초간단 Let's Encrypt 무료 인증서 발급(도메인 레코드 인증 방식)

작업 환경은 다음과 같다.

OS: RHEL9

사용도메인: it.ohdi.co.kr

도메인은 가비아에서 발급 받았다.

공식 문서

https://eff-certbot.readthedocs.io/en/latest/using.html

 

Let's Encrypt 무료 인증서 발급 방법

패키지 설치

yum update
yum install
# EPEL 패키지 설치(이거 안해주면 yum insatll letsencrypt가 안됨)
yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm

yum install -y letsencrypt

 

인증서 발급

apache나 nginx는 자동으로 인증서 갱신도 할 수 있다는데 나는 저런 유명한 서비스를 사용하는 것이아니라서 수동으로 인증서를 발급해줄거다.

중간에 도메인 레코드를 등록하는 과정이 있는데 내가 이 도메인을 소유하고 있다는 것을 인증하기 위한 단계이다.

인증이 완료되면 등록했던 레코드는 삭제해도된다.

certbot certonly --manual --preferred-challenges dns -d it.ohdi.co.kr

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): it.ohdi@example.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.4-April-3-2024.pdf. You must agree in
order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.
Requesting a certificate for it.ohdi.co.kr

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name:

_acme-challenge.it.ohdi.co.kr.

with the following value:

Yo2slK2CZYNAFTMvxnOMtMJ0LDkvJdDJVVxxxyyyzzz

Before continuing, verify the TXT record has been deployed. Depending on the DNS
provider, this may take some time, from a few seconds to multiple minutes. You can
check if it has finished deploying with aid of online tools, such as the Google
Admin Toolbox: https://toolbox.googleapps.com/apps/dig/#TXT/_acme-challenge.it.ohdi.co.kr.
Look for one or more bolded line(s) below the line ';ANSWER'. It should show the
value(s) you've just added.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

위 반환 값을 읽어보면 TXT로 아래와 같이 Record를 등록하라고한다.

_acme-challenge.it.ohdi.co.kr.     Yo2slK2CZYNAFTMvxnOMtMJ0LDkvJdDJVVxxxyyyzzz

 

가비아에 로그인 후 DNS Record를 등록해준다.

My가비아 클릭

도메인 클릭

관리 클릭

DNS 레코드 설정 클릭

설정 클릭

레코드 수정

레코드 추가 > TXT > _acm-challenge.it 입력 > 대상 IP 입력 > 확인 > 저장 클릭

 

DNS 레코드 등록이 완료되었으면 엔터를 쳐준다.

Successfully를 확인하고 인증서 경로를 확인한다.

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/it.ohdi.co.kr/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/it.ohdi.co.kr/privkey.pem
This certificate expires on 2025-03-12.
These files will be updated when the certificate renews.

NEXT STEPS:
- This certificate will not be renewed automatically. Autorenewal of --manual certificates requires the use of an authentication hook script (--manual-auth-hook) but one was not provided. To renew this certificate, repeat this same certbot command before the certificate's expiry date.

인증서 경로에 있는 파일들을 사용하면된다.

# /etc/letsencrypt/live/it.ohdi.co.kr 하위에 있다던 인증서는 사실 archive에 있음
cd /etc/letsencrypt/archive/it.ohdi.co.kr
ls
cert1.pem  chain1.pem  fullchain1.pem  privkey1.pem