Rocky Linux 8.x 에서 Let's encrypt 설치 및 SSL 발급받기 (와일드카드)
*.sysdocu.kr 과 같이 여러개의 서브도메인 인증서를 각각 받지 말고 와일드카드 문자를 이용해 하나의 인증서만 발급받으면 관리가 편한 장점이 있습니다.
아래와 같이 간단하게 발급받을 수 있으며, 방법은 사용이 가능한 기본 도메인과 와일드카드 문자가 들어간 도메인을 같이 발급받으면 됩니다.
1. 설치
# yum -y install letsencrypt certbot
2. 발급
# certbot certonly --manual --preferred-challenges=dns -d sysdocu.kr -d "*.sysdocu.kr"
발급할때 도메인 주인이 맞는지 확인하는 과정이 나옵니다.
출력된 value 값을 DNS 에 TXT 형식으로 추가해 보라는 것입니다.
예)
Please deploy a DNS TXT record under the name:
_acme-challenge.sysdocu.kr.
with the following value:
e9s7AlTjBg9VN_H0eDfYLOiF6QvXiIZotAbWQ0EVibA
엔터를 치면 한개 더 해보라고 합니다.
(입력한 도메인이 두개라서 두번 요청하는 듯 보임)
예)
Please deploy a DNS TXT record under the name:
_acme-challenge.sysdocu.kr.
with the following value:
Ei0XXe8aAlzIyu_RQdQuk-qPmR1RxpHtuhYsAyHq05M
저는 네임서버가 bind 로 구성되어 있어 zone 파일에 아래와 같이 추가하고 데몬을 reload 하였습니다.
_acme-challenge.sysdocu.kr. IN TXT WMeM_AiR_OPKOo_8R8MxzSwnGAXktK8Q6mQbx-A5r_k
_acme-challenge.sysdocu.kr. IN TXT 6lEcqLN9LlomU23A28ycDsVSvezrEvRiidA5F7a2gHs
다시 발급화면으로 돌아가 엔터를 치면, 발급이 성공하였다는 메세지가 출력됩니다.
인증서는 아래 경로에 잘 저장이 된것을 확인하였습니다.
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/sysdocu.kr/fullchain.pem
Key is saved at: /etc/letsencrypt/live/sysdocu.kr/privkey.pem
This certificate expires on 2023-06-12.
These files will be updated when the certificate renews.
# ll /etc/letsencrypt/live/sysdocu.kr/
합계 4
-rw-r--r-- 1 root root 692 3월 14 14:17 README
lrwxrwxrwx 1 root root 34 3월 14 14:17 cert.pem -> ../../archive/sysdocu.kr/cert1.pem
lrwxrwxrwx 1 root root 35 3월 14 14:17 chain.pem -> ../../archive/sysdocu.kr/chain1.pem
lrwxrwxrwx 1 root root 39 3월 14 14:17 fullchain.pem -> ../../archive/sysdocu.kr/fullchain1.pem
lrwxrwxrwx 1 root root 37 3월 14 14:17 privkey.pem -> ../../archive/sysdocu.kr/privkey1.pem
# ll /etc/letsencrypt/archive/sysdocu.kr/
합계 20
-rw-r--r-- 1 root root 1846 3월 14 14:17 cert1.pem
-rw-r--r-- 1 root root 3749 3월 14 14:17 chain1.pem
-rw-r--r-- 1 root root 5595 3월 14 14:17 fullchain1.pem
-rw------- 1 root root 1704 3월 14 14:17 privkey1.pem
* 참고
갱신시 파일이름이 변경되므로 라이브 디렉토리 ( /etc/letsencrypt/live/sysdocu.kr/ ) 에 있는 인증서를
설정 등에 사용하시면 편리합니다.
* 참고
자동 갱신을 원할 경우 쉘스크립트를 만들고 아래 명령을 추가합니다.
certbot renew --quiet --no-self-upgrade
그리고 crond 등의 스케쥴러에 등록하여 사용하시면 됩니다.
인증서는 3개월 사용이 가능하며 만료 1개월 전부터 갱신이 가능하니
매월 보름간격으로 체크하도록 하면 문제없이 갱신이 됩니다.
0 0 1,16 * * root /root/ssl-renew.sh
'리눅스 > OS 일반' 카테고리의 다른 글
| Openssl 로 자체 서명 인증서 (SSL) 생성하기 (0) | 2023.04.11 |
|---|---|
| - 로 시작하는 파일명 삭제하기 (0) | 2023.03.31 |
| sed 명령어로 특정 문자가 속한 라인만 수정하기 (0) | 2023.02.14 |
| SSH 접속 에러 : Unable to negotiate with 192.168.10.2 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss (0) | 2023.01.06 |
| wget 으로 웹소스 출력하기 (0) | 2023.01.04 |
