Ubuntu 웹서버에 무료 HTTPS 적용해 보기

by 드로니뚜벅이 2024. 10. 23.
HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신, 80포트 대신 443포트를 이용하여 SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화합니다. 따라서 데이터의 적절한 보호를 보장합니다.


HTTP(80) 는 보안에 취약하다는 건 모두 아는 사실입니다.

요즘 브라우저는 HTTP 사이트에 접속하면 해당 사이트가 안전하지 않다는 주의 메시지를 출력합니다. 그래서 안전한 HTTPS를 사용해서 서비스하고 싶지만 도메인업체 대부분이 유료로 제공하고 있어 경제적인 부담이 있는 게 현실입니다.그럼에도 불구하고 안전한 웹 서비스를 위해 무료로 서비스할 수 있는 방법이 있지 않을까요?


여기서는 구글링으로 참고할 자료가 많은 nginx를 사용해서 구현해 보겠습니다.

Nginx가 SSL 설정이 간단하고, Load balancing과 HTML CSS 등의 정적 리소스를 제공하는데 용이하다는 장점이 있다고 하니 믿고 적용해 보겠습니다. 즉, 저는 Nginx를 리버스 프락시로 사용하고자 합니다.


1. nginx 설치

먼저 HTTPS 를 적용하기 위해 nginx를 설치합니다.

$ sudo apt update
$ sudo apt install nginx
$ sudo service nginx start
$ sudo service nginx status



2. 인증서 발급 준비

무료 인증서 발급 기관(CA)으로 ZeroSSL이나 Let's Encrypt 가 있으며 여기서 제공하는 서비스를 많이들 사용하고 있는 것 같습니다. 저는 이메일과 도메인만으로 빠르게 인증서를 받을 수 있는 Let's Encrypt를 사용해 보습니다.

Let's Encrypt가 추천하는 인증서 발급 프로그램(ACME 클라이언트)인 Certbot을 통해 이메일과 도메인만으로 빠르고 쉽게 발급받아 보도록 하겠습니다. 즉, Certbot 하나만 설치하면 Let's Encrypt 을 포함합니다.

(혹시, 이전에 apt 와 같은 패키지 관리자로 Certbot 패키지를 설치했다면 먼저 삭제하고 Certbot 을 설치합니다.)

$ sudo apt remove certbot
$ sudo snap install --classic certbot
certbot 2.11.0 from Certbot Project (certbot-eff) installed

설치가 되었다면 certbot 명령어를 커멘드 라인 (터미널)에서 실행할 수 있도록 심볼릭 링크를 설정해 줍니다. (일반적으로 데비안 계열 리눅스에서는 설치 후 자동으로 경로설정이 됩니다. certbot 명령어를 바로 입력할 수 없는 경우에 해당합니다.)

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

여기까지, 인증서 발급을 위해 필요한 모든 준비를 마쳤습니다.


3. 인증서 발급

모든 준비를 마쳤으니 certbot을 통해 인증서를 발급하는 명령어를 실행해야 합니다.

그런데, 인증서 발급받는 방법은 두 가지가 있습니다.

첫 번째는 명령어 하나로 자동으로 인증서를 발급한 후 필요한 설정까지 해 주는 방법이고,

두 번째는 명령어로 인증서만 발급받고 SSL과 같은 설정은 직접 수동으로 작성하는 방법입니다.

($ sudo certbot certonly --nginx)

저는 좀 더 쉬워 보이는 첫 번째 방법으로 발급받아 보겠습니다.

형식: $ sudo certbot --nginx -d { MY DOMAIN }
$ sudo certbot --nginx -d oottagiya.com -d www.oottagiya.com -d dev.oottagiya.com
Successfully received certificate.

이렇게 발급 받은 인증서는 90일 동안 유효합니다. 따라서, 60일마다 자동으로 갱신하는 것이 좋다고 합니다. (갱신하는 방법은 아래에서 설명하겠습니다.)


기존 인증서 확인하고 삭제하기

기존에 이미 인증서를 발급받았는데 다시 발급받으려면 기존 인증서를 삭제하고 다시 발급받아야 합니다.

"certbot certificates" 명령어로 기존에 발급받은 인증서가 있는지 확인한 후 "certbot delete" 명령어로 인증서를 삭제해 줍니다.

$ sudo certbot certificates
$ sudo certbot delete
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Which certificate(s) would you like to delete?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: oottagiya.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificate(s) are selected for deletion:

  * oottagiya.com

WARNING: Before continuing, ensure that the listed certificates are not being
used by any installed server software (e.g. Apache, nginx, mail servers).
Deleting a certificate that is still being used will cause the server software
to stop working. See https://certbot.org/deleting-certs for information on
deleting certificates safely.

Are you sure you want to delete the above certificate(s)?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y
Deleted all files relating to certificate oottagiya.com.


4. nginx에 SSL 적용하기

인증서를 적용할 사이트에 대한 nginx를 설정합니다.

