Let's Encrypt 에서 ssl 인증서 발급 받기

웹 사이트에서 https 를 사용하기 위해서는 신뢰된 기관에서 발행한 ssl 인증서가 필요하다. 

실제로 서비스를 운영하는 사이트의 경우에는 유료 인증서를 사용하겠지만 테스트를 위해서는 간단히 90일 동안 사용할 수 있는 무료 인증서도 유용하다. 

Let's Encrypt 에 대한 상세 설명은 아래 링크를 참고

(https://letsencrypt.org/)

먼저 인증서를 발급 받기 위해서 필요한 패키지들을 설치한다. 

1. 패키지 설치

# yum install epel-release

# yum install httpd mod_ssl python-certbot-apache

2. 인증서 발급

인증서를 적용할 웹 사이트에 도메인 등록이 되어 있어야 인증서를 발급받을 수 있다. 

도메인으로 웹에 접속할 수 있는지 확인한 후 아래와 같이 진행한다. (연두색 부분만 입력하면 된다.)

[root@openprj02 live]# certbot certonly --manual

Saving debug log to /var/log/letsencrypt/letsencrypt.log

Plugins selected: Authenticator manual, Installer None

Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'

to cancel): www.testkin.cf

Obtaining a new certificate

Performing the following challenges:

http-01 challenge for www.testkin.cf

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

NOTE: The IP of this machine will be publicly logged as having requested this

certificate. If you're running certbot in manual mode on a machine that is not

your server, please ensure you're okay with that.

Are you OK with your IP being logged?

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Create a file containing just this data:

2CGwAIDRJMrQLGNjDtTkJ5PW0hLtgS__qq1Hig9slAA.nBlxCiTAXqgk3Fo1VmrDK0NeV_t44xkrmda3AVJE3zg

And make it available on your web server at this URL:

http://www.testkin.cf/.well-known/acme-challenge/2CGwAIDRJMrQLGNjDtTkJ5PW0hLtgS__qq1Hig9slAA

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Press Enter to Continue

Waiting for verification...

Cleaning up challenges

Resetting dropped connection: acme-v02.api.letsencrypt.org

IMPORTANT NOTES:

 - Congratulations! Your certificate and chain have been saved at:

   /etc/letsencrypt/live/www.testkin.cf-0001/fullchain.pem

   Your key file has been saved at:

   /etc/letsencrypt/live/www.testkin.cf-0001/privkey.pem

   Your cert will expire on 2019-03-30. To obtain a new or tweaked

   version of this certificate in the future, simply run certbot

   again. To non-interactively renew *all* of your certificates, run

   "certbot renew"

 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                    https://eff.org/donate-le

3. 생성된 인증서 확인 

/etc/letsencrypt/live 하위에 가면 등록한 도메인으로 디렉토리가 생성되어 있을 것이다. 

해당 디렉토리로 들어가면 cert, private , chain key 가 발금되어 있어 필요에 따라 사용하면 된다. 

[root@openprj02 www.testkin.cf-0001]# pwd

/etc/letsencrypt/live/www.testkin.cf-0001

[root@openprj02 www.testkin.cf-0001]# ls

README  cert.pem  chain.pem  fullchain.pem  privkey.pem