안녕하세요? 하기 Cloudflare 네임서버의 마지막 글입니다.
HA에서 센서가 나 조만간 인증서 만료되니까 참고해 라고 알려주네요.
Cloudflare 네임서버 사용하기 (1/3)
https://blog.djjproject.com/767
Cloudflare 네임서버 DDNS 설정하기 / ddclient (2/3)
https://blog.djjproject.com/768
이외에 하기의 글도 있는데요. 이때는 수동으로 갱신을 했었는데 이번에는 자동으로 갱신해 보겠습니다.
실제로는 이전에는 DNSZI 를 사용했고, DDNS 에 장애가 생기면서 그리고 갱신의 귀찮음이 있어서 하기와 같이 시도해 보았습니다.
Let's Encrypt SSL 인증서 발급하기 (certbot / renew)
https://blog.djjproject.com/643
그럼 시작하겠습니다.
1. certbot 설치하기
root@debian:~# apt install certbot python3-certbot-dns-cloudflare |
2. API 키 파일 생성하기
일단은 제가 cloudflare 를 DNS 용도로만 사용하기 때문에 하기와 같이 Global 키를 사용하였습니다.
다른 서비스가 있다면, 보안적인 측면에서 글로벌 키를 사용하지 않는 것을 추천드립니다.
글로벌 키 관련으로는 2번째 DNS 게시글을 참조해 주세요.
하기와 같이 생성합니다.
root@debian:~# vi /root/.config/cloudflare_api.conf dns_cloudflare_email = "" dns_cloudflare_api_key = "" |
3. 갱신하기
일단은 certbot 을 처음 할 때, DNS 로 수동으로 인증을 받았습니다.
따라서, 한번 certbot renew 를 하기 위해서는 한번 auto 로 갱신해줄 필요가 있습니다.
root@debian:~# certbot certonly \ > --dns-cloudflare \ > --dns-cloudflare-credentials /root/.config/cloudflare_api.conf \ > --preferred-challenges dns-01 \ > --domain djjproject.com,*.djjproject.com Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator dns-cloudflare, Installer None Cert is due for renewal, auto-renewing... Renewing an existing certificate Performing the following challenges: dns-01 challenge for djjproject.com dns-01 challenge for djjproject.com Unsafe permissions on credentials configuration file: /root/.config/cloudflare_api.conf Waiting 10 seconds for DNS changes to propagate Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/djjproject.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/djjproject.com/privkey.pem Your cert will expire on 2022-02-15. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le |
unsafe 퍼미션이 있다고 나오네요. 0600으로 고치겠습니다.
root@debian:~# chmod 0600 /root/.config/cloudflare_api.conf |
그리고 웹서버를 reload 합니다.
root@debian:~# service apache2 reload |
4. 자동 갱신하기
하루에 매번 갱신할 필요는 없고, 대략 45일마다 한번씩 하면 문제가 없을 것 같습니다.
하기와 같이 작성합니다.
root@debian:~# crontab -e # certbot renew 0 0 */45 * * su root -c "certbot renew; systemctl reload apache2" |
물론 45일에 실행하다 실패하면, 다음 45일까지 인증서가 갱신이 안될 수도 있습니다.
그러면 스크립트를 작성해서 막아볼 수도 있는데요. 일단은 자동으로 갱신이 되는지 또 한 2달 정도 지켜보겠습니다.
감사합니다.
'서버 > 리눅스 서버' 카테고리의 다른 글
Opengrok 큰 프로젝트 인덱싱 설정하기 (414) | 2021.12.10 |
---|---|
xrdp + xorgxrdp + remotefx + glamor (우분투 18.04.x) (399) | 2021.12.07 |
MiniDLNA 1.3.0 컴파일 하기 (DSD 지원) (407) | 2021.11.04 |
Cloudflare 네임서버 DDNS 설정하기 / ddclient (2/3) (390) | 2021.09.30 |
Cloudflare 네임서버 사용하기 (1/3) (0) | 2021.09.30 |
댓글