18. 와일드카드 인증서 자동 갱신 (docker + Let's Encrypt + wildcard 인증서 + crontab)

728x90

1. 인증서 갱신하라는 메일

이전 시리즈 글 중 17번 게시글에서 와일드카드 인증서를 발급받아 사이트에 적용을 하였습니다.

Let's Encrypt 인증서들은 90일마다 갱신을 해야 하는데요.

얼마전 위와 같이 인증서를 갱신하라는 메일이 왔습니다. 그러니, 이제 갱신을 해야 겠지요?

하지만, 3개월마다 매번 수동으로 갱신하는 것은 너무 귀찮기도 하고 깜빡 잊을 수도 있으니, 아래쪽에서는 crontab 기능을 이용하여 자동으로 갱신되도록 할 것입니다.

2. 갱신 작업 전 인증서 확인해 보기 => 필수 작업이 아닌 참고용임.

가. 인증서 검증해보기

sudo docker run --rm --name certbot \
    -v /etc/letsencrypt:/etc/letsencrypt \
    certbot/dns-cloudflare \
    certificates

- 위와 같이 입력을 해보면, 아래와 같은 결과가 나옵니다. 빨간 부분을 보면 만료가 16일이 남은 것을 확인할 수 있습니다.

나. 인증서 모의 갱신 하기

아래 명령 마지막에 '--dry-run'을 붙여주면 인증서 갱신을 가짜로 시뮬레이션 해볼 수 있습니다.

sudo docker run --rm --name certbot \
    -v /root/.secrets/cloudflare.ini:/etc/cloudflare.ini \
    -v /etc/letsencrypt:/etc/letsencrypt \
    certbot/dns-cloudflare \
    renew --dry-run

위와 같은 명령을 실행해 보면 아래와 같은 결과를 확인할 수 있습니다.(실제로 갱신된 것은 아닙니다.)

3. 인증서 실제 갱신하기

가. 수동 갱신 방법

1) 3개월마다 수동으로 직접 갱신하려면 아래와 같이 입력을 해주면 됩니다. 이미 위 시뮬레이션 검증에서 문제없이 성공을 하였기 때문에, 마지막 '--dry-run'만 빼준 아래 명령을 실행하면 당연히 갱신이 잘될 것입니다.

sudo docker run --rm --name certbot \
    -v /root/.secrets/cloudflare.ini:/etc/cloudflare.ini \
    -v /etc/letsencrypt:/etc/letsencrypt \
    certbot/dns-cloudflare \
    renew

2) 위 명령으로 갱신에 성공을 하였다면 당연히 인증서 파일이 변경이 된 것이기에, front_nginx 컨테이너 안의 nginx가 변경된 인증서 파일을 다시 읽기 위해 아래 명령으로 reload를 해주어야 합니다.

docker exec front_nginx_cname nginx -s reload

3) 위 방법은 수동으로 해야 하기 때문에 귀찮을 수 있습니다. 그래서, 아래에서는 위 과정을 매번 자동으로 실행되도록 만들 것입니다.

나. 자동 갱신 설정 방법

1) renew.sh 파일 생성 (수행되어야 할 명령어들을 모아둔 파일)

#!/bin/bash

docker run --rm --name certbot \
    -v /root/.secrets/cloudflare.ini:/etc/cloudflare.ini \
    -v /etc/letsencrypt:/etc/letsencrypt \
    certbot/dns-cloudflare \
    renew &&
docker exec front_nginx nginx -s reload

- 위 명령은 먼저 인증서를 갱신 후에, front_nginx 컨테이너의 nginx를 reload하는 것입니다.

- 위 명령 중 renew 다음에 있는 '&&' 라는 기호는 앞의 명령이 성공을 한 후에 뒤의 명령을 실행하라는 의미입니다. 만약 앞의 명령이 실패하면 뒤의 명령은 실행되지 않습니다.

2) renew.sh 파일을 실행이 가능하도록 바꾸어 주어야 함.

chmod -R 755 /home/mungkhs/renew.sh

3) crontab 설정 => 일정 시간마다 특정 작업을 자동적으로 실행되도록 하는 기능

* 저는 인증서 파일 갱신 및 nginx reload 를 위해 root 계정에서 crontab 설정을 해주었습니다.

crontab -l

* 위 명령은 현재 crontab 내용을 보는 것입니다. 현재 아무 설정이 없네요.

crontab -e

* 위 명령을 처음 입력하면 아래와 같은 에디터 선택 창이 나옵니다. 저는 1번 nano 에디터를 선택하였습니다.

*에디터 창이 나오면 맨 아래에 아래처럼 명령을 추가해 주면 됩니다.

