Cloudflare는 DNS 관리 및 보안 설정을 무료로 사용할 수 있습니다.
네임서버를 클라우드플레어(Cloudflare)로 사용하는 이유
| 항목 | 국내 도메인 업체, DNSZI | 클라우드플레어 |
|---|---|---|
| 보안 (DDoS) | 서버 IP가 노출되어 공격에 무방비 | 서버 IP를 숨기고(Proxy) 공격을 미리 차단 |
| 속도 (CDN) | 서버 위치가 멀면 접속 속도 저하 | 전 세계 엣지 서버에서 데이터를 빠르게 전달 |
| NAS 부하 | 모든 봇과 트래픽이 공유기를 거쳐 NAS로 직접 유입 | Proxy 서버의 캐싱과 봇 차단 모드로 NAS 자원 절약 |
| SSL 인증서 | Let’s Encrypt 와일드카드 불가 3개월 유지 | 구글 인증서 와일드카드 SSL 보안 연결 적용 15년 유지 |
| 편의 기능 | 캐시, 이메일 포워딩, 이미지 최적화 등 직접 구축 | 캐시, 핫링크 차단, 챌린지, 조건부 차단 및 허용 등 부가기능 제공 |
| 비용 | 기본 DNS 기능은 무료 | 기본 DNS 기능은 무료, 고급 보안은 유료 구독 |
가입 및 로그인
Cloudflare Dashboard | Manage Your Account 사이트에 가입 및 로그인 합니다. 한국어를 지원합니다.
도메인 등록
관리할 도메인을 등록합니다.
도메인을 입력하면 DNS 관리에서 입력했던 모든 정보를 자동으로 가져옵니다.
네임서버 변경
| NS | carioca.ns.cloudflare.com |
| NS | norman.ns.cloudflare.com |
도메인 관리 사이트에서 기존 네임서버를 Cloudflare 네임서버로 변경합니다.
Cloudflare 레코드 페이지에 나타나는 기존 네임서버는 모두 삭제합니다.
메뉴
메뉴를 하나씩 탐색하면서 필요한 기능을 켭니다.
기능 설명
Page Shield
웹 브라우저에 로드된 타사 스크립트, 연결 및 쿠키를 모니터링하여 방문자의 안전과 개인 정보 보호를 보장합니다.
워드프레스 서드파티 플러그인 등 불량 스크립트 동작을 모니터링 합니다.
봇 차단 모드
공격을 수행할 수 있는 것으로 알려진 봇에 챌린지합니다. 알려진 트래픽 시그니처로 단순한 봇에 챌린지하여 콘텐츠 스크래핑, 클릭 사기, 자격 증명 스터핑과 같은 위협을 방어합니다.
SSL/TLS 암호화
자동 또는 전체를 선택합니다.
- 전체(엄격): 서버에 설치된 인증서를 검사하여 타사 인증서가 설치된 경우 경고가 발생합니다.
- 전체: 서버에 타사 인증서를 사용할 경우 선택합니다.
- 가변: 방문자와 Cloudflare 간에만 암호화를 활성화합니다. Cloudflare와 서버는 HTTP로 연결됩니다.
항상 HTTPS 사용
“http” 구성표가 있는 모든 요청을 “https”로 리디렉션합니다. 이는 영역에 대한 모든 http 요청에 적용됩니다.
활성화합니다.
HSTS
스니프 없음 헤더: 스크립트를 이미지로 속여서 업로드하는 등, 확장자 형식을 바꾸더라도 코드가 스크립트라면 브라우저는 이를 실행하게 되므로 이런 MIME 스니핑을 차단하려면 활성화합니다.
전부 활성화합니다.
자동 HTTPS 다시 쓰기
자동 HTTPS 다시 쓰기는 HTTPS로 제공될 수 있는 웹 사이트의 모든 리소스 또는 링크에 대해 “http”를 “https”로 변경하여 혼합 콘텐츠 수정을 지원합니다.
활성화합니다.
원본 서버
원본 인증서를 만들고 NAS에 설치하는 작업입니다. 유효기간은 15년입니다. 와일드카드(*)가 적용되므로 하위 도메인을 만들어도 자동으로 인증서가 적용됩니다.
인증서 생성 버튼을 누릅니다.
*.wiki.mydomain.kr 처럼 3차 와일드카드 도메인 인증서도 가능합니다.
사용할 도메인을 입력 후 생성을 누르면 개인 키와 인증 키가 생성됩니다. 페이지를 벗어나면 개인 키를 다시 볼 수 없으므로 각 키를 텍스트 파일로 저장합니다.
NAS에 인증서 등록
제어판➡️보안➡️인증서 탭으로 이동 후 추가➡️새 인증서 추가를 선택합니다.
➡️인증서 가져오기에서 위에서 저장한 개인 키와 인증서 파일을 등록합니다. 중간 인증서는 필요 없습니다.
CloudFlare Origin Certificate 인증서가 NAS에 등록이 되며, 만료일은 15년 후로 표시됩니다. 1년은 365일로 계산합니다.
설정 버튼을 눌러서 각 서비스 도메인에 클라우드플레어 인증서를 연결하면 됩니다.
SSL/TLS 암호화를 전체(엄격)으로 설정합니다.
방화벽 설정하기
방화벽 규칙은 다음 순서로 설정합니다.
- Cloudflare IP 허용 : NAS에 최종 연결되는 IP
- 172.0. 허용
- 192.168. 허용
- 대한민국, 대만, 미국 허용
- 모두 거부
Cloudflare의 최신 IP 대역은 IP Ranges | Cloudflare에서 확인할 수 있습니다.
CIDR 형식으로 입력이 안 되므로 서브넷을 선택하여 입력합니다.
| 순번 | IP 주소 | 서브넷 마스크 | 비고 (CIDR) |
| 1 | 103.21.244.0 | 255.255.252.0 | /22 |
| 2 | 103.22.200.0 | 255.255.252.0 | /22 |
| 3 | 103.31.4.0 | 255.255.252.0 | /22 |
| 4 | 104.16.0.0 | 255.248.0.0 | /13 |
| 5 | 104.24.0.0 | 255.252.0.0 | /14 |
| 6 | 108.162.192.0 | 255.255.192.0 | /18 |
| 7 | 131.0.72.0 | 255.255.252.0 | /22 |
| 8 | 141.101.64.0 | 255.255.192.0 | /18 |
| 9 | 162.158.0.0 | 255.254.0.0 | /15 |
| 10 | 172.64.0.0 | 255.248.0.0 | /13 |
| 11 | 173.245.48.0 | 255.255.240.0 | /20 |
| 12 | 188.114.96.0 | 255.255.240.0 | /20 |
| 13 | 190.93.240.0 | 255.255.240.0 | /20 |
| 14 | 197.234.240.0 | 255.255.252.0 | /22 |
| 15 | 198.41.128.0 | 255.255.128.0 | /17 |
신뢰할 수 있는 프록시 설정하기
NAS에 접속하는 IP는 Cloudflare이기 때문에 로그에는 Cloudflare IP가 기록됩니다.
Cloudflare 이전의 접속자 IP를 알려면 Cloudflare IP를 신뢰할 수 있는 프록시로 설정해야 합니다.
제어판 보안 신뢰할 수 있는 프록시 버튼을 눌러서 등록합니다.
위와 같이 Cloudflare IP 대역을 모두 입력합니다.
그리고 공유기에서 사용하는 IP대역을 입력합니다.
예) 192.168.123.0/24
웹서버, 스크립트, 주소 설정을 위해 웹스테이션에서 웹포털로 설치합니다.
내려받기
https://download.dokuwiki.org/
버전: 개발 참여 또는 버그 신고를 하려면 Development Snapshot 항목을 선택합니다.
언어: 필요한 언어만 선택하고 내려받습니다. ko – 한국어
인기 플러그인: 필요한 플러그인을 모두 선택합니다.
Start Download 버튼을 누르면 압축 파일을 받을 수 있습니다.
NAS 웹서비스용 공유 폴더에 압축을 풀면 됩니다.
예) \web\dokuwiki\
시놀로지 웹스테이션
먼저 웹 서비스를 만듭니다.
PHP 8.2 (현재 최신), 아파치 서버 2.4를 선택합니다.
문서 루트는 웹 접속에 연결할 폴더 경로입니다.
웹 포털을 만들어줍니다. 서비스는 웹 서비스에서 만든 위키 항목을 선택합니다.
호스트 이름은 사용하고 싶은 주소를 입력합니다. 여기서는 하위 주소를 사용합니다.
