11.Nas_1




인증서 만료)Let's encrypt 의 인증서를 생성할 때 주의사항

♨ 카랜더 일정 :
  • 링크

  • 첨부

  • 컨텐츠 정보

    본문

    인증서 만료)Let's encrypt 의 인증서를 생성할 때 주의사항

    https://milkye.tistory.com/337

    https://eu4ng.tistory.com/12

    https://findstar.pe.kr/2018/09/08/lets-encrypt-certificates-rate-limit/

    제가 잘못알았나 보네요 ㅜㅠ

    저는 안되서 찾아보니깐 입타임은 org로 끝나는 도메인이라서 안된다고 들었거든요...

    참고는 : https://milkye.tistory.com/337

    그러면 저도 도전해봐야겠네요...

    타임 공유기 접속포트를 80에서 다른걸로 바꿔주시고 예를들면 8080

    그리고 80포트는 나스로 포트포워딩하면 바로되네요...

    방화벽은 사용으로해도 되네요


    Let's encrypt 의 인증서를 생성할 때 주의사항

    2018-09-08
    Table of Contents

    Let’s encrypt를 활용해서 SSL 인증서를 생성할 때에는 몇가지 주의해야할 사항이 있다. 인증서를 무한대로 생성할수 없는 것이 당연하고, 생성에 대한 제약사항을 정리해보았다.

    Let’s encrypt?

    Let’s encrypt 는 https 접속을 지원하기 위한 인증서를 무료로 생성할 수 있는 서비스라고 생각하면 이해하기 쉽다. 개인 블로그의 경우 인증서를 직접 구매하기 어려운데, let’s encrypt를 사용하면 무료로 인증서를 발급 받을 수 있다. 모질라아카마이시스코크롬페이스북automattic 과 같은 회사들이 스폰서로 있어서 서비스가 지원을 중단할 걱정도 없다고 할 수 있다. 이 블로그의 경우에는 github page 에서 제공해주는 ssl 서비스를 사용하고 있는데 여기에서 사용하는 인증서도 let’s encrypt를 사용한 것이다. 국내에서는 티스토리에서 개인도메인에 대한 ssl 인증서를 let’s encrypt를 사용해서 지원하고 있다.

    인증발급의 각 단계

    인증서는 발급/갱신/취소 의 세가지 단계가 있다. 발급은 새로운 인증서 파일을 생성하는 것, 갱신은 생성된 인증서의 유효기간이 30일 이하로 남은 경우 이를 새롭게 90이상 사용가능하도록 하는 것, 마지막으로 취소는 생성한 인증서 파일을 유효하지 않게 하는 동작이다.

    생성된 인증서의 유효기간

    let’s encrypt를 통해서 생성한 인증서는 기본적으로 3개월(90일)동안 사용할 수 있다. 일반적으로 사설 업체를 통해서 구매한 인증서가 최소 1년이라는 것을 감안하면 기간이 짧다고 할 수 있다. 그렇지만 재갱신 또한 무료로 가능하기 때문에, 제 때에 갱신하는 것을 깜빡하지(?) 않다면, 인증서를 계속 갱신해서 https 접속을 유지할 수 있다.

    인증서를 발급 할 때 제약사항

    인증서를 발급하는 방법은 자료가 많으니, 인증서를 발급할 때 제약사항에 대해서 알아보자. 일단 공식 사이트 에서 자세하게 나와 있긴 한데 처음에는 뭐가뭔지 헷갈린다. 이를 정리해 보았다.

    1. 인증서는 하나의 Registered Domain 기준으로 1주에 50개까지 인증서 발급이 가능하다.

      Registered Domain 이라는 것은 일반적으로 우리가 도메인을 신규로 구매할 때 결정되는 도메인이라고 생각하면 된다. “www.example.com” 에서 Registered Domain 도메인은 “example.com” 부분을 말한다. 만약 서브 도메인이 “new.blog.example.co.kr” 이라면 Registered Domain 은 “example.co.kr” 이 된다. Registered Domain 에 대한 판단은 Public Suffix 를 사용해서 판단된다.

    2. 하나의 인증서는 최대 100개의 서브 도메인 인증 정보를 포함시킬 수 있다.

      하나의 인증서에는 단 하나의 도메인 인증 정보만 담을 수 있는 것은 아니다. 두개 이상의 도메인 인증 정보를 담을 수 있는데, (이러한 인증서를 멀티 도메인 인증서 라고 한다) let’s encrypt를 사용해서 발급하는 인증서 파일 하나에 담을 수 있는 도메인 인증정보는 파일당 최대 100개의 제한이 있다. 따라서 앞서 첫번째 제한사항과 함께 고려한다면, 일주일에 최대 5000개의 서브 도메인에 대한 인증정보를 생성할 수 있다.

