SSL 인증서를 구매하기 위해서는 CSR 을 생성해야 한다.
파일명은 최근 설정한 환경을 기준으로 작성했다.
# 랜덤키 생성 $ openssl md5 * > www.kbumac.or.kr.key # 개인키 생성 $ openssl genrsa -rand www.kbumac.or.kr.key -out 2048 www.kbumac.or.kr.pem # CSR 생성 $ openssl req -new -key www.kbumac.or.kr.pem > www.kbumac.or.kr.csr
※ 생성한 CSR은 갱신 시 재사용할 수 있다.
생성한 CSR 파일로 SSL 인증서를 신청하면 발행기관(업체)로부터 인증서 파일을 전달 받는데 해당 파일을 압축을 풀면 다음과 같은 파일들이 있다.
- Chain_RootCA_Bundle.crt
- ChainCA1.crt
- ChainCA2.crt
- RootCA.crt
- www_kbumac_co_kr_cert.pem
해당 파일 중 2개의 파일을 병합하여 nginx에 설정해야 한다.
$ cat www_kbumac_co_kr.cert_pem Chain_RootCA_Bundle.crt > www.kbumac.or.kr.pem
해당 파일을 nginx.conf 파일에 설정하고 서비스를 재시작 시킨다.
ssl_certificate "/etc/nginx/certs/www.kbumac.or.kr.pem"; ssl_certificate_key "/etc/nginx/certs/www.kbumac.or.kr.key";
SSL 인증서를 갱신할 경우 기존 파일을 백업한 후 파일만 교체하고 서비스를 재시작 시키면 교체된다.
