HTTPS 적용하기

Posted on 2021-08-25 by GKSRUDTN99
Django로 웹사이트 만들기 장고

Certbot과 letsencrypt를 사용한 HTTPS 인증

letsencrypt

무료로 https 인증서를 제공해 주는 인증기관
무료이지만, 갱신 기간이 3개월에 불과하다는 단점이 있음.

Certbot

letsencrypt의 발급 및 갱신과정을 도와주는 도구

docker-compose.yml 파일 수정하기

기존의 docker-compose.yml 파일을 docker-compose.prod.yml로 복사한다.

# docker-compose.yml
nginx:
    build: ./nginx
    volumes:
      - static_volume:/usr/src/app/_static
      - media_volume:/usr/src/app/_media
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    ports:
      - 80:80
      - 443:443
    depends_on:
      - web
  certbot:
    image: certbot/certbot
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"
    volumes:
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot

443:443

Nginx 웹 서버가 SSL로 통신하기 위한 443번 포트를 추가한다.

image: certbot/certbot

도커에서 제공하는 certbot 이미지를 가져와서 사용한다.

entrypoint: ~

이 부분은 리눅스 명령어로, 12시간마다 certbot을 실행하여 인증서를 갱신하도록 한다.
이 부분이 없으면 3개월마다 수동으로 갱신하면 된다.

volumes

certbot 컨테이너와 nginx 컨테이너가 인증 관련 파일을 공유하도록 volume 설정을 양쪽에 모두한다.
이후 certbot을 이용해 인증서 관련 파일을 생성하게 되는데, 그 파일들이 data/certbot 폴더 안에 저장되고,
이렇게 저장된 파일들을 nginx가 다시 가져가서 사용하는 방식이다.

nginx.conf 파일에 도메인과 certbot 설정하기

# nginx.conf
upstream do_it_django {
    server web:8000;
}

server {
    listen 80;
    server_name codecamper.me;

    location / {
        return 301 https://$host$request_uri;
    }

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

}

server {
    listen 443 ssl;
    server_name codecamper.me;

    location / {
        proxy_pass http://do_it_django;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_redirect off;
    }
    location /static/ {
        alias /usr/src/app/_static/;
    }

    location /media/ {
        alias /usr/src/app/_media/;
    }

    ssl_certificate /etc/letsencrypt/live/codecamper.me/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/codecamper.me/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
}

도커 실행

docker-compose build nginx

init-letsencrypt.sh 파일 작성하기

# init-letsencrypt.sh
#!/bin/bash

if ! [ -x "$(command -v docker-compose)" ]; then
  echo 'Error: docker-compose is not installed.' >&2
  exit 1
fi

domains=(example.org www.example.org)
rsa_key_size=4096
data_path="./data/certbot"
email="" # Adding a valid address is strongly recommended
staging=0 # Set to 1 if you're testing your setup to avoid hitting request limits

if [ -d "$data_path" ]; then
  read -p "Existing data found for $domains. Continue and replace existing certificate? (y/N) " decision
  if [ "$decision" != "Y" ] && [ "$decision" != "y" ]; then
    exit
  fi
fi


if [ ! -e "$data_path/conf/options-ssl-nginx.conf" ] || [ ! -e "$data_path/conf/ssl-dhparams.pem" ]; then
  echo "### Downloading recommended TLS parameters ..."
  mkdir -p "$data_path/conf"
  curl -s https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf > "$data_path/conf/options-ssl-nginx.conf"
  curl -s https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem > "$data_path/conf/ssl-dhparams.pem"
  echo
fi

echo "### Creating dummy certificate for $domains ..."
path="/etc/letsencrypt/live/$domains"
mkdir -p "$data_path/conf/live/$domains"
docker-compose run --rm --entrypoint "\
  openssl req -x509 -nodes -newkey rsa:$rsa_key_size -days 1\
    -keyout '$path/privkey.pem' \
    -out '$path/fullchain.pem' \
    -subj '/CN=localhost'" certbot
echo


echo "### Starting nginx ..."
docker-compose up --force-recreate -d nginx
echo

echo "### Deleting dummy certificate for $domains ..."
docker-compose run --rm --entrypoint "\
  rm -Rf /etc/letsencrypt/live/$domains && \
  rm -Rf /etc/letsencrypt/archive/$domains && \
  rm -Rf /etc/letsencrypt/renewal/$domains.conf" certbot
echo


echo "### Requesting Let's Encrypt certificate for $domains ..."
#Join $domains to -d args
domain_args=""
for domain in "${domains[@]}"; do
  domain_args="$domain_args -d $domain"
done

# Select appropriate email arg
case "$email" in
  "") email_arg="--register-unsafely-without-email" ;;
  *) email_arg="--email $email" ;;
esac

# Enable staging mode if needed
if [ $staging != "0" ]; then staging_arg="--staging"; fi

docker-compose run --rm --entrypoint "\
  certbot certonly --webroot -w /var/www/certbot \
    $staging_arg \
    $email_arg \
    $domain_args \
    --rsa-key-size $rsa_key_size \
    --agree-tos \
    --force-renewal" certbot
echo

echo "### Reloading nginx ..."
docker-compose exec nginx nginx -s reload

8행의 도메인을 나의 도메인으로 수정해야 한다.
11행의 email=""에 이메일을 입력한다.

서버에서 git pull을 수행한 뒤,

chmod +x init-letsencrypt.sh로 실행권한을 부여하고

./init-letsencrypt.sh로 실행한다.

이 스크립트는 nginx와 certbot 컨테이너를 실행해 인증서를 받아오고, 인증서를 테스트 한 뒤 nginx를 재실행한다.
nginx.conf 파일을 수정하고 nginx 이미지를 새로 빌드하는 것을 잊지말자.

Search