브라우저에서 호스트 이름에 입력한 주소로 접속하면 문서 루트에 설정한 폴더의 index.php 파일이 실행됩니다.
SSL 인증서 설치
와일드카드(*.mydomain.kr) 처럼 모든 하위 도메인에 대해 인증서 하나로 SSL 인증이 됩니다.
제어판 – 보안 – 인증서 탭에서
NAS에 연결된 도메인의 모든 하위 도메인을 주제 대체 이름에 입력하여 생성해줍니다. 인증서는 자동 갱신 됩니다.
환경설정
.htaccess
백엔드 서버를 nginx가 아닌 아파치로 설정한 이유는 주소 규칙을 쉽게 적용할 수 있기 때문입니다.
도쿠위키 루트 폴더의 .htaccess.dist 파일을 .htaccess 로 복사합니다.
주소 규칙의 # 주석을 제거 후 저장합니다.
RewriteEngine on
#
RewriteRule ^_media/(.*) lib/exe/fetch.php?media=$1 [QSA,L,B]
RewriteRule ^_detail/(.*) lib/exe/detail.php?media=$1 [QSA,L,B]
RewriteRule ^_export/([^/]+)/(.*) doku.php?do=export_$1&id=$2 [QSA,L,B]
RewriteRule ^$ doku.php [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule (.*) doku.php?id=$1 [QSA,L,B]
RewriteRule ^index.php$ doku.php
환경 설정
브라우저에서 도쿠위키로 접속 후 관리자 계정을 만들고 로그인합니다.
관리 – 환경 설정 페이지로 이동합니다.
우선, 인터페이스 언어를 ko로 설정 후 저장합니다.
미디어
ImageMagick의 변환 도구의 경로: /bin/convert
고급
멋진 URL 사용: .htaccess
ASCII가 아닌 파일 이름을 인코딩하는 방법: utf-8
]]>(시놀로지) 개인 도메인에 SSL 인증서를 발급받는 제일 쉬운 방법에서는 와일드카드 인증서 발급이 불가능하였습니다.
도커와 명령어를 사용하면 와일드카드 인증서를 발급받을 수 있습니다.
시놀로지 NAS에서만 사용한다면 최신 certbot을 사용하면 되지만, RSA 암호화만 가능한 카페24에서는 v1.32.2를 사용해야합니다. 아래 명령어를 사용하면 자동으로 도커 컨테이너가 설치되고, 인증이 완료된 후에는 컨테이너가 자동으로 삭제됩니다.
SSL 인증서 발급 명령어
docker run -it --rm --name certbot -v '/volume0/docker/ssl/etc:/etc/letsencrypt' -v '/volume0/docker/ssl/var:/var/lib/letsencrypt' certbot/certbot:v1.32.2 certonly -d 'devany.kr' -d '*.devany.kr' --email '[email protected]' --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory위 명령어에서 변경할 내용은 경로, 도메인 목록, 이메일주소입니다.
경로는 -v '로컬경로:컨테이너내부경로'에서 로컬경로를 실존하는 경로로 만들어야 합니다.
위에서 미리 만들어둔 경로는 docker/ssl/etc, docker/ssl/var 입니다.
도메인은 -d ‘도메인주소’에서 보유 중인 도메인주소를 입력합니다. -d 명령어로 인증할 도메인을 추가하면 됩니다. *.도메인주소는 와일드카드 도메인주소를 인증할 때 사용합니다.
이메일주소는 –email ‘이메일주소’에서 보유 중인 이메일주소를 입력합니다. 인증 수 제한이 있기 때문입니다.
인증을 연속으로 5회 실패하면 2시간 후에 재시도가 가능합니다.
명령어를 실행하는 방법은 여러가지가 있습니다.
- 외부 터미널에서 명령어 실행
- DSM 제어판에서 명령어 실행
외부 터미널에서 실행하려면
Putty를 권장합니다. 왜냐하면 텍스트를 복사하거나 붙여넣기 쉽기 때문입니다. Poderosa Terminal은 복사가 불가능합니다. Ctrl+C는 Cancel 명령입니다.
Putty 명령어
- 복사하기: Ctrl + Ins
- 붙여넣기: Shift + Ins
시놀로지 DSM에서 실행하려면
제어판 – 작업 스케줄러에서 생성 버튼을 눌러 사용자 정의 스크립트를 선택합니다.