$ cd /etc/nginx/sites-available
$ vi default

default 파일은 nginx 설치 시 자동으로 설치된 파일입니다. 편집해도 상관없지만 편의상 삭제하고 아래처럼 필요한 내용만 입력합니다.

server {
    listen 443 ssl http2; # https 활성화
    # listen [::]:443 ssl http2; # https 활성화
    server_name oottagiya.com; # 도메인 지정

    location / { 
        root /home/yunix/webserver/frontend/dist; # 빌드된 프론트엔드의 파일 위치
        index index.html; # 렌더링 해줄 html 파일 이름 
        try_files $uri $uri/ /index.html; # 사용자가 존재하지 않는 uri로 요청시 index.html(or =404)을 보여줌

    ssl_certificate /etc/letsencrypt/live/oottagiya.com/fullchain.pem; # 인증서
    ssl_certificate_key /etc/letsencrypt/live/oottagiya.com/privkey.pem; # 키
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # Diffie–Hellman

# Redirect all traffic to HTTPS
server {
    listen 80; # 80 포트의 요청을 받음
    server_name oottagiya.com;
    return 301 https://oottagiya.com$request_uri; # 요청 uri를 https로 리다이렉트 (https://$host$request_uri;)

위 내용은 https://oottagiya.com 으로 요청이 오면 index.html을 띄워주는 내용입니다. 단, http://oottagiya.com 으로 요청이 오면 https(443)으로 리다이렉션해 줍니다.



4-1. SSL 관련 설정 (참고만 하세요)


certbot이 발급해 준 fullchain.pem 경로를 지정합니다. (/etc/letsencrypt/{위에서 인증서 발급받는 도메일}/fullchain.pem)



certbot이 발급해 준 privkey.pem의 경로를 지정합니다. 위치는 ssl_certificate와 동일합니다. (/etc/letsencrypt/{위에서 인증서 발급받는 도메일}/privkey.pem)



ssl의 session_cache, session_timeout, ssl_protocols 등의 설정 정보가 있습니다.





4-2. 설정 파일 문법 체크

아래 명령어로 nginx 문법에 맞게 수정되었는지 문법을 체크합니다.

$ sudo nginx -t
$ sudo nginx -s reload



5. 심볼링 링크 설정


웹사이트의 구성 정보를 설정하는 곳입니다.



sites-available 에서 구성한 사이트 중  nginx에서 실제로 사용하고자 하는 사이트의 심볼릭 링크를 가지는 디렉토리입니다.


/etc/nginx/sites-available/{설정파일} 을 /etc/nginx/sites-enabled/ 폴더에 심볼릭 링크를 생성해 줍니다. 

$ sudo ln -s /etc/nginx/sites-available/oottagiya.com.conf /etc/nginx/sites-enabled/



6. ngix 재시작

$ sudo service nginx restart # or > sudo nginx -s reload



7. HTTPS로 재접속

https://www.oottagiya.com으로 웹페이지에 접속되는지 확인합니다.

http://www.oottagiya.com 으로 접속해도 https://www.oottagiya.com 으로 리다이렉션되는지 확인합니다.



8. 백엔드 서버도 HTTPS 적용

프론트엔드와 동일하게 설정하면 됩니다.

server {
    listen 443 ssl; # 443 포트의 요청을 받음
    server_name dev.oottagiya.com; # 도메인 지정

    location / {
        proxy_pass http://{백엔드 서버 IP}:8080; // localhost로 요청 위임
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $http_host;
    ssl_certificate  /etc/letsencrypt/live/dev.oottagiya.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/dev.oottagiya.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

server {
    listen 80; # 80 포트의 요청을 받음
    server_name dev.oottagiya.com;
    return 404; # http로 요청하면 404 응답



프론트엔드 설정과 좀 다르지요?



nginx는 서버에 대한 요청을 처리할 수 없기 때문에 백엔드 서버에게 요청을 위임해야 하기 때문에 서버가 동작하고 있는 주소를 지정해 줍니다.




클라이언트의 IP 주소를 식별하는 표준 헤더로 $proxy_add_x_forwarded_for 로 설정해 줍니다.

이렇게 설정해 주면 클라이언트 IP를 x-forwared-for 헤더에 append 해 줍니다.


클라이언트가 프록시(nginx)로 요청을 보낼 때의 프로토콜로, $scheme로 설정해 줍니다.


바로 직전의 클라이언트의 IP를 나타냅니다. 


설정파일에서 proxy_set_header로 헤더를 설정하면 서버로 들어오는 요청에 대한 로킹 정보는 아래와 같습니다.

<생략> 추후 추가됩니다.