    3. 동일한 도메인에 대한 인증정보 그룹(domain set)은 일주일에 최대 5개까지 발급이 가능하다.

      인증서를 생성할 때에는 동일한 도메인 인증정보 그룹(domain set)에 대해서는 일주일에 최대 5개까지 발급이 가능하다. 인증정보 그룹(domain set)이라는 것은 [“www.example.com”, “example.com”] 와 같이 한번에 인증서 발급을 위해서 요청하는 도메인들(하나 또는 그이상)의 집합이라고 할 수 있다. 일반적으로는 하나의 도메인에 대해서 인증서를 발급 요청하기 때문에 이 제약사항은 그냥 동일한 도메인에 대해서는 인증서 발급은 일주일에 5번으로 제한된다고 이해하면 된다. 만약 인증정보 그룹(여러개의 도메인에 대한 인증서)이 동일한 인증서 발급 요청을 한다면, 일주일 동안에는 최대 5개까지만 가능하다는 의미다. 단, 인증정보 그룹을 추가한다면 추가적으로 인증서 발급이 가능하다 일주일 사이에 [“www.example.com”, “example.com”] 으로 5번 인증서를 생성했더라도, [“www.example.com”, “example.com”, “blog.example”] 으로 인증서를 추가적으로 생성할 수 있다.

    인증서를 갱신할 때 제약사항

    인증서를 생성할 때만 제약이 있는 것은 아니고, 인증서를 갱신할 때에도 제약사항이 있다.

    1. 생성 limit 에 해당되더라도, 갱신은 가능하다.

      만약 일주일에 50개의 인증서를 발급하여, 생성 limit에 해당되더라도, 기존에 생성한 인증서의 갱신(renewal)은 가능하다. 따라서 일단 인증서를 생성했다면, 갱신하는데는 문제가 없다. (그렇지만, 언제나… 유저 불량이 발생한다.)

    2. 갱신을 하기 전에 만료 기간에 해당하는지 확인해야한다.

      생성된 인증서는 90일 동안 유효하고, 30일이 남은 시간 부터 갱신이 가능하다, 만약 그 이전에 동일한 인증정보 그룹(domain set)으로 갱신 요청을 한다면, 이때는 동일한 도메인 인증서 발급 요청으로 취급되어, 동일한 도메인 인증정보 발급의 제약을 받는다. 그러니, 갱신을 하기전에. 만료기간에 해당하는지 확인하고 요청을 하도록 하자.

    3. 인증서 갱신을 활용하면 사용가능한 하나의 도메인의 서브 도메인별 인증서는 계속 늘어날 수 있다.

      인증서는 기본적으로 생성에 제약이 있고, 갱신에는 제약이 없기 때문에 이를 잘 활용한다면, 1주에 50개씩 (하나의 도메인씩 늘려간다고 가정할 때) 계속 사용가능한 인증서를 늘려갈 수 있다. 만약 하나의 도메인에 여러개의 서브도메인을 모두 인증서를 발급해야 한다면, 이 정책을 사용하면 시간이 걸릴지언정, 언젠가는 모두 인증서 발급이 가능하다.

    인증서 취소의 참고사항

    1. 인증서 취소(revoke)는 인증서 생성 limit 을 초기화 시키지 않는다

      인증서 생성단계에서 어떠한 제약사항에 해당되어(주로 동일한 도메인 인증서를 계속해서 생성하는 경우) 기존 인증서를 취소(revoke)하면 limit count가 초기화되거나, 감소되지 않는지 궁금할 수도 있다. 공식 사이트에서는 명시적으로 인증서 취소는 limit count를 초기화 시키지 않는다고 알려주고 있다. 그러니, 대부분은 그냥 기다리는게 상책이다.

    인증서 발급 실패와 관련된 제약사항

    1. 계정별, 호스트별, 시간당 5번의 실패까지만 허용된다.

    호스팅 업체, 대규모 도메인 등록 서비스를 진행하는 경우, 또는 개인 이더라도 인증서 발급을 자동화하도록 구현하는 과정에서 여러가지 테스트를 수행하게 된다. 이 때, 잘못하면 fail vadliation 제약에 해당되어서 한 시간 동안 기다려야 되는 불행한(!) 사태가 발생한다. 그러니, 인증서 발급을 요청하기 전에, DNS 설정은 잘 되었는지, “/.well-known/acme-challenge/” 경로는 잘 허용되었는지(발급을 위한 validation 과정은 방식에 따라 차이가 있을 수 있다) 확인을 잘 하고 발급 요청을 진행해야 한다.

    1. “new-reg”, “new-authz”, “new-cert” API는 초당 최대 20개까지 허용된다.

