Chrome 브라우저 최신 버전으로 업데이트 이후 예전에 적용했던 WoSign SSL 인증서를 신뢰하지 않는 문제가 발생했다.
관련 내용은 아래 주소를 참고:
https://www.xetown.com/square/416332
그래서 이번에는 Apache2 서버에 Chrome이 후원하고 있는 Lets' Encrypt 무료 인증서를 적용해 보도록 한다.
우분투 Ubuntu 16.04.2 LTS 에서는 고맙게도 설치 프로그램을 제공하고 있다.
$ sudo apt-get install letsencrypt
설치가 정상적으로 완료되면 아래 명령어를 이용해 인증서를 서버에 설치한다.
$ sudo letsencrypt certonly --webroot --webroot-path=웹루트_풀경로명 -d 대상_도메인명
- Congratulations! Your certificate and chain have been saved .... 이라는 메시지가 나오면 성공이다.
(도메인이 여러개일 경우 -d 옵션을 여러개 지정하면 된다.)
아래 명령어를 통해 인증서 파일 목록을 볼 수 있다.
$ sudo ls -l /etc/letsencrypt/live/
아파치 서버에 적용해보자.
아래 구문을 대상 conf 파일에 넣어주자. (기존에 설정한 게 있다면 주석 처리한다.)
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCertificateFile "/etc/letsencrypt/live/도메인명/cert.pem"
SSLCertificateKeyFile "/etc/letsencrypt/live/도메인명/privkey.pem"
SSLCertificateChainFile "/etc/letsencrypt/live/도메인명/chain.pem"
아파치를 재기동하면 이제 정상적으로 인증서가 적용된 모습을 볼 수 있다.
Lets' Encrypt 인증서는 인증기간이 90일로 짧다. 따라서 주기적으로 인증서를 갱신해야 한다.
$ sudo crontab -e
----- 생 략 ----
# For more information see the manual pages of crontab(5) and cron(8)
# m h dom mon dow command
10 5 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log
15 5 * * 1 /usr/sbin/apache2ctl restart
이제 매주 월요일 5시 10분과 15분에 인증서를 갱신하고 아파치를 재기동 할 수 있다.
'자바 > J2EE' 카테고리의 다른 글
Apache2 : SSL 인증서 적용하기 (WoSign 무료 인증서) (0) | 2016.08.04 |
---|---|
1개의 Tomcat에서 멀티 instance 구동하기 (0) | 2016.07.14 |
Tomcat8 : SSL 인증서 적용하기 (WoSign 무료 인증서) (1) | 2016.06.30 |
Jeus에서 503 service temporarily unavailable 에러 발생 시 (0) | 2014.07.11 |
HTTP 부하 테스트 툴 openwebload (0) | 2012.05.17 |