[Nginx, Certbot] 서브도메인에 SSL 인증서 발급 후 https 설정하기

📒 [Nginx, Certbot] 서브도메인에 SSL 인증서 발급 후 https 설정하기

---

저번달에 포트폴리오 용도로 사용할 도메인을 하나 구매했었습니다.

이번에 새로운 개인 프로젝트를 하며 Nexus Docker Repository를 설치했는데, 서브 도메인에 SSL 인증서를 적용해 https로 통신하도록 했습니다.

이게 자주 할 수 있는 작업이 아니기 때문에 금방 기억에서 지워질 것 같아 기록해 봅니다.

 

📌 CNAME  레코드 설정

CNAME은 한 도메인 이름을 다른 도메인 이름에 별칭으로 연결하는 역할을 합니다.

저를 예로 들면 "lasbe.kr"이란 도메인을 구매했고, docker repository 통신을 위해 CNAME 레코드를 "docker"로 설정했으면 최종적으로 "docker.lasbe.kr"로 사용할 수 있습니다.

저는 호스팅케이알이라는 도메인 업체에서 CNAME을 위와 같이 설정해 주었습니다.

 

🔎 CNAME  레코드 확인

https://ultahost.com/ko/domain-dns-lookup

DNS 조회 도구 - 즉시 DNS 레코드 확인 | 얼타호스트

$ nslookup 명령어나 위 웹페이지를 통해 CNAME이 잘 적용되었나 확인해 줍니다.

certbot을 5번 실행하면 1시간을 기다려야 되기 때문에 꼭 잘 적용되었나 확인 먼저 해주도록 합니다.

 

📌 SSL 인증서 발급

기존 도메인에 인증서를 발급받았다는 전제 하에 설명합니다.

만약 기존 도메인에 인증서를 발급 받지 않았다면 아래 글을 참고해 주세요.

Proxy Server에 Certbot으로 SSL 인증서 발급 받고 Https 적용하기

[Docker + Nginx] Proxy Server에 Certbot으로 SSL 인증서 발급 받고 Https 적용하기

 

🔎 기존 인증서 확인

$ certbot certificates

위 명령어를 이용해 기존에 발급받았던 인증서를 확인해 줍니다.

 

🔎 인증서 업데이트

$ certbot certonly --cert-name <인증서 이름> -d <도메인1> -d <도메인2> ...

$ certbot certonly --cert-name lasbe.kr -d docker.lasbe.kr -d lasbe.kr

 

명령어를 실행하면 위와 같은 선택사항이 나오는데, 저 같은 경우 nginx를 통해 진행하기 때문에 1번을 선택했고 발급이 성공적으로 이루어진 것을 확인할 수 있습니다.

 

📌 Nginx 설정파일 추가

/etc/nginx/conf.d/default.conf 파일을 수정하여 인증서를 적용해 주겠습니다.

🔎 서버 블록 추가

server {
    server_name  docker.lasbe.kr;

    location / {
        proxy_pass http://192.168.0.8:5000;
    }

    listen [::]:443 ssl; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/lasbe.kr/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/lasbe.kr/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}

기존 설정파일에 위와 같이 서버 블록을 추가하여 서브 도메인으로 들어온 요청을 라우팅 해줍니다.

443 포트 listen과 인증서 부분은 기존에 존재하던 코드를 그대로 복사-붙여넣기 하면 됩니다.

🔎 http -> https

server {
    listen 80;
    server_name *.lasbe.kr lasbe.kr;
    return 301 https://$host$request_uri;
}

http로 들어온 요청을 https로 리다이렉트 하는 것을 각 도메인마다 처리하긴 힘드니, 위 서버 블록을 통해 http로 들어오는 모든 요청을 일괄적으로 https 리다이렉트 처리해 줍니다.

 

🔎 전체 설정파일

server {
    listen 80;
    server_name *.lasbe.kr lasbe.kr;
    return 301 https://$host$request_uri;
}

server {
    server_name  lasbe.kr;

    location / {
        proxy_pass http://192.168.0.8:3000;
    }

    location /.well-known/acme-challenge/ {
        allow all;
        root /var/www/certbot;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    listen [::]:443 ssl ipv6only=on; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/lasbe.kr/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/lasbe.kr/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
    server_name  docker.lasbe.kr;

    location / {
        proxy_pass http://192.168.0.8:5000;
    }

    listen [::]:443 ssl; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/lasbe.kr/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/lasbe.kr/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}

실제 돌아가고 있는 Nginx 서버 설정파일의 일부는 위와 같으니 참고 바랍니다.

 

🔎 설정파일 반영

$ sudo nginx -t
$ sudo service nginx reload

Nginx 테스트 후 정상이라면 반영해 주시면 됩니다.