사설 인증서 적용(개발서버)
CentOS7

Intro
Kafka Cluster
incoming message
- without kafka client library support
(e.g. Android or IOS app, IOT devices, …)
- send message using Rest APIs
https
- 443 port : web page (for test)
- 8443 port : rest service

방화벽 개방(HTTPS)
• 443, 8443
[root@master ~]# firewall-cmd --permanent --zone=public --add-port=8443/tcp
success
[root@master ~]# firewall-cmd --permanent --zone=public --add-port=443/tcp
success
[root@master ~]# firewall-cmd --reload
success
[root@master ~]# firewall-cmd --list-all

사설 인증서 생성
[root@master ~]# mkdir /root/ssl/
[root@master ~]# cd ssl
[root@master ssl]# openssl req -x509 -days 358000 -nodes -newkey rsa:2048
> -keyout /root/ssl/nginx-ssl.key -out /root/ssl/nginx-ssl.crt
Generating a 2048 bit RSA private key
........+++
.....................................................................................................+++
writing new private key to '/root/ssl/nginx-ssl.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:KR
State or Province Name (full name) []:Seoul
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:Kopo
Organizational Unit Name (eg, section) []:smart finance
Common Name (eg, your name or your server's hostname) []:devfmd
Email Address []:a@a.com
인증서 만료일 : 미지정시 30일, 테스트용으로 몇 백년 지정
openssl req -x509 -days 358000 -nodes -newkey rsa:2048
-keyout /root/ssl/nginx-ssl.key -out /root/ssl/nginx-ssl.crt
도메인명 일치해야 함(불일치시 클라이언트에서 인증서 오류발생으로 접속 불가)

Nginx 디렉토리로 인증서 카피
인증서 복사를 mv가 아닌 cp명령으로 수행해야 하는 이유 : https://stackoverflow.com/questions/37994513/

Nginx 설정(443)
server {
listen 80;
#server_name localhost;
server_name devfmd;
return 301 https://$host$request_uri;
#access_log /var/log/nginx/host.access.log main;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name devfmd;
root /usr/share/nginx/html;
ssl_certificate "/etc/nginx/nginx-ssl.crt";
ssl_certificate_key "/etc/nginx/nginx-ssl.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
/etc/nginx/conf.d/default.conf

host명 설정
서버에서 설정
로컬 PC에서 설정

Nginx 시작 및 브라우저 테스트
• systemctl start nginx

인증서 확인

결과 확인
• http://devfmd 접속시 https://devfmd로 자동 이동(301)

Nginx 설정(8443) /etc/nginx/conf.d/test.conf
server {
listen 8443 ssl http2;
listen [::]:8443 ssl http2;
server_name devfmd;
ssl_certificate "/etc/nginx/nginx-ssl.crt";
ssl_certificate_key "/etc/nginx/nginx-ssl.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location /api {
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_connect_timeout 300;
proxy_send_timeout 300;
proxy_read_timeout 300;
send_timeout 3000;
proxy_pass http://testme/api;
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

테스트 준비
• nginx -s reload
• 백엔드 어플리케이션 준비

포스트맨 준비
ssl 검증 옵션을 off 한다 : 제일 간편하나 권장하지 않음

포스트맨 테스트

포스트맨 준비(w/ 인증서)
• 사설 인증서 등록
• pem, crt, key를 등록
• pem은 기존 crt로부터 생성
• pfx는 기존 crt, key로부터 생성
https://learning.postman.com/docs/sending-requests/certificates/
https://www.tp-link.com/kr/support/faq/3330/
openssl x509 -in nginx-ssl.crt -out nginx-ssl.pem -outform PEM
openssl pkcs12 -export -in nginx-ssl.crt -inkey nginx-ssl.key -out nginx-ssl.pfx

포스트맨에 사설 인증서 등록

포스트맨에 사설 인증서 등록
서버에서 다운로드한 인증서 파일을 등록한다.
도메인명은 인증서 CN명과 같아야 함 서버에서 다운로드한 인증서 파일을 등록한다.

포스트맨에 사설 인증서 등록
등록 결과

테스트 결과
https 정상 통신 확인

[참고] curl https request
curl --location --request GET 'https://devfmd:8443/api' --header 'Content-Type: application/json'-v --cacert nginx-ssl.crt

정식 인증서 적용 (운영서버)
Ubuntu 18.04
사전 준비 사항 : 도메인, 고정IP
-> 없을 경우 ngrok 이용하여 설치

Nginx 설치
• apt-get install nginx
• {Nginx Home Directory}/sites-available/default
upstream testme {
server 127.0.0.1:8030;
}
server {
listen 80 default_server;
listen [::]:80 default_server;
location @rewrites {
rewrite ^(.+)$ /index.html last;
}
location / {
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_connect_timeout 300;
proxy_send_timeout 300;
proxy_read_timeout 300;
send_timeout 3000;
proxy_pass http://testme;
}
}
default

Certbot 설치
• $ sudo apt-get update
• $ sudo apt-get install software-properties-common
• $ sudo add-apt-repository universe
• $ sudo add-apt-repository ppa:certbot/certbot
• $ sudo apt-get update
# 만약 다음과 같은 에러가 난다면?
E: The repository 'http://ppa.launchpad.net/certbot/certbot/ubuntu focal Release' does not have a Release file.
$ sudo apt-add-repository -r ppa:certbot/certbot

Certbot 인증서 발급(Let’s Encrpyt)
• certbot --nginx -d 도메인명
예>
certbot --nginx -d sort.example.net
• 발급 결과
root@ip-172-31-6-254:/etc/letsencrypt/live/sort.example.net# ll
total 12
drwxr-xr-x 2 root root 4096 Dec 10 16:25 ./
drwx------ 3 root root 4096 Dec 10 16:25 ../
-rw-r--r-- 1 root root 692 Dec 10 16:25 README
lrwxrwxrwx 1 root root 41 Dec 10 16:25 cert.pem -> ../../archive/sort.example.net/cert1.pem
lrwxrwxrwx 1 root root 42 Dec 10 16:25 chain.pem -> ../../archive/sort.example.net/chain1.pem
lrwxrwxrwx 1 root root 46 Dec 10 16:25 fullchain.pem -> ../../archive/sort.example.net/fullchain1.pem
lrwxrwxrwx 1 root root 44 Dec 10 16:25 privkey.pem -> ../../archive/sort.example.net/privkey1.pem

결과 확인
http 접속시 https 자동 이동
certobot 인증서 발급시 nginx default 파일에
https 관련 코드와 301 리다이렉션 코드
자동으로 추가됨

Certbot 인증서 자동갱신 크론탭 등록
• certbot renew --dry-run
• /etc/cron.d/에 크론탭 자동 등록

고정IP, 도메인이 없는 경우
• ngrok 또는 localtunnel 적용 고려(임시방편)
ngrok : 하나의 서버에 대해 무료, 서버 재시작시 도메인 변경됨
localtunnel : 도메인명.loca.lt 형태로 고정되나, 중계서버 간헐적 불안정
VS
https://localtunnel.github.io/www/
https://ngrok.com/

참고자료
• CentOS에서 Nginx, Certbot 설치하고 인증서 적용하기
https://stove99.github.io/linux/2019/08/27/install-lets-encrypt-to-nginx-in-centos/
• Root CA 인증서 발급 및 적용 절차
https://www.sslcert.co.kr/guides/NGINX-SSL-Certificate-Install
https://velog.io/@twkim8548/Nginx%EC%97%90%EC%84%9C-SSL-%EC%A0%81%EC%9A%A9%ED%95%B4%EC%84%9C-Https-%EB%A1%9C-
%EC%A0%91%EC%86%8D-%EB%90%98%EA%B2%8C-%ED%95%B4%EB%B3%BC%EA%B9%8C