30 3 1,15 * * /home/mungkhs/renew.sh >> /home/mungkhs/renew.log 2>&1

<위 코드 설명>
- 매월 1일, 15일 새벽 3시 30분에 /home/mungkhs/renew.sh 파일이 실행됨.
- 실행 결과 출력 내용이 /home/mungkhs/renew.log 파일에 누가 기록됨.

* 실행 시간을 새벽으로 한 이유는 인증서 갱신 후 nginx를 reload 시키게 되니, 홈페이지 접속자가 없을 시간에 하는 것임.

* 실행 주기는 본인이 원하는 대로 설정을 하면 됨. 블로그 글들을 보면 매일 또는 1주일에 한번 식으로 실행을 시키는 경우도 많음.

* 단, 인증서 갱신 주기가 3달이라고 해서 3달에 한번씩 실행을 시킬 경우에는, 만약 인증서 갱신에 실패를 하는 경우에 갱신 시기를 놓치게 되니 유의하시기 바랍니다.

<앞부분 반복 주기 설명>
*   *   *  *  *     => 매일 매시간 매분마다 실행된다는 뜻.
분 시간 일 월 요일

30 * * * * => 매월 매일 매시간 30분에 실행
0,20,40 * * * *  => 매월 매일 매시간 0,20,40분에 실행
*/5 * * * * => 매월 매일 매시간 5분 간격으로 실행
*/5 1,3 5-6 * *  => 매월 5일~6일 사이에 1시와 3시에 5분 간격으로 실행
0-30/5 * * * * => 매월 매일 매시간 0분~30분 사이에만 5분 간격으로 실행
0 */12 * * * => 매월 매일 12시간 간격으로 0분에만 실행
* * * * 0 => 일요일에만 매분마다 실행
10 6 * * 0,6 => 토,일요일에만 6시 10분에 실행
* * L * * => 매월 마지막날에만 매분마다 실행
* * * * 0L => 매월 마지막 일요일에만 매분마다 실행
* * * * 1-5 => 매월 주중(월~금)에만 매분마다 실행
* * W * * => 매월 주중(월~금)에만 매분마다 실행
* * 1W* * *      => 매월 1일이 주중일때만 매분마다 실행

다. 갱신 결과 로그 확인

cat /home/mungkhs/renew.log

1) 갱신 성공 메세지

2) 앞 crontab 설정시 매월 1, 15일에 갱신 실행 설정을 하였기 때문에, 한번 성공 후 다음 갱신 전까지 3~4번 정도는 갱신이 되지 않을 것입니다. 이때는 아래와 같은 메세지가 보여집니다.

앞으로는 인증서 갱신이 자동으로 이루어지기 때문에 따로 신경을 쓰지 않아도 됩니다.

🍺🍺 작업한 모든 소스는 아래 링크에서 확인하실 수 있습니다. 🍺🍺

https://github.com/mmssem/progstudy

GitHub - mmssem/progstudy

Contribute to mmssem/progstudy development by creating an account on GitHub.

github.com

🍺 목차 🍺(보시려면 아래 더보기 를 눌러주세요.)

2. Docker 설치 (Docker+Nginx_proxy+SSL+Github action)

3. MobaXterm (Docker+Nginx_proxy+SSL+Github action)

4. 도커를 이용하여 서버에 vnstat 설치 및 삭제하기(Docker+Nginx_proxy+SSL+Github action)

5. 로컬에 nginx(웹서버) 설치해보기 (Docker+Nginx_proxy+SSL+Github action)

6. 서버 자동 배포 (1) 로컬 => github (Docker+Nginx_proxy+SSL+Github action)

7. 서버 자동 배포 (2) 서버에 자동 배포를 위한 runner 설치

8. 서버 자동 배포 (3) 로컬 소스 -> git push -> github -> 서버 자동 배포 확인

9. (tip) git Add, Commit, push 한번에 하기

10. 서버 자동 배포 (4) 배포시 서버에서 docker-compose.yml 자동 실행

11. 서버에 vnstat 설치 (docker-compose.yml 이용)

12. 서버에 도커 설치시 network 설정 변경 사항 확인하기

13. nginx + php + mysql + phpmyadmin 설치하기

14. Nginx - Reverse Proxy, Load Balancing 기능 활용

15. 로컬에서 아이피 대신 도메인명 사용하기(hosts 수정)

16. https를 쓰기 위해 로컬에서 SSL 테스트 하기 (with mkcert)

17. 서버에 SSL 적용하기 (docker + Let's Encrypt + wildcard 인증서 + Cloudflare)

18. 와일드카드 인증서 자동 갱신(docker + Let's Encrypt + wildcard 인증서 + crontab)