11.Nas_1


새창 작성 수정 목록 링크 Edit G카랜다 HDD HDD HDD 게시물 주소 복사


인증서 만료)Let's encrypt 의 인증서를 생성할 때 주의사항

♨ 카랜더 일정 :
  • 링크

  • 첨부

  • 컨텐츠 정보

    본문

    인증서 만료)Let's encrypt 의 인증서를 생성할 때 주의사항

    https://milkye.tistory.com/337

    https://eu4ng.tistory.com/12

    https://findstar.pe.kr/2018/09/08/lets-encrypt-certificates-rate-limit/

    제가 잘못알았나 보네요 ㅜㅠ

    저는 안되서 찾아보니깐 입타임은 org로 끝나는 도메인이라서 안된다고 들었거든요...

    참고는 : https://milkye.tistory.com/337

    그러면 저도 도전해봐야겠네요...

    타임 공유기 접속포트를 80에서 다른걸로 바꿔주시고 예를들면 8080

    그리고 80포트는 나스로 포트포워딩하면 바로되네요...

    방화벽은 사용으로해도 되네요


    Let's encrypt 의 인증서를 생성할 때 주의사항

    2018-09-08
    Table of Contents

    Let’s encrypt를 활용해서 SSL 인증서를 생성할 때에는 몇가지 주의해야할 사항이 있다. 인증서를 무한대로 생성할수 없는 것이 당연하고, 생성에 대한 제약사항을 정리해보았다.

    Let’s encrypt?

    Let’s encrypt 는 https 접속을 지원하기 위한 인증서를 무료로 생성할 수 있는 서비스라고 생각하면 이해하기 쉽다. 개인 블로그의 경우 인증서를 직접 구매하기 어려운데, let’s encrypt를 사용하면 무료로 인증서를 발급 받을 수 있다. 모질라아카마이시스코크롬페이스북automattic 과 같은 회사들이 스폰서로 있어서 서비스가 지원을 중단할 걱정도 없다고 할 수 있다. 이 블로그의 경우에는 github page 에서 제공해주는 ssl 서비스를 사용하고 있는데 여기에서 사용하는 인증서도 let’s encrypt를 사용한 것이다. 국내에서는 티스토리에서 개인도메인에 대한 ssl 인증서를 let’s encrypt를 사용해서 지원하고 있다.

    인증발급의 각 단계

    인증서는 발급/갱신/취소 의 세가지 단계가 있다. 발급은 새로운 인증서 파일을 생성하는 것, 갱신은 생성된 인증서의 유효기간이 30일 이하로 남은 경우 이를 새롭게 90이상 사용가능하도록 하는 것, 마지막으로 취소는 생성한 인증서 파일을 유효하지 않게 하는 동작이다.

    생성된 인증서의 유효기간

    let’s encrypt를 통해서 생성한 인증서는 기본적으로 3개월(90일)동안 사용할 수 있다. 일반적으로 사설 업체를 통해서 구매한 인증서가 최소 1년이라는 것을 감안하면 기간이 짧다고 할 수 있다. 그렇지만 재갱신 또한 무료로 가능하기 때문에, 제 때에 갱신하는 것을 깜빡하지(?) 않다면, 인증서를 계속 갱신해서 https 접속을 유지할 수 있다.

    인증서를 발급 할 때 제약사항

    인증서를 발급하는 방법은 자료가 많으니, 인증서를 발급할 때 제약사항에 대해서 알아보자. 일단 공식 사이트 에서 자세하게 나와 있긴 한데 처음에는 뭐가뭔지 헷갈린다. 이를 정리해 보았다.

    1. 인증서는 하나의 Registered Domain 기준으로 1주에 50개까지 인증서 발급이 가능하다.

      Registered Domain 이라는 것은 일반적으로 우리가 도메인을 신규로 구매할 때 결정되는 도메인이라고 생각하면 된다. “www.example.com” 에서 Registered Domain 도메인은 “example.com” 부분을 말한다. 만약 서브 도메인이 “new.blog.example.co.kr” 이라면 Registered Domain 은 “example.co.kr” 이 된다. Registered Domain 에 대한 판단은 Public Suffix 를 사용해서 판단된다.

    2. 하나의 인증서는 최대 100개의 서브 도메인 인증 정보를 포함시킬 수 있다.

      하나의 인증서에는 단 하나의 도메인 인증 정보만 담을 수 있는 것은 아니다. 두개 이상의 도메인 인증 정보를 담을 수 있는데, (이러한 인증서를 멀티 도메인 인증서 라고 한다) let’s encrypt를 사용해서 발급하는 인증서 파일 하나에 담을 수 있는 도메인 인증정보는 파일당 최대 100개의 제한이 있다. 따라서 앞서 첫번째 제한사항과 함께 고려한다면, 일주일에 최대 5000개의 서브 도메인에 대한 인증정보를 생성할 수 있다.