###### HTTP Request ######
GET /boards/contents HTTP/1.0
x-forwarded-for: # $proxy_add_x_forwarded_for 로 설정
x-forwarded-proto: https # $scheme 로 설정
x-real-ip: # $remote_addr로 설정
host: dev.oottagiya.com # $http_host 로 설정
connection: close


9. SSL 인증서 갱신

안타깝게도 Let's Encrypt 인증서는 발급된 시점에서 90일(3개월)로 제한되어 있기 때문에 만료되기 전에 갱신해 줘야 합니다. 하지만 다행스럽게도 갱신하는 방법도 제공해 주고 있기 때문에 설명 내용을 참고하세요.

$ sudo service nginx stop
$ sudo certbot renew --dry-run
$ sudo fuser -k 80/tcp
$ sudo service nginx start



1) Nginx: Failed to start A high performance web server and a reverse proxy server

$ service nginx start
Job for nginx.service failed because the control process exited with error code.
See "systemctl status nginx.service" and "journalctl -xeu nginx.service" for details.
$ service nginx status
× nginx.service - A high performance web server and a reverse proxy server
     Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Fri 2024-11-29 11:49:28 KST; 2min 37s ago
       Docs: man:nginx(8)
    Process: 744586 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 744587 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=1/FAILURE)
        CPU: 52ms

11월 29 11:49:27 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:27 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:27 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:27 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:28 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:28 oottoo-sys nginx[744587]: nginx: [emerg] bind() to failed (98: Unknown error)
11월 29 11:49:28 oottoo-sys nginx[744587]: nginx: [emerg] still could not bind()
11월 29 11:49:28 oottoo-sys systemd[1]: nginx.service: Control process exited, code=exited, status=1/FAILURE
11월 29 11:49:28 oottoo-sys systemd[1]: nginx.service: Failed with result 'exit-code'.
11월 29 11:49:28 oottoo-sys systemd[1]: Failed to start A high performance web server and a reverse proxy server.

뭐 이유는 다양하겠지만, 저 같은 경우는 Nginx를 정지시키고 인증서 설치 후 재실행할 경우 발생했습니다.

구글링 해 보니 아래 명령어를 실행해서 80 포트 사용하는 녀석들을 모두 죽이고 시작하니 정상 동작합니다.

$ sudo lsof -i:80 # or netstat -anp | grep 80
[sudo] password for mappers: 
nginx   748312     root    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748313 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748314 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748315 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748316 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748317 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748318 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748319 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748320 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
nginx   748321 www-data    7u  IPv4 415867722      0t0  TCP *:http (LISTEN)
$ sudo fuser -k 80/tcp
$ sudo service nginx restart # or 설치전에 종료시켰다면 service nginx start


2) 인증서 발급 시 인증서를 삭제하고 인증서를 다시 발급받을 경우, Nginx 실행하는 과정에서 인증서 에러가 발생할 수 있습니다.

# certbot --nginx -d oottagiya.com -d www.oottagiya.com -d dev.oottagiya.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Error while running nginx -c /etc/nginx/nginx.conf -t.

nginx: [emerg] cannot load certificate "/etc/letsencrypt/live/oottagiya.com/fullchain.pem": BIO_new_file() failed (SSL: error:80000002:system library::No such file or directory:calling fopen(/etc/letsencrypt/live/oottagiya.com/fullchain.pem, r) error:10000080:BIO routines::no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

The nginx plugin is not working; there may be problems with your existing configuration.
The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\nnginx: [emerg] cannot load certificate "/etc/letsencrypt/live/oottagiya.com/fullchain.pem": BIO_new_file() failed (SSL: error:80000002:system library::No such file or directory:calling fopen(/etc/letsencrypt/live/oottagiya.com/fullchain.pem, r) error:10000080:BIO routines::no such file)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n')

# service nginx status
× nginx.service - A high performance web server and a reverse proxy server
     Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Sat 2025-01-25 08:14:07 KST; 14min ago
       Docs: man:nginx(8)
    Process: 3786948 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
        CPU: 15ms

 1월 25 08:14:07 systemd[1]: Starting A high performance web server and a reverse proxy server...
 1월 25 08:14:07 nginx[3786948]: nginx: [emerg] cannot load certificate "/etc/letsencrypt/live/oottagiya.com/fullchain.pem": BIO_new_file() failed (SSL: error:8000000>
 1월 25 08:14:07 nginx[3786948]: nginx: configuration file /etc/nginx/nginx.conf test failed
 1월 25 08:14:07 systemd[1]: nginx.service: Control process exited, code=exited, status=1/FAILURE
 1월 25 08:14:07 systemd[1]: nginx.service: Failed with result 'exit-code'.
 1월 25 08:14:07 systemd[1]: Failed to start A high performance web server and a reverse proxy server.


해결 방법은 인증서 생성 시 --nginx 대신 --standalone 옵션으로 인증서를 생성합니다.

# certbot certonly --standalone -d oottagiya.com -d www.oottagiya.com -d dev.oottagiya.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for oottagiya.com and 3 more domains

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/oottagiya.com/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/oottagiya.com/privkey.pem
This certificate expires on 2025-04-24.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -









