무료 SSL 인증서 발급 받기 (letsencrypt)

얼마전에 SSL 인증서를 사용해야 할 일이 있어서 정보를 찾던 중 letsencrypt 라는 것이 있다고 한다.

자세한 정보는 아래 링크에서 확인 하자.

https://letsencrypt.org/

설치는 우분투 기준으로 apt 로 가능하다.

apt install letsencrypt

하면 설치가 끝난 것이고

sudo letsencrypt certonly -a standalone -d domain.com

를 입력하면 인증서가 만들어진다.

self-signed가 아니라서 빨간 자물쇠도 아니다!

*참고로 80번 포트를 사용하므로 웹서버등의 80번 포트를 사용하는 프로그램은 잠시 닫아줘야 한다.

IMPORTANT NOTES:

 - Congratulations! Your certificate and chain have been saved at

   /etc/letsencrypt/live/domain.com/fullchain.pem. Your

   cert will expire on 2017-mm-dd. To obtain a new version of the

   certificate in the future, simply run Let's Encrypt again.

 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                    https://eff.org/donate-le

위와같이 안내가 나오고 후원등의 정보가 나온다.

$ sudo ls /etc/letsencrypt/live/domain/

cert.pem  chain.pem  fullchain.pem  privkey.pem

아파치 설정의 SSL 설정은 아래와 같이 하자

                SSLCertificateFile      /etc/letsencrypt/live/domain.com/cert.pem

                SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem

                SSLCertificateChainFile /etc/letsencrypt/live/domain.com/chain.pem

인증서 기간이 90일로 짧은 편이긴 한데 명령어 몇개로 간단하게 갱신이 가능하다고 한다.

무료에 crontab 등으로 일정 기간마다 갱신하게 하면 편할 것 같다.

원래 startssl을 이용하기도 했었는데 이건 명령어 몇개만 입력하면 인증서가 만들어져서 훨씬 편하다!

참고로 갱신하는 명령어는 아래 명령어로 끝난다.

[root@localhost ~]$ service apache2 stop

[root@localhost ~]$ letsencrypt renew

SSL 인증서 설정을 위와 같이 live 디렉터리에 했다면 심볼릭링크로 새로운 인증서로 자동으로 연결되므로 경로를 바꾸거나 하지 않아도 좋다.