안녕하세요
저번에 리버스 프록시로 질문 한번 올렸었는데 진행하다가 https 인증서 관련 궁금한게 생겨서 질문하고 싶습니다.
우선 저는 네트워크 분야에 경험이 없는 완전뉴비임을 감안해주시면 감사하겠습니다.
제가 리버스 프록시 구성에 pfSense + HAProxy 를 사용하고 있습니다만, pfSense 에 보시면 인증서를 별도로 등록할 수 있는 기능이 있습니다.
자체적인 Cert. Manager 를 사용하실 수 도 있고 ACME 패키지를 다운 받아서 사용할 수 도 있는것으로 알고있습니다.
저같은 경우는 ACME 패키지에 LetsEncrypt 를 CA로 사용하고 있습니다.
궁금한 부분은 이 과정으로 특정 주소에 인증서를 발급받아서 어디에 어떻게 사용하는 건가요??
pfSense 그 자체에 대한 인증서는 이해하지만
예를들어 pfSense에 gitlab.domain.com 이라는 주소를 가진 서버가 연결되있다고 가정하겠습니다.
그럼 ACME 패키지를 이용해서 gitlab.domain.com 주소에 대한 인증서를 발급받을 수 있습니다.
그런데 이렇게 인증서를 발급받아도 받은 인증서는 pfSense에만 저장되고 실질적으로 제 gitlab.domain.com에 적용하려면
직접 서버에 인증서를 넣어줘야 되는것 같았습니다.
하지만 이러면 보통 인증서가 90일마다 갱신되는데 갱신 될 마다 제가 스크립트를 쓰든 직접하든 저 주소를 가진 서버에 인증서를 다시 등록해야 한다는 건가요?
이런방식이면 너무 번거로워서 혹시 실제로도 저렇게 사용하는지가 궁금했습니다.
아니면 제가 인증서에 대해서 완전히 잘못 알고 있는걸까요..
전문가분들의 인증서 처리 방법이 궁금합니다.
다시한번 미리 답변 감사드립니다.
¼³Á¤ÇØ ³õÀ¸¸é Cron ½ÇÇàÀ¸·Î ¸ÅÀÏ Çѹø ÀÎÁõ¼ À¯È¿ ³¯Â¥¸¦ üũÇÕ´Ï´Ù.
ÀÌ¿¡ µû¶ó¼ ÀÎÁõ¼ À¯È¿ ±â°£ÀÌ 1°³¿ù °¡·® ³²À¸¸é ÀÚµ¿À¸·Î ´Ù½Ã °»½ÅÇÕ´Ï´Ù.
ÆÐÅ°Áö¿¡ °»½Å ½ºÅ©¸³Æ®°¡ µé¾î ÀÖ½À´Ï´Ù.
±×´ÙÁö ½Å°æ ¾µ ÇÊ¿ä´Â ¾ø½À´Ï´Ù.
Àúµµ ACME¿¡¼ Å©·Ð È°¼ºÈµµ Çسõ¾Ò±¸¿ä
´Ù¸¸, pfSense¿¡¼ È®ÀεǴ ÀÎÁõ¼´Â pfSense¿¡¸¸ ÀúÀåµÇ¾î ÀÖ´Â°Í °°½À´Ï´Ù.
´Ü¼øÈ÷ pfSense¿¡¼¸¸ °¡Áö°í ÀÖ´Â°Ô ¾Æ´Ï¶ó ¿¬°áµÈ ¼¹ö¿¡¼µµ ÀÎÁõ¼¸¦ °¡Áö°í ÀÖ¾î¾ß https°¡ Á¤»óÀûÀ¸·Î ¿¬°áµÇ´Â°Ô ¾Æ´Ñ°¡¿ä?
¸¸¾à ±×·¸´Ù¸é °³º° ¼¹ö·Î ÀÎÁõ¼¸¦ º¹»çÇÏ°í µî·ÏÇÏ´Â ÀýÂ÷°¡ ÇÊ¿äÇÏ´Ù´Â °ÍÀε¥ À̸¦ ÀÚµ¿ÈÇÏ´Â ¹æ¹ýÀÌ ÀÖ´ÂÁö°¡ ±Ã±ÝÇÕ´Ï´Ù.
°øÀαâ°üÀÇ ÀÎÁõ¼¶ó¼ ÀÚü ¼¸í ÀÎÁõ¼Ã³·³ ÀͽºÆ÷Æ®ÇÏ¿© Ŭ¶óÀ̾ðÆ®¿¡ ¼³Ä¡ÇÒ ÇÊ¿ä´Â ¾ø½À´Ï´Ù.
¿ì¼± °£´ÜÇÑ ±¸Á¶´Â ¾Æ·¡Ã³·³ µÇÀÖ½À´Ï´Ù.