      일반 사용자는 대부분 고려할 필요가 없는 사항인데, 대규모 인증서 발급이 필요한 경우에는 해당 API는 초당 20개까지 가능하다는 점을 염두해둬야 한다. (그렇지만 이렇게 까지 많은 API를 사용하려면 얼마나 많은 도메인을 관리해야 하는걸까..)

    2. “/directory” “/acme” API는 초당 최대 40개까지 허용된다.

      위와 마찬가지로 해당 API는 초당 최대 40개까지 가능하다

    IP별 생성 제한

    인증서를 발급하는데는 IP에 대한 제약사항도 존재한다.(이렇게 놓고보니, 참 많은것 같다.)

    1. IP별로 인증서 생성을 위한 계정을 3시간에 10개까지 생성이 가능하다

      let’s encrypt를 통해서 인증서를 생성하려면 계정이 필요한데 이 계정은 하나의 IP에서 3시간에 10개까지 생성이 가능하다

    2. IP별로 인증서 생성은 3시간에 500개까지 가능하다

      하나의 IP에서 인증서 생성은 3시간에 500개까지 가능하다. 이걸 넘는 경우는 아마 대규모 호스팅 업체의 경우일 것이다.

    제약에 대한 개인 경험

    나의 경우에는 대부분 인증서 발급 자동화를 테스트 하다가 실패 제한(fail validation)에 해당되어서 한시간 기다려야 되는 경우를 빈번하게 경험했다. 또한 대규모 인증서 발급을 해본 경험으로는 let’s encrypt client를 개발하다가(자동화 과정에서) IP 당 발급 제한(3시간에 500개)에 해당되는 경우가 많았다. 따라서 let’s encrypt를 통해서 대규모로 사용하건/개인용으로 사용하건 제약사항을 잘 알고나서 사용해야 한다. 다행히도 요즘엔 직접 let’s encrypt를 사용하기 보다는 다양한 툴들을 통해서 이러한 제약에 해당되지 않고도 테스트를 할 수 있게 잘 구성되어 있는 편이다(stage environment를 잘 활용하자). 그리고 제발 같은 도메인으로 인증서 신규 발급 계속하지 말자. (오늘도 여전히 RTFM)

    참고

    ■ ▶ ☞ 정보찾아 공유 드리며 출처는 링크 참조 바랍니다 ♠ . ☞ 본자료는 https://11q.kr 에 등록 된 자료 입니다♠.■ ▶ ☞ 정보찾아 공유 드리며 출처는 링크 참조 바랍니다 ♠ . ☞ 본자료는 https://11q.kr 에 등록 된 자료 입니다♠.

    =====================

    root@https11qkr:~# /usr/syno/sbin/syno-letsencrypt new-cert -d 11q.kr -m shim414@naver.com -v
    DEBUG: ==== start to new cert ====
    DEBUG: Server: https://acme-v02.api.letsencrypt.org/directory
    DEBUG: Email: shim414@naver.com
    DEBUG: Domain: 11q.kr
    DEBUG: ==========================
    DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
    DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
    DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/acme/new-nonce
    DEBUG: Found registed account. used old account. [/usr/syno/etc/letsencrypt/account/9DlJfW/]
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Incorrect port map rules result
    DEBUG: failed to open port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: dns-01 is not support for 11q.kr
    DEBUG: Setup challenge for 11q.kr with type http-01
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/13815155660/-PTzpw
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/13815155660/-PTzpw
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815155660
    DEBUG: Failed to do challenge for 11q.kr with type http-01.
    DEBUG: close port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
    DEBUG: Incorrect port map rules result
    DEBUG: failed to open port 80.
    DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815260923
    DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/13815260923
    DEBUG: dns-01 is not support for 11q.kr
    DEBUG: close port 80.
    {"error":102,"file":"syno-letsencrypt.cpp","msg":"Failed to new certificate."}
    
    root@https11qkr:~# ^C
    

    [ 추가 정보 ... 더보기) ]
    뷰PDF 1,2



    office view

    관련자료

    댓글목록

    profile_image

    11qkr님의 댓글

    11qkr 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 아이피 (192.♡.0.1) 작성일

    /usr/syno/sbin/syno-letsencrypt new-cert -d 도메인명 -m 이메일 주소 -v
    /usr/syno/sbin/syno-letsencrypt new-cert -d 11q.kr -m shim414@naver.com -v




    • 일간 조회수
        • 게시물이 없습니다.
    • 주간 조회수
        • 게시물이 없습니다.
    • 월간 조회수
        • 게시물이 없습니다.


