웹사이트를 서비스하려면 HTTPS로 접속이 가능해야합니다. 그러려면 와일드카드 SSL 인증서를 발급받아야 합니다. 시놀로지 도커에서 와일드카드 인증서를 발급받고 등록하는 방법을 설명합니다.
(시놀로지) 개인 도메인에 SSL 인증서를 발급받는 제일 쉬운 방법에서는 와일드카드 인증서 발급이 불가능하였습니다.
도커와 명령어를 사용하면 와일드카드 인증서를 발급받을 수 있습니다.
시놀로지 NAS에서만 사용한다면 최신 certbot을 사용하면 되지만, RSA 암호화만 가능한 카페24에서는 v1.32.2를 사용해야합니다. 아래 명령어를 사용하면 자동으로 도커 컨테이너가 설치되고, 인증이 완료된 후에는 컨테이너가 자동으로 삭제됩니다.
SSL 인증서 발급 명령어
docker run -it --rm --name certbot -v '/volume0/docker/ssl/etc:/etc/letsencrypt' -v '/volume0/docker/ssl/var:/var/lib/letsencrypt' certbot/certbot:v1.32.2 certonly -d 'devany.kr' -d '*.devany.kr' --email 'blahblah@gmail.com' --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory위 명령어에서 변경할 내용은 경로, 도메인 목록, 이메일주소입니다.
경로는 -v '로컬경로:컨테이너내부경로'에서 로컬경로를 실존하는 경로로 만들어야 합니다.
위에서 미리 만들어둔 경로는 docker/ssl/etc, docker/ssl/var 입니다.
도메인은 -d ‘도메인주소’에서 보유 중인 도메인주소를 입력합니다. -d 명령어로 인증할 도메인을 추가하면 됩니다. *.도메인주소는 와일드카드 도메인주소를 인증할 때 사용합니다.
이메일주소는 –email ‘이메일주소’에서 보유 중인 이메일주소를 입력합니다. 인증 수 제한이 있기 때문입니다.
인증을 연속으로 5회 실패하면 2시간 후에 재시도가 가능합니다.
명령어를 실행하는 방법은 여러가지가 있습니다.
- 외부 터미널에서 명령어 실행
- DSM 제어판에서 명령어 실행
외부 터미널에서 실행하려면
Putty를 권장합니다. 왜냐하면 텍스트를 복사하거나 붙여넣기 쉽기 때문입니다. Poderosa Terminal은 복사가 불가능합니다. Ctrl+C는 Cancel 명령입니다.
Putty 명령어
- 복사하기: Ctrl + Ins
- 붙여넣기: Shift + Ins
시놀로지 DSM에서 실행하려면
제어판 – 작업 스케줄러에서 생성 버튼을 눌러 사용자 정의 스크립트를 선택합니다.
일반 탭에서 사용자는 root를 선택해야 합니다. 명령어는 작업 설정 탭의 실행 명령 항목에 입력합니다.
스케줄 탭에서 다음 날짜에 실행 선택 후 매월 반복을 선택합니다. 2개월마다 업데이트 하는 것이 좋습니다.
작업 설정 탭에서 사용자 정의 스크립트를 입력합니다. 확인 버튼을 눌러 작업 스케줄러를 저장합니다.
SSL 인증서 발급 과정
위 명령을 입력하면 아래와 같은 결과가 나타납니다.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name:
_acme-challenge.devany.kr.
with the following value:
aBcDeFgHiJkLmNoPqRsTuVwXyZ0123456789
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to ContinueDNS 관리페이지의 TXT 설정 페이지에서 호스트명에 _acme-challenge를 입력하고, TXT값에 value 값을 입력합니다.
가비아의 TTL값은 600s이며, 카페24의 TTL값은 1800s입니다. DNSZI의 TTL값은 2h이며 최소 5분으로 설정할 수 있습니다. 네임서버에 따라 처리속도가 다르기 때문에 TXT가 확실히 적용된 다음에 Enter를 눌러서 진행을 해야합니다. 네임서버가 갱신되기 전에 인증 작업을 진행하면 인증 실패가 될 수 있습니다.
TXT가 적용됐는지 확인하려면
Dig(DNS 조회) (googleapps.com) 사이트에서 도메인을 입력 후 TXT Value 값을 확인하면 됩니다. DNS 관리페이지에서 입력한 값과 일치하면 인증서 발급 과정을 진행하면 됩니다.
인증서 발급 진행 중 한 번 더 값을 확인하기도 하는데, 기존 TXT 값은 그대로 두고 새 TXT Value 값을 추가하여 위와 같은 방법으로 진행하면 됩니다.
인증서 파일
인증서 발급이 완료되면 지정한 경로에 인증서 파일이 생성됩니다. 그런데 시놀로지 DSM에서는 볼 수 없습니다. 권한이 777인데도 보이지 않습니다. WinSCP로 접속하면 됩니다.
인증서 파일을 탐색기로 끌어놓기하면 사용할 수 있습니다.
시놀로지에서는 3개의 파일을 요구하는데, 개인키는 privkey, 인증서는 fullchain, 중간 인증서는 chain입니다.
카페24에서 외부인증서를 등록할 때에는 fullchain, privkey 파일만 있으면 됩니다.
0개의 댓글