기본적으로 Let’s Encrypt는 HTTP-01 챌린지를 사용하여 소유권을 확인합니다. HTTP-01 챌린지는 웹 서버의 Webroot에 파일을 저장하고 웹 서버의 DNS 이름을 사용하여 파일을 가져옵니다. 인터넷에서 파일을 가져올 수 있으면 도메인 이름의 권한을 확인하고 SSL 인증서가 발급됩니다. 이는 인터넷 서비스 제공업체(ISP)로부터 공용 IP 주소를 받을 여유가 있는 대부분의 서버와 가정 사용자에게 좋습니다.
하지만 홈 네트워크나 개인/내부 네트워크의 도메인 이름에 대해 Let's Encrypt SSL 인증서를 사용하려면 어떻게 해야 할까요? 글쎄, 대부분의 홈 네트워크에서는 ISP가 공용 IP 주소를 제공하지 않을 가능성이 높기 때문에 Let's Encrypt SSL 인증서를 얻는 것이 어렵습니다. 따라서 인터넷에서 컴퓨터/서버에 접근할 수 없기 때문에 Let's Encrypt HTTP-01 챌린지를 통과할 수 없습니다.
이 경우 Let's Encrypt DNS-01 챌린지를 사용하여 홈/내부 네트워크에 대한 SSL 인증서를 얻을 수 있습니다. 이 방법에서 Let’s Encrypt는 DNS 서버에 '하위 도메인 _acme-challenge.yourdomain.xyz'에 대한 DNS TXT 레코드를 추가하고 인터넷에서 DNS TXT 레코드를 사용할 수 있는지 확인합니다. TXT 레코드가 일치하면 도메인 소유자로 확인되고 Let’s Encrypt에서 SSL 인증서를 발급합니다.
Let's Encrypt DNS-01 챌린지가 작동하고 SSL 인증서를 자동으로 갱신하려면 DNS 서버에서 TXT 레코드를 추가/제거하는 데 사용할 수 있는 API를 공개하는 DNS 서비스 공급자(예: CloudFlare, DigitalOcean)를 사용해야 합니다.
도메인 이름을 등록한 DNS 등록 기관이 해당 서비스를 지원하지 않는 경우 타사 DNS 서비스 공급자를 이용할 수 있습니다. 도메인의 DNS 네임서버 주소를 DNS 등록기관의 DNS 서버에서 원하는 타사 DNS 서비스 제공업체의 DNS 네임서버 주소로 변경하기만 하면 됩니다.
목차 주제:
- Let's Encrypt DNS 검증과 쉽게 통합되는 DNS 공급자 목록
- Let's Encrypt ACME 클라이언트 목록
- 도메인 등록기관에서 DNS 네임서버 변경
- Let's Encrypt DNS-01 검증의 장점
- Let's Encrypt DNS-01 검증의 단점
- 결론
- 참고자료
Let's Encrypt DNS 검증과 쉽게 통합되는 DNS 공급자 목록
Let's Encrypt 커뮤니티는 다음을 편집했습니다. DNS 공급자 목록 이는 Let's Encrypt 클라이언트가 도메인 이름을 확인하고 SSL 인증서를 발급할 수 있도록 DNS 레코드를 자동으로 추가/제거하는 일종의 API를 노출합니다.
Let's Encrypt DNS 검증과 쉽게 통합되는 DNS 공급자 목록은 다음에서 찾을 수 있습니다. 이 링크 .
Let’s Encrypt ACME 클라이언트 목록
Let’s Encrypt 클라이언트는 ACME 클라이언트라고도 합니다. ACME는 자동 인증서 관리 환경을 의미합니다. ACME는 컴퓨터/서버와 인증 기관(예: Let’s Encrypt) 간의 상호 작용을 자동화하기 위한 프로토콜입니다.
가장 인기 있는 Let's Encrypt ACME 클라이언트는 다음과 같습니다.
도메인 등록기관에서 DNS 네임서버 변경
도메인 등록 기관이 Let's Encrypt와 쉽게 통합되는 DNS 공급자 목록에 없으면 CloudFlare 또는 기타 타사 DNS 서비스 공급자를 사용할 수 있습니다. 도메인 등록 기관의 대시보드에서 도메인의 DNS 네임서버를 사용하려는 타사 DNS 서비스 공급자의 DNS 네임서버로 변경하기만 하면 됩니다.
다음 스크린샷에서는 도메인 등록 기관(도메인 이름을 등록한 곳)의 대시보드/웹 사이트에서 도메인 중 하나에 대한 DNS 이름 서버(CloudFlare의 DNS 서버)를 변경하는 프로세스를 보여 주었습니다. 이 프로세스는 도메인 등록기관과 유사해야 합니다. 자세한 내용은 도메인 등록 기관의 설명서를 읽거나 문의하세요.
Let's Encrypt DNS-01 검증의 장점
Let’s Encrypt의 DNS-01 검증의 장점은 다음과 같습니다.
- 공용/인터넷 접속이 가능한 IP 주소나 웹 서버가 필요하지 않습니다.
- 이를 사용하여 와일드카드 도메인 이름(예: *.nodekite.com, *.linuxhint.com)에 대한 SSL 인증서를 발급할 수 있습니다.
- 여러 웹 서버에서 잘 작동합니다.
Let's Encrypt DNS-01 검증의 단점
Let’s Encrypt DNS-01 검증에는 많은 장점이 있지만 몇 가지 단점도 있습니다.
- DNS-01 검증이 작동하려면 Let’s Encrypt 클라이언트가 DNS-01 검증을 위해 DNS 서버에 TXT 레코드를 생성하는 데 사용할 서버에 DNS 서비스 공급자의 API 키/토큰을 유지해야 합니다. API 키/토큰은 서버에 보관되어 있기 때문에 서버가 해킹당할 경우 API 키/토큰이 유출될 가능성이 있습니다.
- Let's Encrypt 클라이언트가 DNS 서버에 TXT 레코드를 추가한 후 변경 사항을 전 세계의 다른 DNS 이름 서버에 전파하는 데 시간이 걸립니다. Let's Encrypt 클라이언트는 도메인 소유권을 확인하기 위해 변경 사항이 전 세계 공통 DNS 이름 서버에 전파될 때까지 기다려야 합니다. DNS 서비스 공급자가 API에서 DNS 전파 시간을 제공하지 않는 경우 Let's Encrypt 클라이언트는 DNS 변경 사항이 전 세계의 다른 이름 서버에 전파될 때까지 기다리는 시간을 알 수 없습니다. 이 경우 DNS 검증 시간이 초과될 수 있으며 Let’s Encrypt가 SSL 인증서 발급에 실패할 수 있습니다.
결론
이 기사에서는 Let's Encrypt DNS-01 챌린지를 논의하고 도메인 이름의 소유권을 확인하기 위해 기본 HTTP-01 챌린지 대신 이를 사용하는 이유에 대해 설명했습니다. 또한 Let’s Encrypt SSL 인증서를 얻기 위해 Let’s Encrypt DNS-01 챌린지를 통과하기 위한 요구 사항에 대해서도 논의했습니다. Let's Encrypt와 잘 통합되는 DNS 서비스 공급자는 물론 컴퓨터/서버에서 DNS 검증을 수행하는 데 사용할 수 있는 Let's Encrypt ACME 클라이언트도 나열되어 있습니다. 마지막으로 Let’s Encrypt DNS 검증의 장점과 단점에 대해 논의했습니다.