Let’s encrypt 와일드카드 인증서


Let’s encrypt 와일드카드 인증서
무료 SSL 인증서인 Let’s Encrypt 와일드카드 인증서 발급 방법에 대해서 설명드립니다. 와일드카드 인증서는 *.hisoen.me 형태의 hiseon.me 하위 모든 도메인에 적용할 수 있는 인증서입니다.
DNS 인증 방법과 Let’s encrypt 와일드카드 갱신 방법을 포함하여 설명드리도록 하겠습니다.

Let's encrypt 와일드카드 인증서

패키지 설치

certbot 라는 명령어를 사용해서 Let’s Encrypt 와일드 카드 인증서를 발급 받을 수 있습니다. 먼저 아래의 글을 참고하셔서, certbot 패키지를 설치해 주시기 바랍니다.

Let’s Encrypt 인증서 발급 방법

와일드 카드 인증서 발급

단일 인증서 발급은 웹서버를 통해서 인증을 받습니다. 하지만 *.hiseon.me 형태의 와일드 카드 인증서를 발급 받기 위해서는 도메인의 DNS 레코드를 작성하여 인증을 받게 됩니다. 와일드 카드 인증서를 발급 받기 전에 DNS 레코드를 설정 하는 방법을 확인해 주셔야 합니다.

준비가 되셨으면 아래의 명령어를 실행하셔서 인증서 발급을 시작합니다.

$ sudo certbot certonly \
--manual \
--preferred-challenges dns \
-d "*.hiseon.me" -d "hiseon.me"
Let's encrypt 와일드카드 인증서

위의 명령어를 실행하면 처음 묻는 내용은 IP 주소가 수집되어 로그로 기록 될 것을 동의 하는지 묻는 내용입니다.

No(N) 을 입력하면 진행이 중단되기 때문에 동의하시면 Y를 입력하여 인증서 발급을 진행합니다.

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for hiseon.me

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

다음 내용은 도메인 인증을 요청하는 단계입니다. 아래의 내용에 따라서, DNS TXT 레코드를 추가합니다.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.hiseon.me with the following value:

httpsHiSEONme_0

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

만약 직접 구축한 DNS 서버를 사용할 경우, zone 파일에 아래와 같이 TXT 레코드를 추가하면 됩니다. 참고로 ; 으로 시작하는 내용은 주석이므로 이 줄은 생략하여 TXT 레코드만 입력해도 됩니다.

; certbot *.hiseon.me
_acme-challenge IN TXT "httpsHiSEONme_0"

zone 파일이 수정될 경우, bind 데몬을 재실행 해주셔야 됩니다. DNS 레코드를 추가하였을 경우 certbot 인증서 발급 진행 단계에서 Enter를 입력하여 인증을 진행합니다.

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/hiseon.me/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/hiseon.me/privkey.pem
   Your cert will expire on 2019-09-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

위와 같은 메세지가 나타타면 인증이 이뤄지고, 와일드 카드 인증서가 성공적으로 발급 된 것입니다.

Let’s encrypt 와일드카드 갱신

발급된 와일드 카드 인증서는 3개월로 제한됩니다. 하지만 지속적으로 인증서를 갱신하면 기간 제한 없이 사용가능합니다. Let’s Encrypt 인증서 자동 갱신과 관련해서는 다음 글을 참고하셔서 자동으로 갱신되도록 설정해 주시면 됩니다.

Let’s Encrypt 인증서 발급 방법

( 본문 인용시 출처를 밝혀 주시면 감사하겠습니다.)