구차니의 잡동사니 모음

이게.. chain 인가?

Acmecert_+O=(STAGING)+Let's+Encrypt,+CN=(STAGING)+Artificial+Apricot+R3,+C=US.crt

letscrypt.crt

letscrypt.key

letscrypt.p12

crt랑 pem이랑 먼지도 모르겠고

X509는 또 머냐.. -_ㅠ

[링크 : https://freesunny.tistory.com/37]

[링크 : https://docs.netgate.com/pfsense/en/latest/certificates/certificate.html#export-a-certificate]

certbot 받아서 실행하고

받아진 인증서 파일들을 conf  파일에 적용하면 된다.

설정 파일중 아래 항목에서 SSLCertificate 로 시작하는 녀석들을 추가하면 된댄다

[링크 : https://aury524.tistory.com/17]

개별 파일들은 아래의 기능을 하는 파일을 연결한다고.

public key만 쓰는줄 알았는데.. KeyFile은 private key 였구나..

[링크 : https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile]

일단 무료 사용자로 가입을 했는데, 1년 동안 먼가 열시히 써봐야 할 듯(?)

약정에 따라 1년 까지만 제공하는게 있다고 하니 막 굴려봐야지 머..

+

가입하고 EC2 이런게 어떤 서비스(lambda 이런건 아니것 같아서) 인가 궁금해서

인스턴스 생성하려는데 t2.micro만 프리 티어에서 사용이 가능하다고 한다

1vCPU 1GiB 라.. 좀 쪼잔한데?

네트워크는 좀 더 봐야할 것 같고.. 스토리지는 최대 30GB EBS(Elastic Block Store)로 제공

[링크 : https://aws.amazon.com/ko/ebs/]

눌러보니 t2.nano 가 t2.micro 보다 작은애인데 왜 얘는 프리티어 사용이 불가능하지 -ㅁ-?

T3는 T2 보다 30% 성능이 좋고 AVX-512를 지원한다는데, 대충찾아보니 스카이레이크 이후부터 지원하는 듯.

즉.. T2는 그렇다면.. 하스웰 혹은 아이비브릿지 정도 일려나?

[링크 : https://aws.amazon.com/ko/ec2/instance-types/t2/]

해당 헤더가 들어가지 않기 때문에 비활성화가 기본값인데

그걸 모르고 비활성화로 찾으니 죄다 활성화 설정만 나왔다.. -_-

그 와중에 a2enmod를 이용하여 headers 모듈을 추가하지도 않아서 삽질

Headers 라고 오타내서 또 삽질.. -_-

[링크 : https://tecadmin.net/enable-hsts-in-apache/]

HSTS 비활성화	HSTS 활성화

self-signed로 해서 별 의미는 없지만..

도대체 크롬에서는 멀 보고 HSTS를 쓴다고 하는걸까?

어? vm 스토리지 어디 도망갔어?

어 1TB 짜리 sdb 어딨어?!

헐.. SATA link down -_-

SSD가 망가졌나?

---

콘솔에서 shutdown 하고 다시 켜니 정상적으로 올라오긴 했는데, SMART도 정상인데 도대체 머였을까?

아래와 같이 Last renewed가 날짜가 안 찍히면 정상적으로 발급된게 아니다.

아래처럼 날짜가 먼가 그럴싸하게 찍혀야 된다.

System / Certificate에 가면 Authroties에 추가된다.

그나저나 웹 인증서로 이걸 쓰게 하려면 어떻게 해야하지?

관리자 웹은 여전히 pfSense GUI default Self-Signed Certificate로 나온다. 

System / Advanced / Admin / webConfigurator에 SSL/TLS Certificates에서 바꾸어 주면된다.

[링크 : https://scbyun.com/entry/VPN-pfSense를-사용하여-Let’s-Encrypt-SSL-인증서-설치]

일단은.. 내부에서 https (443) 을 포트포워딩으로 8006으로 돌리고 있었는데

80->80

443->443 으로 돌려줘야 acme를 통해 받아올수 있다.

아니면.. 시스템 웹 포트를 443이 아닌 다른걸로 설정하면 되려나?

외부 인증서 넣기

System-Certificate

[링크 : https://jeunna.tistory.com/135]

일단은 DNS는 복잡하니 패스하고 HTTP 부터 만들기 테스트

[링크 : https://twoicefish-secu.tistory.com/547]

Step 1.

Datacenter에서 ACME

Add Account

ACME Directory 에서 Staging은 테스트용

Step 2. 

Node 에서 System - Certificates 선택

ACME 에서 Add

Domain은 HTTP 챌린지 하면 서브 도메인 포함해서 만들어야 한다.

Using Account 에서 staging 으로 연결한 계정을 선택하고 Apply

Order Certificates Now 누르면 약간의 시간이 걸려서 발급된다.

그런데 테스트 서버꺼라 몇번을 해도 문제 없긴한데 본서버(?)는 한번 신청하면 한동안 응답이 없는것으로 알고 있으니

방화벽 이나 port forwarding (80번)은 확실히 확인하는 것이 좋다.

인증서가 발급되면 재기동 된다.

아래처럼 (STAGING) 이라고 박혀있다 ㅋㅋ

+

계정만 staging이 아니라 일반것으로 교체하고 

Order Certificates Now 누르니 바로 된다.

이걸 어떻게 export 해서 다른데서 쓸 수 있게 하지?

몰라서 대충 해보는데

Domain SAN list(SAN이 머지?) 에서 method가 Webroot local folder가 기본값인데

Multi-Domain(SAN : Subject Alternative Names) 의 약자라고

[링크 : https://www.digicert.com/faq/public-trust-and-certificates/what-is-a-multi-domain-san-certificate]

Domainname 항목에 *. 으로 들어있을 경우 DNS based method를 선택하라고 에러가 뜬다.

그래서 Method에 DNS-Manual 등으로 해주면 어찌 넘어는 가는것 같은데..

어떻게 해야 발급받을수 있으려나?

[링크 : https://docs.netgate.com/pfsense/en/latest/packages/acme/wildcard.html]

DNS-Manual 이게.. 수작업으로 한다는 Manual인가?

[링크 : https://www.youtube.com/watch?v=Lu717Y-H0zw]

ACME 패키지를 설치하고 셋팅하면 된다고

+

2024.04.02

Package 중에 acem 검색해서 설치. LetsEncrypt certifiaces 라고 설명에 써있다.

Services 에 Acme Certificates가 추가된다.

ACME server에 let's encrypt 외에도 먼가 많이 있다.

[링크 : https://docs.netgate.com/pfsense/en/latest/packages/acme/index.html]