    3. 동일한 도메인에 대한 인증정보 그룹(domain set)은 일주일에 최대 5개까지 발급이 가능하다.

      인증서를 생성할 때에는 동일한 도메인 인증정보 그룹(domain set)에 대해서는 일주일에 최대 5개까지 발급이 가능하다. 인증정보 그룹(domain set)이라는 것은 [“www.example.com”, “example.com”] 와 같이 한번에 인증서 발급을 위해서 요청하는 도메인들(하나 또는 그이상)의 집합이라고 할 수 있다. 일반적으로는 하나의 도메인에 대해서 인증서를 발급 요청하기 때문에 이 제약사항은 그냥 동일한 도메인에 대해서는 인증서 발급은 일주일에 5번으로 제한된다고 이해하면 된다. 만약 인증정보 그룹(여러개의 도메인에 대한 인증서)이 동일한 인증서 발급 요청을 한다면, 일주일 동안에는 최대 5개까지만 가능하다는 의미다. 단, 인증정보 그룹을 추가한다면 추가적으로 인증서 발급이 가능하다 일주일 사이에 [“www.example.com”, “example.com”] 으로 5번 인증서를 생성했더라도, [“www.example.com”, “example.com”, “blog.example”] 으로 인증서를 추가적으로 생성할 수 있다.

    인증서를 갱신할 때 제약사항

    인증서를 생성할 때만 제약이 있는 것은 아니고, 인증서를 갱신할 때에도 제약사항이 있다.

    1. 생성 limit 에 해당되더라도, 갱신은 가능하다.

      만약 일주일에 50개의 인증서를 발급하여, 생성 limit에 해당되더라도, 기존에 생성한 인증서의 갱신(renewal)은 가능하다. 따라서 일단 인증서를 생성했다면, 갱신하는데는 문제가 없다. (그렇지만, 언제나… 유저 불량이 발생한다.)

    2. 갱신을 하기 전에 만료 기간에 해당하는지 확인해야한다.

      생성된 인증서는 90일 동안 유효하고, 30일이 남은 시간 부터 갱신이 가능하다, 만약 그 이전에 동일한 인증정보 그룹(domain set)으로 갱신 요청을 한다면, 이때는 동일한 도메인 인증서 발급 요청으로 취급되어, 동일한 도메인 인증정보 발급의 제약을 받는다. 그러니, 갱신을 하기전에. 만료기간에 해당하는지 확인하고 요청을 하도록 하자.

    3. 인증서 갱신을 활용하면 사용가능한 하나의 도메인의 서브 도메인별 인증서는 계속 늘어날 수 있다.

      인증서는 기본적으로 생성에 제약이 있고, 갱신에는 제약이 없기 때문에 이를 잘 활용한다면, 1주에 50개씩 (하나의 도메인씩 늘려간다고 가정할 때) 계속 사용가능한 인증서를 늘려갈 수 있다. 만약 하나의 도메인에 여러개의 서브도메인을 모두 인증서를 발급해야 한다면, 이 정책을 사용하면 시간이 걸릴지언정, 언젠가는 모두 인증서 발급이 가능하다.

    인증서 취소의 참고사항

    1. 인증서 취소(revoke)는 인증서 생성 limit 을 초기화 시키지 않는다

      인증서 생성단계에서 어떠한 제약사항에 해당되어(주로 동일한 도메인 인증서를 계속해서 생성하는 경우) 기존 인증서를 취소(revoke)하면 limit count가 초기화되거나, 감소되지 않는지 궁금할 수도 있다. 공식 사이트에서는 명시적으로 인증서 취소는 limit count를 초기화 시키지 않는다고 알려주고 있다. 그러니, 대부분은 그냥 기다리는게 상책이다.

    인증서 발급 실패와 관련된 제약사항

    1. 계정별, 호스트별, 시간당 5번의 실패까지만 허용된다.

    호스팅 업체, 대규모 도메인 등록 서비스를 진행하는 경우, 또는 개인 이더라도 인증서 발급을 자동화하도록 구현하는 과정에서 여러가지 테스트를 수행하게 된다. 이 때, 잘못하면 fail vadliation 제약에 해당되어서 한 시간 동안 기다려야 되는 불행한(!) 사태가 발생한다. 그러니, 인증서 발급을 요청하기 전에, DNS 설정은 잘 되었는지, “/.well-known/acme-challenge/” 경로는 잘 허용되었는지(발급을 위한 validation 과정은 방식에 따라 차이가 있을 수 있다) 확인을 잘 하고 발급 요청을 진행해야 한다.

