OPNsense 설정기 2. SSL 인증서 관리

- 서론 -

앞선 글에서는 HA-Proxy를 사용해서 Reverse Proxy 서버를 구축하는 방법을 보았다.

근데 Reverse Proxy를 하면 빼놓을 수 없는 것 중 하나가 HTTPS 서버를 위한 SSL 인증서 관리이다.

이번 글에서는 ACME Client를 통한 Let's Encrypt SSL 인증서 발급 및 자동갱신 방법 및 별도로 발급 받은 SSL 인증서의 등록 방법을 알아볼 것이다.

 

- ACME Client를 통한 SSL 관리 - 

 

1. System - Firmware - Plugins에 들어가서 os-acme-client를 검색하여 설치하도록 하자.

 

 

2. Services - ACME Client - Settings로 들어가서 Enable Plugin을 체크해주고 Auto Renewal도 체크해주도록 하자.

HAProxy Integration의 경우, HA-Proxy에서 사용하고자 하는 모든 SSL 인증서가 ACME Client를 통해 발급받았다면 문제가 없지만 가비아 등에서 따로 발급 받은 인증서랑 혼용해서 사용하고자 할 때에는 문제가 생겼다.

 

 

3. Services - ACME Client - Accounts - Accounts에 들어가서 새로운 계정을 하나 등록해주도록 한다. 이 때 ACME CA는 Let's Encrypt를 사용해보도록 하자.

 

 

4. Services - ACME Client - Challenge Types - Challenge Types에서 새로운 Challenge Type을 생성하도록 한다.

이 때, Challenge Type은 DNS-01, HTTP-01, TLS-ALPN-01 중 본인에게 맞는 걸 정독해보고 골라보도록 하자. Interface는 WAN으로 선택하고 IP Addresses에는 해당 WAN 포트에 할당된 공인 IP를 지정해야한다.

 

 

5. Services - ACME Client - Automations - Automations에서 새로운 Automation을 등록한다. 설정은 위와 같이 하면 되고, 이걸 활성화하면 SSL 인증서가 갱신될 때마다 자동으로 HA-Proxy도 재시작해서 변경 사항을 적용해준다.

 

 

6. Services - ACME Client - Certificates - Certificates에서 새로운 인증서를 하나 발급받도록 한다. Common Name에는 host name 등을 적어주도록 하고 ACME Account는 앞서 만든 Account, Challenge Type도 앞서 생성한 Challenge Type을 골라주도록 하자. Automations에는 Restart HAProxy를 선택해야 갱신될 때마다 자동 적용된다.

 

 

7. 생성 후에는 위와 같이 나올텐데, 여기서 Commands에 있는 버튼들을 통하여 발급, 갱신, 삭제 등을 할 수 있다. 성공적으로 발급된다면 Last ACME Status에 OK가 찍힌다.

 

- 직접 SSL 인증서를 등록하는 방법 -

OPNsense에서 관리하는 모든 인증서들은 System - Trust - Certificates에 들어가면 확인할 수 있다.

ACME Client로 발급받은 인증서들 뿐만아니라 OpenVPN, Self-Signed 인증서 등 OPNsense에서 발급된 인증서들도 확인이 가능하고 본인이 직접 올린 경우엔 external issuer로 올라가있는 것을 볼 수 있다.

 

상단에 add를 누르고 Import an existing Certificate을 고르면 직접 인증서를 등록할 수 있다.