¿ÜºÎ¸Á ---> pfSense (domain.com) ---> GitLab ¼¹ö (gitlab.domain.com)
---> ³ª¸ÓÁö À¥ ¼¹öµé... (¼ºêµµ¸ÞÀÎ.domain.com)
¿ä·± ±¸Á¶¿¡¼ ¿¹¸¦µé¾î 'A' ¶ó´Â »ç¿ëÀÚ°¡ ¿ÜºÎ¸ÁÀ» ÅëÇØ GitLab À̶ó´Â À¥ ÆäÀÌÁö¿¡ Á¢¼ÓÇÏ·ÁÇϸé
ÀÎÁõ¼°¡ ¾ø¾î https ·Î Á¢±ÙÇÏÁö ¸øÇÏ´Â »óȲÀÔ´Ï´Ù.
pfSense¿¡¼´Â ´ç¿¬È÷ ACME ·Î gitlab.domain.com ¿¡ ´ëÇÑ ÀÎÁõ¼´Â ¹Þ¾Æ³õÀº »óÅÂÀ̱¸¿ä
gitlab.domain.comÀÇ Let's Encrypt ÀÎÁõ¼°¡ ÀÚµ¿À¸·Î °»½ÅµÇµµ·Ï ÇÏ´Â ¹æ¹ýÀº ¸¹ÀÌ ÀÖ½À´Ï´Ù.
¾È¿¡ ÀÖ´Â ¼¹öµé °¢°¢ÀÌ TCP 80¹ø ¶Ç´Â 443Æ÷Æ®·Î ¿ÜºÎ¿¡ ¼ºñ½ºÇÏ·Á¸é pfSense¿¡¼ À¥¼ºñ½º¿¡ ´ëÇÑ Reverse proxy¸¦ ±¸¼ºÇØ¾ß ÇÕ´Ï´Ù.
ÀÎÁõ¼¸¦ pfSense¿¡ µÎ°í ¼¹öµéÀº 80¹øÀ¸·Î ±¸¼ºÇÏ´Â ¹æ¹ýµµ ÀÖ°ÚÀ¸³ª ¸ðµÎ SSLÀ» Àû¿ëµµ °¡´ÉÇÕ´Ï´Ù.
¸¸¾à ¾È¿¡ ÀÖ´Â ¼¹öµéÀÌ °¢ Æ÷Æ®µéÀ» ´Þ¸®ÇÏ¿© ¿ÜºÎ¿¡ ¼ºñ½ºÇÏ´Â °Å¶ó¸é Reverse proxy´Â ±»ÀÌ ¾ÈÇصµ µË´Ï´Ù.
°¢ ¼¹ö¿¡ ÀÎÁõ¼¸¦ ¼³Ä¡ÇÏ°í pfSense¿¡¼ Æ÷¿öµù¸¸ ¼³Á¤ÇÕ´Ï´Ù.
°³º° ¼¹ö³ª pfSense¿¡ °¢°¢ ÇÊ¿äÇÑ ÀÎÁõ¼¸¦ ¼³Ä¡ÇÏ°í °»½ÅµÇµµ·Ï ÇØ¾ß ÇÏ´Â °æ¿ìÀÔ´Ï´Ù.
HAProxy ÀÌ¿ëÇؼ ¸®¹ö½º ÇÁ·Ï½Ã ±¸¼ºÀ» Çغ¸·Á°í Çϴµ¥ ÀÌ°Ô ¶Ç Àß µÇ°í ÀÖÁö°¡ ¾Ê¾Æ¼ ¤Ð¤Ð
¾Æ¹«Æ° Áß¿äÇÑ°Ç pfSense µÚ¿¡ ÀÖ´Â °³º° ¼¹ö¿¡µµ ÀÎÁõ¼¸¦ ¹ß±Þ¹Þ°í °»½ÅÇϱâ À§ÇÑ ÀýÂ÷°¡ ÇÊ¿äÇÏ´Ù´Â°Ô ÇÙ½ÉÀÌ ¸ÂÀ»±î¿ä?
´äº¯°¨»çÇÕ´Ï´Ù
ÇÑÆí, Reverse proxy¾Ö ¼³Á¤µÈ ¼¹ö±îÁö SSL Åë½ÅÀ» ÇØ¾ß µÇ´À³Ä´Â Çѹø »ý°¢ÇØ ºÁ¾ß ÇÕ´Ï´Ù.
¿ÜºÎ¿¡ ³ëÃâµÇ´Â ºÎºÐ¿¡¼´Â ÇÊ¿äÇÏ´Ù¶óµµ ÇÁ·Ï½ÃÀÇ ³ëµåµé ±îÁö ±×·¡¾ß ÇÒ ÇÊ¿ä°¡ ÀÖ´ÂÁö ÀÔ´Ï´Ù.
pfSense¿¡ ÀÎÁõ¼¸¦ µÎ°í Reverse proxy¿¡¼ À¥¼¹öµéÀº TCP 80¹ø Æ÷Æ®¸¦ »ç¿ëÇصµ µÇÁö ¸»ÀÔ´Ï´Ù.
Çѹø ±×·¸°Ô ±¸¼ºÇغ¸°Ú½À´Ï´Ù
´äº¯ ³Ê¹« °¨»çµå¸³´Ï´Ù