4-11. SSL

About 2 min

4-11. SSL 관련

이제 브라우저에서 고정 IP 대신 도메인을 입력하여 서버에 접속할수 있게 되었다.

하지만 브라우저의 주소창을 보면 다음과 같이 "주의 요함" 이라는 경고 메시지가 표시된다.

이러한 경고메시지가 보이는 이유는 https://pybo.kr 이 아닌 http://pybo.kr 처럼 https가 아닌 http 프로토콜을 사용했기 때문이다. 브라우저는 HTTPS 가 아닌 HTTP 사용시 항상 이러한 경고 메시지를 보여준다.

http에 보안기능(SSL)을 더한 것이 https 프로토콜이다.

HTTPS가 필요한 이유

HTTPS 가 아닌 HTTP 프로토콜을 사용하면 브라우저(클라이언트)와 SBB 서비스(서버) 사이에 주고 받는 데이터가 암호화 되지 않는다. 클라이언트와 서버가 데이터를 주고 받는 네트워크 경로는 매우 복잡한데 이 과정에서 누군가(해커)가 데이터를 훔쳐보는 일은 어렵지 않다. 따라서 네트워크 구간에서 주고받는 데이터는 반드시 암호화 하여 데이터가 노출되더라도 무슨 내용인지 알수 없게 해야 한다.

이러한 역할을 하는 것이 바로 HTTP에 SSL(Secured Socket Layer) 기능을 더한 HTTPS 프로토콜이다. 우리가 만든 SBB 서비스에 HTTPS 프로토콜을 제공하기 위해서는 SSL 인증서가 필요하다. SSL 인증서를 발급받아 Nginx에 적용하면 HTTPS 프로토콜로 서비스를 할수 있다.

📚참고 : SSL

SSL 인증서 발급

SSL 인증서는 인증 기관에서 인증하는 인증서를 발급 받아야 한다. 왜냐하면 브라우저에 이미 SSL 인증을 위한 인증 기관들이 등록되어 있기 때문이다.

인증 기관으로 등록되지 않은 기관에서 인증한 인증서는 인정되지 않는다.

대표적인 인증 기관으로는 Comodo, Thawte, GeoTrust, DigiCert 등이 있다. 이러한 인증 기관에서 인증서를 발급 받을 수 있다. 하지만 이러한 인증 기관의 SSL 인증서는 유료이다. (인증서의 가격은 인증 기관별로 다르다.)

이 책에서는 무료로 SSL 인증서를 발급해 주는 Let's Encrypt 서비스를 사용해 보자.

Let's Encrypt 인증서 설치

서버에 접속한후 다음과 같이 certbot을 설치하자.

sudo apt install certbot
sudo apt install python3-certbot-nginx

그리고 다음처럼 Nginx 웹서버에 사용할 Let's Encrypt의 인증서를 발급하자.

sudo certbot certonly --nginx
#
# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# Plugins selected: Authenticator nginx, Installer nginx
# Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): 
pahkey@gmail.com
#
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# Please read the Terms of Service at
# https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
# agree in order to register with the ACME server at
# https://acme-v02.api.letsencrypt.org/directory
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# (A)gree/(C)ancel: 
a
#
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# Would you be willing to share your email address with the Electronic Frontier
# Foundation, a founding partner of the Let's Encrypt project and the non-profit
# organization that develops Certbot? We'd like to send you email about our work
# encrypting the web, EFF news, campaigns, and ways to support digital freedom.
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# (Y)es/(N)o: 
y
# No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated)  
# (Enter 'c' to cancel): 
pybo.kr
#
# Obtaining a new certificate
# Performing the following challenges:
# http-01 challenge for pybo.kr
# Using default address 80 for authentication.
# Waiting for verification...
#
# (... 생략 ...)

순서대로 이메일주소, 동의함(a), 예(y), 도메인명(예:pybo.kr)을 입력하자. 그러면 다음 위치에 인증서가 생성된다.

./etc/letsencrypt/live/pybo.kr/fullchain.pem
./etc/letsencrypt/live/pybo.kr/privkey.pem

노란색으로 마킹한 pybo.kr은 여러분의 도메인명으로 대체해야 함에 주의하자.

Nginx 설정

이제 설치한 SSL 인증서를 Nginx에 적용하기 위해 다음과 같이 sbb 파일을 다음과 같이 수정하자.

파일명: /etc/nginx/sites-available/sbb

server {
        listen 80;
        server_name pybo.kr;
        rewrite        ^ https://$server_name$request_uri? permanent;
}

server {
        listen 443 ssl;
        server_name pybo.kr;

        ssl_certificate /etc/letsencrypt/live/pybo.kr/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/pybo.kr/privkey.pem; # managed by Certbot
        include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

        location / {
                proxy_pass http://localhost:8080;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header Host $http_host;
        }
}

HTTP 요청(80번 포트)은 HTTPS(443번 포트)로 리다이렉트 하도록 설정했다. 그리고 설치한 SSL 인증서를 적용하기 위해 SSL 관련 설정들을 적용했다.

위 설정에서 사용한 도메인명 pybo.kr을 여러분의 도메인명으로 바꾸어야 함에 주의하자.

이와 같이 Nginx 설정을 바꾼후에 다음과 같이 Nginx를 재시작하자.

sudo systemctl restart nginx.service

SSL 방화벽 설정

Nginx에 SSL을 적용하면 SSL의 포트인 443번 포트의 방화벽 해제가 필요하다. 다음을 참고하여 443번 포트의 방화벽을 해제하자.

https://wikidocs.net/162905#_1

HTTPS 확인

이제 브라우저에서 http://pybo.kr 대신 https://pybo.kr로 접속할수 있다. 그리고 이전에 표시되던 "주의요함" 경고메시지도 사라지고 인증을 의미하는 자물쇠 모양의 아이콘도 표시될 것이다.