    Total 1,746 / 5 Page
    [ ● 시놀로지 도커 nextcloud 설치 2단계) 크롬 접속 https 주의요함 및 접속 불가로 let… ]

    ● 시놀로지 도커 nextcloud 설치 2단계) 크롬 접속 https 주의요함 및 접속 불가로 lets 인증서 연결하기시놀로지 도커 설치 이름…

    [ ●시놀로지작업) Nextcloud 인스턴스는 현재 점검 모드 유지 보수 모드 그리고 설치 조건 ]

    ●시놀로지작업)Nextcloud 인스턴스는 현재 점검 모드유지 보수 모드 그리고 설치 조건시놀로지 도커 사용조건업데이트 유지 보수(ssh 조건)…

    [ ● 작업)synology nas ssd cache 온도로 인한 shutdown 해결 정보 및 cpu dis… ]

    ● 작업 설정)synology nas ssd cache 온도로 인한 shutdown 해결 정보--> 링크 정보를 근거로 설정해봅니다 // …

    [ ● SynoCommunity SynoCIi Monitor Tools 설치 하여 랜속도 시스템 응답 확인… ]

    ●SynoCommunitySynoCIi Monitor Tools 설치 하여 랜속도시스템 응답 확인 하기dsm7.0에서 동작중인패키지 소스 추가하…

    [ ●추가 네트워크 드라이버로 사용자 지정 ESXi 설치 관리자 이미지 생성 ]

    ●추가 네트워크 드라이버로 사용자 지정 ESXi 설치 관리자 이미지 생성서버에 공식 VMware HCL에 없는 네트워크 카드가 있는 경우 ESX…

    [ ● [VMWare] esxi 서버 멈춤증상 확인 check 하기 ] 댓글 1

    ●[VMWare] esxi 서버 멈춤증상 확인 check 하기 하드웨어는 메인보드에서 로그 확인해 보시면 되고(조립머신이면 없을 확률이 높습니다…

    [ ● svchost.exe 동작확인 하기 네트워크 동작 중지및 일부 프로그램 강제종료 중지 건 ]

    ● svchost.exe 동작확인 하기 네트워크 동작 중지및 일부 프로그램 강제종료 중지 건svchost.exe 가 윈도우에서 왜 많이 실행되고…

    [ ●DSM 7에서 DSM 6으로 다운그레이드 및 응급 복구 방법 ]

    ●DSM 7에서 DSM 6으로 다운그레이드 및 응급 복구 방법https://www.blackvoid.club/dsm-7-to-dsm-6-down…

    [ ● 시놀로지 포토스테이션 사진 폴더 DSM7 photo에 사진 초기 설정 추가 하기 ]

    ● 시놀로지 포토스테이션 사진 폴더 DSM7 photo에 사진 초기 설정 추가 하기dsm7에서 사진 관리 방법을 정리 합니다 기본 초기 설치후 …

    [ ● 동기화 Syncthing를 시놀로지 도커에서 설치 pc 핸드폰 폴더 공유하기 ] 댓글 2

    ● 동기화Syncthing를 시놀로지도커에서 설치 pc 핸드폰 photo 폴더 공유하기Syncthing은 기존의 사유(私有) 동기화 / 클라우드…

    [ ● android-studio-2021.2.1.14-windows.exe 설치작업 ]

    ●android-studio-2021.2.1.14-windows.exe 설치작업android-studio 검색 다운로드 exe 파일 다운로드 합…

    [ ● LETSENCRYPT SSL 인증서 자동갱신 쉘스크립트 ]

    ●LETSENCRYPT SSL 인증서 자동갱신 쉘스크립트출처:https://ivps.tistory.com/629[iVPS 가상서버호스팅] htt…

    [ ● 듀얼랜 활용법 참고자료 활용 테스트(저의 esxi 서버에서는 효과가 없다) ]

    ●듀얼랜 활용법 참고자료 활용 테스트1차 설정저의 esxi 서버에서는 효과가 없다입니다2차 점검esxi 서버의 랜설정 다른 카드이름으로 필요처음…

    [ ● DSM 7.1 Active Backup for Business 패키지설치 activated 활성화 작… ] 댓글 3

    ● DSM 7.1 Active Backup for Business 패키지설치 activated 활성화1) 패키지 설치 2) 실행열기히면 시놀로지…


    ♥간단_메모글♥


    최근글


    새댓글



    PHP 안에 HTML ☞ 홈페이지 화면갱신 시간은 ♨
    ▶ 2024-03-28 20:14:12

    오늘의 홈 현황


    • 현재 접속자♨ 313(1) 명
    • 오늘 가입자※ 3 명
    • 어제 가입자※ 11 명
    • 주간 가입자※ 27 명
    • 오늘 방문자 2,285 명
    • 어제 방문자 2,255 명
    • 최대 방문자 13,042 명
    • 전체 방문자 4,239,619 명
    • 전체 게시물※ 8,481 개
    • 전체 댓글수※ 24,392 개
    • 전체 회원수 10,843 명

    QR코드


    ☞ 사진기로 촬영하시면 방문링크 됩니다

    알림 0








    최신글↑