Apache 리버스 프록시 SSL 셋팅하기
Apache2 Reverse Proxy Setting
- Setting Environment
- Ubuntu Server 18.04.1 LTS
- Apache2 2.4.29
Reverse Proxy
- 리버스 프록시는 외부 네트워크에서 접속 요청이 들어왔을 때, 해당 요청을 내부 서버로 전달하는 중계기 역할을 담당합니다.
- 실제 운영중인 서버가 외부에 직접 노출되지 않고 Private Network에서 동작하기 때문에 보안이 향상되며, 프록시 서버에 인증 기능을 갖추는 경우도 있습니다.
- 로드 밸런싱의 역할을 담당함으로서, URL에 따라 서버를 분기하며, 정적 콘텐츠를 캐싱하여 웹서버에 부하를 줄이는 역할을 담당합니다.
Software
Squid
Apache
Lighttpd
Varnish Cache
Nginx
Install Server
위와 같이 다양한 오픈소스 소프트웨어를 통해서 리버시 프록시 기능을 구현할 수 있으며, 본 연구실에서는 Apache를 활용하여 구성을 진행하도록 하겠습니다.
설치환경은 ESXi 6.5 기반에 Ubuntu Server 18.04.1 LTS Version을 사용하였습니다.
- 우분투 서버 버전은 다음 링크에서 받을 수 있습니다.
설치가 완료되면 SSH를 통해 서버에 접속하고 다음과 같이 기본 환경 설정을 진행합니다.
$ sudo apt update && sudo apt upgrade -y $ sudo apt install nmap git nload build-essential -y $ sudo dpkg-reconfigure tzdata Asia/Seoul $ sudo reboot
다음 명령을 실행하여 Apache를 설치하고 리버시 프록시 사용을 위한 설정을 진행합니다.
$ sudo apt install apache2 -y $ nmap localhost Starting Nmap 7.60 ( https://nmap.org ) at 2018-10-04 16:27 KST Nmap scan report for localhost (127.0.0.1) Host is up (0.00011s latency). Other addresses for localhost (not scanned): ::1 rDNS record for 127.0.0.1: localhost.localdomain Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # SSL 미설정시 보이지 않을 수 있음. $ sudo systemctl status apache2 ● apache2.service - The Apache HTTP Server Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled) Drop-In: /lib/systemd/system/apache2.service.d └─apache2-systemd.conf Active: active (running) since Thu 2018-10-04 06:09:55 KST; 10h ago Process: 5396 ExecStop=/usr/sbin/apachectl stop (code=exited, status=0/SUCCESS) Process: 6370 ExecReload=/usr/sbin/apachectl graceful (code=exited, status=0/SUCCESS) Process: 5401 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS) Main PID: 5417 (apache2) Tasks: 55 (limit: 4915) CGroup: /system.slice/apache2.service ├─5417 /usr/sbin/apache2 -k start ├─7428 /usr/sbin/apache2 -k start └─7429 /usr/sbin/apache2 -k start
웹 브라우저로 접속시 다음과 같은 화면이 뜨면 정상적으로 설치된 것입니다.
다음은 Apache에서 Reverse Proxy 설정을 위한 모듈을 활성화 합니다.
$ sudo a2enmod proxy proxy_http proxy_balancer lbmethod_byrequests rewrite deflate headers proxy_balancer proxy_connect proxy_html proxy_wstunnel proxy_balancer lbmethod_byrequests $ sudo systemctl restart apache2
Let's Encrypt - Free SSL/TLS Certificates
SSL 인증서를 설정하기 위하여 무료 SSL/TLS Certificates 서비스인 Let's Encrypt으로 인증서를 받아보겠습니다.
서버에는 반드시 도메인 주소가 등록되어 있어야 합니다.
- freenom
- gandi
- cloudflare
certbot을 다음과 같이 설치합니다.
$ sudo apt update $ sudo apt install software-properties-common $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt update && sudo apt upgrade -y $ sudo apt-get install python-certbot-apache -y
와일드카드로 서브도메인을 동록하기 위해서는 다음과 같이 입력합니다.
$ sudo certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory
연구실에서 사용하는 gandi 도메인의 경우 와일드카드를 아직 지원하지 않기 때문에 서브 도메인을 직접 등록합니다.
sudo certbot --apache -d example.com -d www.example.com
- 짧은 시간 반복적으로 키를 발급받을 경우 일시적으로 키 발급이 중지됩니다.
- https://www.sslshopper.com/ssl-checker.html
- 위의 사이트에서 발급받은 도메인에 SSL 인증서가 정상적으로 등록되었는지 확인합니다.
Reverse Proxy Setting
디렉토리를 이동하여 리버스 프록시 셋팅을 진행합니다.
$ cd /etc/apache2/sites-available/ $ sudo vi 000-default.conf
<VirtualHost *:80> ServerName example.com ServerAlias www.example.com ServerAdmin contact@example.com RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} ErrorLog ${APACHE_LOG_DIR}/example-error.log CustomLog ${APACHE_LOG_DIR}/example-access.log combined </VirtualHost> <VirtualHost *:443> ServerName example.com ServerAlias www.example.com ServerAdmin contact@example.com ProxyRequests Off SSLProxyEngine on ProxyPreserveHost On AllowEncodedSlashes NoDecode <Proxy *> Order deny,allow Allow from all </proxy> SSLEngine on SSLProxyVerify none SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyCheckPeerExpire off SSLCertificateFile "/etc/letsencrypt/live/example.com/cert.pem" SSLCertificateKeyFile "/etc/letsencrypt/live/example.com/privkey.pem" SSLCertificateChainFile "/etc/letsencrypt/live/example.com/chain.pem" ProxyPass / http://127.0.0.1:8100/ nocanon ProxyPassReverse / http://127.0.0.1:8100/ RequestHeader set X-Forwarded-Proto "https" RequestHeader set X-Forwarded-Port "443" ErrorLog ${APACHE_LOG_DIR}/example-error.log CustomLog ${APACHE_LOG_DIR}/example-access.log combined </VirtualHost>
파일을 수정한 다음에는 Apache에 해당 파일을 등록하는 절차를 진행해야 합니다.
$ sudo a2ensite 000-default.conf & sudo systemctl restart apache2
다른 서브 도메인에 대해서도 위와 같은 방법으로 conf 파일을 생성하고 저장합니다.
Certbot 인증서를 삭제하고자 할 때는 다음과 같이 입력한다.
$ sudo certbot delete --cert-name example.com
troubleshooting
시스템 재시작시 오류가 발생한 경우 해당 로그를 확인하여 오타나 해당 모듈을 활성화 했는지 확인합니다.
에러로그 파일은 다음에서 볼 수 있습니다.
$ cd /var/log/apache2/ $ cat error.log