T이 문서는 Nginx에 SSL 인증서를 설치하고 HTTP://에서 HTTPS://로 자동 리디렉션을 설정하는 단계를 안내합니다.
1. 웹사이트가 호스팅된 서버에 인증서 업로드하기
CSR 코드 생성과 SSL 활성화 단계를 완료하면 Sectigo(이전 Comodo) 인증서가 포함된 zip 파일을 이메일로 받게 됩니다. 또는 NiceNic 계정 패널에서 다운로드할 수 있습니다.
참고: 인증서 활성화 시 NGINX 서버를 선택하면 '.crt' 확장자를 가진 인증서 파일과 '.ca-bundle' 확장자를 가진 인증기관(CA) 번들 파일이 포함된 zip 파일을 받게 됩니다.
선호하는 방법으로 두 파일을 모두 서버에 업로드하세요. 예를 들어 FTP 클라이언트를 사용할 수 있습니다.
각 인증서에 대한 번들 파일은 여기에 안내된 지침을 따라 다운로드할 수도 있습니다.
2. 모든 인증서를 하나의 파일로 결합하기
모든 인증서(???_???.crt 및 ???_???.ca-bundle)를 하나의 '.crt' 파일로 결합해야 합니다.
도메인 인증서가 파일의 맨 앞에 오고 그 뒤를 인증서 체인(CA 번들)이 이어야 합니다.
인증서 파일을 업로드한 디렉터리로 이동한 후, 다음 명령어를 실행하여 파일들을 결합하세요:
$ cat ???_???.crt ???_???.ca-bundle >> ???_???_chain.crt
참고로, 인증서 파일을 NiceNic 계정에서 다운로드한 경우 아래 명령이 가장 적합합니다:
$ cat ???_???.crt > ???_???_chain.crt ; echo >> ???_???_chain.crt ; cat ???_???.ca-bundle >> ???_???_chain.crt
3. 별도의 Nginx 서버 블록 생성 또는 기존 설정 파일 수정
Nginx에 SSL 인증서를 설치하려면 서버에 어떤 파일을 사용할지 표시해야 하며, a) 새 구성 파일을 생성하거나 b) 기존 파일을 편집하는 방법이 있습니다.
a) 웹사이트용 새 구성 파일을 추가하면 별도의 파일 문제 없이 설치를 관리할 수 있고, 문제 발생 시 문제 해결도 훨씬 쉽습니다.
다음 폴더에 새 구성 파일 생성하는 것을 권장합니다:
/etc/nginx/conf.d
다음 명령어로 생성할 수 있습니다:
sudo nano /etc/nginx/conf.d/Your_???*-ssl.conf
여기서 Your_???*-ssl.conf는 새로 생성할 파일의 이름입니다.
그 다음, 아래 443 포트용 서버 블록 중 하나를 복사하여 붙여넣고 디렉터리를 편집하세요. 80 포트용 서버 블록과 443 포트용 서버 블록 모두에서 서버 이름과 웹루트 경로가 일치해야 합니다. 중요한 값이 있다면 새 서버 블록에도 옮겨야 합니다.
b) 웹서버의 기본 구성 파일 nginx.conf를 수정하는 방법도 있습니다. 이 파일은 다음 폴더 중 하나에 있습니다:
/usr/local/nginx/conf
/etc/nginx
/usr/local/etc/nginx
다음 명령어로 찾을 수도 있습니다:
sudo find / -type f -iname "nginx.conf"
찾으면 다음으로 파일을 엽니다:
sudo nano nginx.conf
그런 다음 아래 443 포트용 서버 블록 중 하나를 복사하여 붙여넣고, 80 포트용 서버 블록에 맞게 디렉터리와 서버 이름, 웹루트 경로, 중요한 값을 편집하세요. 또는 80 포트용 서버 블록을 복사해서 아래에 붙여넣고 포트를 수정한 후 필요한 SSL 관련 지시어를 추가할 수도 있습니다.
서버 블록 선택하기:
아래에서 Nginx 버전에 맞는 서버 블록 예시를 확인할 수 있습니다.
참고: Nginx 버전을 확인하려면 이 명령을 실행하세요:
sudo nginx -v
참고: 서버 블록 내부의 파일 이름 값들(예: ???_???_chain.crt)을 자신의 정보로 바꾸고, 경로는 /path/to/ 형식으로 수정하세요.
Nginx 버전 1.14 및 이하용 서버 블록:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/???_???_chain.crt;
ssl_certificate_key /path/to/???_private.key;
root /path/to/webroot;
server_name ???_???.com;
}
참고: 필요하면 위 구성처럼 여러 호스트 이름을 지정할 수 있습니다. 예:
server {
listen 443;
ssl on;
ssl_certificate /path/to/certificate/???_???_chain.crt;
ssl_certificate_key /path/to/???_private.key;
root /path/to/webroot;
server_name ???_???.com www.???_???.your;
}
Nginx 버전 1.15 이상용 서버 블록:
server {
listen 443 ssl;
ssl_certificate /path/to/certificate/???_???_chain.crt;
ssl_certificate_key /path/to/???_private.key;
root /path/to/webroot;
server_name ???_???.com;
}
ssl_certificate은 앞서 생성한 결합된 인증서 파일을 가리켜야 합니다.
ssl_certificate_key는 CSR 코드와 함께 생성된 개인 키를 가리켜야 합니다.