일반 탭에서 사용자는 root를 선택해야 합니다. 명령어는 작업 설정 탭의 실행 명령 항목에 입력합니다.
스케줄 탭에서 다음 날짜에 실행 선택 후 매월 반복을 선택합니다. 2개월마다 업데이트 하는 것이 좋습니다.
작업 설정 탭에서 사용자 정의 스크립트를 입력합니다. 확인 버튼을 눌러 작업 스케줄러를 저장합니다.
SSL 인증서 발급 과정
위 명령을 입력하면 아래와 같은 결과가 나타납니다.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name:
_acme-challenge.devany.kr.
with the following value:
aBcDeFgHiJkLmNoPqRsTuVwXyZ0123456789
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to ContinueDNS 관리페이지의 TXT 설정 페이지에서 호스트명에 _acme-challenge를 입력하고, TXT값에 value 값을 입력합니다.
가비아의 TTL값은 600s이며, 카페24의 TTL값은 1800s입니다. DNSZI의 TTL값은 2h이며 최소 5분으로 설정할 수 있습니다. 네임서버에 따라 처리속도가 다르기 때문에 TXT가 확실히 적용된 다음에 Enter를 눌러서 진행을 해야합니다. 네임서버가 갱신되기 전에 인증 작업을 진행하면 인증 실패가 될 수 있습니다.
TXT가 적용됐는지 확인하려면
Dig(DNS 조회) (googleapps.com) 사이트에서 도메인을 입력 후 TXT Value 값을 확인하면 됩니다. DNS 관리페이지에서 입력한 값과 일치하면 인증서 발급 과정을 진행하면 됩니다.
인증서 발급 진행 중 한 번 더 값을 확인하기도 하는데, 기존 TXT 값은 그대로 두고 새 TXT Value 값을 추가하여 위와 같은 방법으로 진행하면 됩니다.
인증서 파일
인증서 발급이 완료되면 지정한 경로에 인증서 파일이 생성됩니다. 그런데 시놀로지 DSM에서는 볼 수 없습니다. 권한이 777인데도 보이지 않습니다. WinSCP로 접속하면 됩니다.
인증서 파일을 탐색기로 끌어놓기하면 사용할 수 있습니다.
시놀로지에서는 3개의 파일을 요구하는데, 개인키는 privkey, 인증서는 fullchain, 중간 인증서는 chain입니다.
카페24에서 외부인증서를 등록할 때에는 fullchain, privkey 파일만 있으면 됩니다.
FAQ
스크립트 없이 와일드카드 인증서를 적용하려면?
Cloudflare 서비스에서 무료 와일드카드 인증서를 신청하면 됩니다. 유효기간이 15년입니다.
www 뿐만 아니라 어떠한 서브도메인에 대해서도 인증서 발급이 즉시됩니다.
도메인 A 레코드
도메인 관리사이트에서 A 레코드에 NAS IP를 설정합니다.
www, aaa, bbb 처럼 원하는 서브도메인도 A 레코드에 등록합니다.
IP 주소가 ISP 또는 라우터에서 바뀌는 경우 DDNS를 신청해야 합니다.
개인 도메인에 DDNS를 사용하려면 dnszi.com 서비스를 이용하면 됩니다.
DSM
제어판➡️보안➡️인증서로 이동합니다.
⬆️추가 버튼을 클릭합니다.
⬆️새 인증서 추가 선택 후 다음 버튼을 누릅니다.
⬆️Let’s Encrypt에서 인증서 얻기 항목을 선택 후 다음 버튼을 누릅니다.
⬆️발급받으려는 도메인 주소를 입력합니다.
주제 대체 이름은 설정할 수 없습니다. 시놀로지에서 와일드카드 등록을 제한했어요.
완료를 누르면 등록 작업이 즉시 시작됩니다.
인증서 연결 (필요 시)
인증서가 여러개일 경우, 서비스별로 인증서를 선택해야합니다.
설정 버튼을 누르면 각 서비스에 연결할 인증서를 선택할 수 있습니다.
웹 포털, 도커, 응용 프로그램 등, 리버스 프락시로 도메인을 설정했다면 구성 목록에 나타납니다. 서비스마다 인증서를 연결해줘야 합니다.
참조
- 등록된 인증서는 자동 갱신 됩니다.
- 와일드카드는 등록이 불가능합니다.