특정 port의 서비스에만 HTTPS 443 SSL 적용하기

개요

운영중인 서비스 중에서 8003 포트에만 ssl 을 적용하려고 한다.

진행 요약

1. 도메인 이름이 없이 IP만 사용하는 경우 OpenSSL로 자체 서명 인증서를 생성해야 한다.
2. NGINX를 HTTPS 처리 담당자로 두고, 클라이언트 요청을 백엔드 서비스로 프록시해주는 방식으로 설정
3. openssl 인증서 사용 시 “주의 요함” 경고 확인 → 무료 공인 인증서 발급 진행
4. 인증서 자동 갱신 설정

진행

1. openssl로 인증서 발급

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout /etc/ssl/private/selfsigned.key \
    -out /etc/ssl/certs/selfsigned.crt

• -x509: 자체 서명 인증서를 생성
• -days 365: 인증서 유효 기간 (1년)
• -keyout: 개인 키 경로
• -out: 인증서 파일 경로

2. nginx 설정 수정

/etc/nginx/nginx.conf

server {
    listen 8003 ssl;                      # 8003 포트에서 HTTPS 수신
    server_name your_server_ip;           # 서버의 IP 주소 또는 도메인 이름

    ssl_certificate /path/to/your_certificate.crt;      # SSL 인증서 경로
    ssl_certificate_key /path/to/your_private.key;      # SSL 개인 키 경로

    # SSL 최적화 옵션 (권장)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        proxy_pass http://127.0.0.1:8003;  # 백엔드 서비스로 프록시
        proxy_set_header Host $host;       # 원본 호스트 헤더 전달
        proxy_set_header X-Real-IP $remote_addr;  # 클라이언트 IP 전달
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  # 프록시 체인 전달
        proxy_set_header X-Forwarded-Proto $scheme;  # 요청 스키마 전달
    }
}

 

# nginx conf 수정 후 설정 테스트
$ sudo nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

# 테스트 문제 없다면 restart
sudo systemctl restart nginx

 

이렇게 openssl을 통해서 자체 서명된 인증서를 사용하는 경우, 브라우저에서 “주의 요함” 또는 “비보안 연결” 경고를 확인할 수 있다.

이게 싫다면 공인된 인증 기관에서 인증서를 발급받아야한다.

3. Let's Encrypt

가장 널리 알려진 SSL/TLS 인증 기관 Let's Encrypt은 Certbot와 같은 도구를 사용하여 쉽게 발급받을 수 있다.

무료로 받은 인증서는 3개월의 유효기간을 받는데, 자동 갱신 설정할 수 있다. (자동 갱신은 아래에서 다룸)

• apt로 설치한 certbot이 Python 패키지 버전 충돌이 발생하여, Snap 패키지로 Certbot을 설치했다.
• DNS 등록이 완료된 후 진행해야한다. (⭐️ nslookup 으로 테스트 하고 진행)

 

# Snap 설치
sudo apt update
sudo apt install snapd

# Snap 서비스 활성화
sudo systemctl enable --now snapd

# Snap Certbot 설치
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

# 인증서 발급
sudo certbot --nginx -d ddeng.io

• --nginx: Nginx 설정을 자동으로 수정
• 인증서 발급 중에 몇가지 질문을 받는다.
  • 이메일 주소: 인증서 갱신 또는 문제 발생 시 연락받을 이메일 주소 입력
  • 서비스 약관 동의: 약관 동의해야 인증서 발급 받을 수 있다.
  • HTTP 요청을 HTTPS로 자동 리다이렉션할지?
    • 여기서 동의안해도 나중에 nginx 설정에서 가능

4. nginx 설정 파일 확인

인증서 발급 받으면서 nginx 설정이 자동으로 수정되었다. 그렇지 않은 경우에는 수동으로 수정해야함

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    server_name ddeng.io "여기 도메인 이름 입력!!";
    return 301 https://$host$request_uri;
}

server {
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    server_name "여기 도메인 이름 입력!!";

    ssl_certificate /etc/letsencrypt/live/ddeng.io/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ddeng.io/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass http://127.0.0.1:8003;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;

        proxy_set_header X-Forwarded-Proto https;
    }
}

server {
    if ($host = ddeng.io) {
        return 301 https://$host$request_uri;
    }
    listen 80 ;
    listen [::]:80 ;
    server_name "여기 도메인 이름 입력!!";
    return 404;
}

• return 301 https://$host$request_uri;
  • HTTP 요청을 HTTPS로 영구 리다이렉트(301 상태 코드)하는 설정
• listen [::]:443 ssl ipv6only=on;
  • IPv6 주소를 통해 HTTPS(443번 포트) 요청을 처리
• listen 443 ssl;
  • IPv4 주소를 통해 HTTPS(443번 포트) 요청을 처리

인증서 정보

• ssl_certificate: Let's Encrypt가 발급한 인증서(fullchain.pem)를 사용
• ssl_certificate_key: Let's Encrypt가 제공하는 개인 키(privkey.pem)
• include /etc/letsencrypt/options-ssl-nginx.conf;: Let's Encrypt가 제공하는 SSL 보안 설정을 포함(권장 암호화 방식, TLS 버전 등)
• ssl_dhparam: SSL 연결을 위한 Diffie-Hellman 매개변수를 정의하여 보안을 강화

location

• proxy_pass http://127.0.0.1:8003;: 요청을 백엔드 서버(로컬의 8003 포트)로 전달
• proxy_http_version 1.1;: HTTP/1.1을 사용하여 프록시 요청 전송 (WebSocket과 같은 지속 연결을 지원하기 위해 필요)
• proxy_set_header Upgrade $http_upgrade;: WebSocket 연결 업그레이드를 지원
• proxy_set_header Connection 'upgrade';: WebSocket 프로토콜 업그레이드 설정
• proxy_set_header Host $host;: 원래 요청의 Host 헤더를 전달하여 백엔드가 올바른 도메인을 인식하도록..
• proxy_cache_bypass $http_upgrade;: 캐싱을 우회하여 실시간 요청(WebSocket 등)이 올바르게 처리되도록..
• proxy_set_header X-Forwarded-Proto https;: 클라이언트가 HTTPS로 요청했음을 백엔드 서버에 전달, 백엔드 서버가 클라이언트의 프로토콜(HTTPS)을 인식하도록..

5. Nginx 재시작

# nginx config 수정 후 테스트
sudo nginx -t

# 테스트 문제없다면 재시작
sudo systemctl restart nginx

6. 브라우저 접근

http로 접근하면 https로 자동 리다이렉트되며, 인증서가 잘 적용됨을 확인할 수 있다.

7. 인증서 자동갱신 설정

근데 인증서 유효 기간은 3개월이다. 만료되기 전 자동 갱신하려면 Certbot에서 제공하는 자동 갱신 기능을 사용하면 된다.

1. Crontab 작업 추가

$ crontab -e
0 */12 * * * certbot renew --quiet --deploy-hook "systemctl reload nginx"

• 0 */12 * * *: 매일 12시간 간격으로 실행
• certbot renew: 인증서를 갱신
• --quiet: 로그 출력 없이 작업을 조용히 수행
• --deploy-hook "systemctl reload nginx": 인증서 갱신 후 Nginx를 다시 로드하여 새로운 인증서를 적용

2. Certbot 갱신 테스트

sudo certbot renew --dry-run

• 테스트 성공: Congratulations, all renewals succeeded.
• 테스트 실패: 로그 파일을 확인하여 문제를 진단

sudo cat /var/log/letsencrypt/letsencrypt.log