    1. “new-reg”, “new-authz”, “new-cert” API는 초당 최대 20개까지 허용된다.

      일반 사용자는 대부분 고려할 필요가 없는 사항인데, 대규모 인증서 발급이 필요한 경우에는 해당 API는 초당 20개까지 가능하다는 점을 염두해둬야 한다. (그렇지만 이렇게 까지 많은 API를 사용하려면 얼마나 많은 도메인을 관리해야 하는걸까..)

    2. “/directory” “/acme” API는 초당 최대 40개까지 허용된다.

      위와 마찬가지로 해당 API는 초당 최대 40개까지 가능하다

    IP별 생성 제한

    인증서를 발급하는데는 IP에 대한 제약사항도 존재한다.(이렇게 놓고보니, 참 많은것 같다.)

    1. IP별로 인증서 생성을 위한 계정을 3시간에 10개까지 생성이 가능하다

      let’s encrypt를 통해서 인증서를 생성하려면 계정이 필요한데 이 계정은 하나의 IP에서 3시간에 10개까지 생성이 가능하다

    2. IP별로 인증서 생성은 3시간에 500개까지 가능하다

      하나의 IP에서 인증서 생성은 3시간에 500개까지 가능하다. 이걸 넘는 경우는 아마 대규모 호스팅 업체의 경우일 것이다.

    제약에 대한 개인 경험

    나의 경우에는 대부분 인증서 발급 자동화를 테스트 하다가 실패 제한(fail validation)에 해당되어서 한시간 기다려야 되는 경우를 빈번하게 경험했다. 또한 대규모 인증서 발급을 해본 경험으로는 let’s encrypt client를 개발하다가(자동화 과정에서) IP 당 발급 제한(3시간에 500개)에 해당되는 경우가 많았다. 따라서 let’s encrypt를 통해서 대규모로 사용하건/개인용으로 사용하건 제약사항을 잘 알고나서 사용해야 한다. 다행히도 요즘엔 직접 let’s encrypt를 사용하기 보다는 다양한 툴들을 통해서 이러한 제약에 해당되지 않고도 테스트를 할 수 있게 잘 구성되어 있는 편이다(stage environment를 잘 활용하자). 그리고 제발 같은 도메인으로 인증서 신규 발급 계속하지 말자. (오늘도 여전히 RTFM)

    참고

    ■ ▶ ☞ 정보찾아 공유 드리며 출처는 링크 참조 바랍니다 ♠ . ☞ 본자료는 https://11q.kr 에 등록 된 자료 입니다♠.■ ▶ ☞ 정보찾아 공유 드리며 출처는 링크 참조 바랍니다 ♠ . ☞ 본자료는 https://11q.kr 에 등록 된 자료 입니다♠.

    =====================

    root@https11qkr:~# /usr/syno/sbin/syno-letsencrypt new-cert -d 11q.kr -m shim414@naver.com -v
    DEBUG: ==== start to new cert ====
    DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
    DEBUG: Email: shim414@naver.com
    DEBUG: Domain: 11q.kr
    DEBUG: ==========================
    DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
    DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
    DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/acme/new-nonce
    DEBUG: Found registed account. used old account. [/usr/syno/etc/letsencrypt/account/9DlJfW/]
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Incorrect port map rules result
    DEBUG: failed to open port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: dns-01 is not support for 11q.kr
    DEBUG: Setup challenge for 11q.kr with type http-01
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/13815155660/-PTzpw
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/13815155660/-PTzpw
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Failed to do challenge for 11q.kr with type http-01.
    DEBUG: close port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Incorrect port map rules result
    DEBUG: failed to open port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815260923
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815260923
    DEBUG: dns-01 is not support for 11q.kr
    DEBUG: close port 80.
    {"error":102,"file":"syno-letsencrypt.cpp","msg":"Failed to new certificate."}
    
    root@https11qkr:~# ^C
    

    [ 추가 정보 ... 더보기) ]
    뷰PDF 1,2



    office view

    관련자료

    댓글목록

    profile_image

    11qkr님의 댓글

    11qkr 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 아이피 (192.♡.0.1) 작성일

    /usr/syno/sbin/syno-letsencrypt new-cert -d 도메인명 -m 이메일 주소 -v
    /usr/syno/sbin/syno-letsencrypt new-cert -d 11q.kr -m shim414@naver.com -v


    새창 작성 수정 목록 링크 Edit G카랜다 HDD HDD HDD 게시물 주소 복사


    • 일간 조회수
        • 게시물이 없습니다.
    • 주간 조회수
        • 게시물이 없습니다.
    • 월간 조회수
        • 게시물이 없습니다.


