Nginx 설치하기

sudo apt update
sudo apt upgrade
sudo apt install nginx

Nginx 시작 및 상태 확인

sudo systemctl start nginx
sudo systemctl status nginx

서버 접속

IP를 통해 서버에 접속하면, nginx 페이지가 뜸

앞서 만든 도메인으로도 접속 가능

Let's Encrypt 인증서 생성하기

Certbot 설치

• letsencrypt에 certbot이 포함되어 있음

sudo apt install letsencrypt
sudo apt install python3-certbot-nginx

certbot을 통한 인증서 발급

sudo certbot --nginx -d blooming-goal.store

certbot을 통한 인증서 자동 갱신

sudo certbot renew --dry-run

https를 통해 접속 가능해짐 (자물쇠 아이콘이 생김)

nginx 설정 파일에도 https에 대한 설정이 추가됨

nginx reverse proxy를 통한 강제 리다이렉트 설정

blooming-goal.store에 접속했을 때 위에서 보았던 nginx 기본 페이지가 아닌 블루밍 애플리케이션과 연결되도록 한다. 즉, blooming-goal.store 접속시 내부적으로는 localhost:8080으로 연결되도록 한다.

• Reverse proxy 구성 참고
  • proxy_pass : 포워딩될 주소
  • Host $http_host : 다음 우선 순위의 $host 변수에는 요청 라인의 호스트 이름 또는 호스트 요청 헤더 필드의 호스트 이름 또는 요청과 일치하는 서버 이름이 포함됩니다.
  • X-Real_IP $remote_addr : 실제 방문자 원격 IP 주소를 프록시 서버로 전달
  • X-Forwarded-For $proxy_add_x_forwarded_for : 클라이언트가 프록시 처리한 모든 서버의 IP 주소를 포함하는 목록
  • X-Forwarded-Proto $scheme : HTTPS 서버 블록 내에서 사용할 경우 프록시 서버의 각 HTTP 응답이 HTTPS로 다시 작성

server {
	listen 80;
    listen [::]:80;
    server_name blooming-goal.store www.blooming-goal.store;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real_IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

HTTP를 HTTPS로 강제 리다이렉트 설정

위에서 nginx에 https에 대한 설정이 있었던 것을 이용해 설정할 수 있음

server {
    server_name blooming-goal.store www.blooming-goal.store;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real_IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    listen [::]:443 ssl ipv6only=on; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/blooming-goal.store/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/blooming-goal.store/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}

server {
    if ($host = blooming-goal.store) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80;
    listen [::]:80;
    server_name blooming-goal.store www.blooming-goal.store;
    return 404; # managed by Certbot
}

http://blooming-goal.store로 접속하더라도 https://blooming-goal.store로 접속됨을 확인할 수 있다
(테스트를 위해 dev 서버로 임시 배포해두어 dev 용 관리자 페이지로 확인했습니다)