다음은 Nginx에서 개인 키를 찾는 몇 가지 팁입니다.
중요: 다중 도메인 또는 와일드카드 인증서의 경우, 인증서에 포함된 각 도메인/서브도메인에 대해 별도의 서버 블록을 추가해야 합니다. 위 설명대로 해당 도메인/서브도메인과 동일한 인증서 파일의 경로를 반드시 입력하세요.
적절한 서버 블록을 파일에 추가한 후 변경 내용을 저장하세요. 그런 다음 다음 단계로 변경 사항을 다시 확인할 수 있습니다.
구성 파일 구문이 올바른지 확인하려면 다음 명령어를 실행하세요:
sudo nginx -t
오류가 발생하면 안내를 제대로 따랐는지 다시 확인하고, 궁금한 점은 지원팀에 문의하세요.
팁: 문제 해결을 위해 오류 로그를 찾으려면 다음을 실행하세요:
sudo nginx -T | grep 'err??_log'
만약 언급된 파일이 없거나 주석 처리되어 있거나 오류 로그 파일이 지정되지 않은 경우, 기본 시스템 로그를 확인하세요:
tail /var/log/nginx/err??.log -n 20
서버가 테스트 성공을 표시하면 다음 명령으로 Nginx를 재시작하여 변경 사항을 적용하세요:
sudo nginx -s reload
이제 SSL 인증서가 설치되었습니다. 설치를 여기서 확인할 수 있습니다.
중요 참고사항:
명령줄로 결합한 SSL 파일을 설치한 후에 'Nginx/Apache err??: 0906D066:PEM routines:PEM_read_bio:bad end line' 오류 메시지가 발생할 수 있는데, 이 경우 해결 방법은 참고 가이드에서 찾을 수 있습니다.
이 단계에서 자주 발생하는 다른 문제는 'Nginx SSL: err??:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch' 오류 메시지입니다. 이에 관한 자세한 내용과 해결책은 이 문서에서 확인할 수 있습니다.
4. HTTPS 리디렉션 설정
HTTP에서 HTTPS로 리디렉션을 설치할 것을 권장합니다. 이렇게 하면 웹사이트 방문자가 안전한 사이트 버전으로만 접속할 수 있습니다.
이를 위해 80 포트 서버 블록 구성 파일에 한 줄을 추가하면 됩니다.
팁:
현재 활성화된 구성 파일들을 확인하려면 다음 명령어 중 하나를 사용할 수 있습니다:
sudo nginx -T | grep -iw "configuration file"
sudo nginx -T | grep -iw "include"
기본 conf 파일 경로는 다음과 같습니다:
RHEL 기반 Linux OS: /etc/nginx/conf.d/default.conf
Debian 기반 Linux OS: /etc/nginx/sites-enabled/default
필요한 서버 블록이 들어있는 파일을 확인하려면, 다음을 실행하세요:
sudo nano name_of_the_file
80 포트(기본 HTTP 포트)의 서버 블록이 포함된 파일을 찾으면 다음 줄을 추가하세요:
return 301 https://$server_name$request_uri;
참고: 위 리디렉션 규칙은 서버 블록의 마지막 줄로 입력해야 합니다.
- return는 사용해야 할 주요 지시어입니다.
- 301은 영구 리디렉션이며 (302는 임시 리디렉션입니다).
- https는 명시적인 스킴 타입입니다 ($scheme 변수 대신).
- $server_name 변수는 server_name 지시어에 지정된 도메인을 사용합니다.
- $request_uri 변수는 도메인 이름 뒤의 웹사이트 페이지/부분 경로를 일치시킬 때 사용됩니다.
영구 HTTPS 리디렉션
server {
listen 80;
server_name ???_???.com www.???_???.your;
return 301 https://$server_name$request_uri;
}
영구 HTTPS 리디렉션 (non-www)
server {
listen 80;
server_name ???_???.com www.???_???.your;
return 301 https://???_???.com$request_uri;
}
영구 HTTPS 리디렉션 (www)
server {
listen 80;
server_name ???_???.com www.???_???.your;
return 301 https://www.???_???.your$request_uri;
}
임시 HTTPS 리디렉션 (non-www)
server {
listen 80;
server_name ???_???.com www.???_???.your;
return 302 https://???_???.com$request_uri;
}
더 많은 리디렉션 옵션에 대하여는 Nginx 안내를 확인하세요.