    Total 1,766 / 20 Page
    [ tvimate klive 라이브 채널 m3u 경로 epg 경로 scrcpy 로 쉽게 등록 하여 TV시청하기 ] 댓글 29

    tvimate klive 라이브 채널 m3u 경로 epg 경로 scrcpy 로 쉽게 등록 하여 TV시청하기주) 먼저 sjva2를 개발 공유해주신…

    [ termux의 Apache2 Ubuntu 에 설치 url 서비스 설정 하기 ]

    termux의 Apache2 Ubuntu 에 설치 url 서비스 설정 하기Ubuntu버전 확인cat /etc/issue하기 링크 참조하여 작업 …

    [ unix mc (한밤중 사령관)의 편집기를 nano에서 nano edit로 전환하는 방법은 무엇입니까? ]

    unix mc (한밤중 사령관)의 편집기를 nano에서 nano edit로 전환하는 방법은 무엇입니까?링크 참조 설정 합니다기본 외부 에디터 설…

    [ tvheadnd epg그래버 모듈 상태 보임/안보임 설정 저장 ] 댓글 1

    tvheadnd epg그래버 모듈 상태 보임/안보임설정 할때마다 안되는 설정 조건을 아래와 같이 재설정 합니다superuse 설정 아이디 암호 …

    [ nas 종료 및 재부팅이 작동하지 않습니다 ] 댓글 1

    안녕하세요,나를 위해 종료 및 재부팅이 작동하지 않습니다.지금은 종료를 시작할 때 약 5 분 정도 기다렸다가전원을 끊습니다.내 사양은 다음과 같…

    [ 재설치) android tv ver 9 termux 설치후 ubuntu 와 s**a2설치 작업 ] 댓글 1

    재설치) android tv ver 9 termux 설치후 ubuntu 와 s...a2설치 작업# ssh putty 접속 설치# 중간에 ssh …

    [ termux를 설치하여 debian 설치후 s***2 설치 테스트 ]

    termux를 설치하여 debian 설치후 s...a2 설치 테스트기종 : gt-king proscrcpy-win64-v1.14 설치 미러링으로…

    [ 정보)[두줄설치 업데이트] S***.2 Linux Native에 설치하기. ]

    정보)[두줄설치 업데이트] s...a0.2 Linux Native에 설치하기.cafe.naver.com의 정보 입니다Ubuntu bionic, …

    [ termux 팩키지 오토 설지 ssh 접속 가능하게 하기 20200628 ] 댓글 1

    termux 팩키지 오토 설지 ssh 접속 가능하게 하기 20200628#!/bin/sh cd ~ echo "" # 설치방법1) tt.sh 11…

    [ 쉴드tv 네트워크 pc에서 연결하여 파일 전송하기 ] 댓글 2

    쉴드tv 네트워크 pc에서 연결하여 파일 전송하기https://11q.kr/www/bbs/board.php?bo_table=s11&wr_…

    [ AutoStart - No root 외장메모리 사용시 동작이 않되어 내장메모리로 변경 사용 ]

    AutoStart - No roottermux 와 kodi 설정 사용중입니다apkpure.com에서 다운로드 설치 합니다주) 외장 메모리 마운트…

    [ ATV용 Button Mapper: Remap your keys (무료) - 키맵핑 ]

    ATV용 Button Mapper: Remap your keys (무료) - 키맵핑준비내용Google TTS 엔진 사용을 중지하는 내용입니다.이…

    [ docker에 ubuntu 설치 ]

    docker에 ubuntu 설치1) 설치docker pull ubuntu:latest docker run -it --name=ubuntu_ser…


    ♥간단_메모글♥


    최근글


    새댓글



    PHP 안에 HTML ☞ 홈페이지 화면갱신 시간은 ♨
    ▶ 2024-11-22 07:06:39

    오늘의 홈 현황


    • 현재 접속자♨ 519 명
    • 오늘 가입자※ 0 명
    • 어제 가입자※ 3 명
    • 주간 가입자※ 9 명
    • 오늘 방문자 1,936 명
    • 어제 방문자 3,272 명
    • 최대 방문자 13,042 명
    • 전체 방문자 4,801,092 명
    • 전체 게시물※ 8,855 개
    • 전체 댓글수※ 25,229 개
    • 전체 회원수 11,324 명

    QR코드


    ☞ QR코드 스캔은 kakao앱 자체 QR코드

    알림 0








    최신글↑