🏠

ft_server

Created

2021/06/01

tag

42서울

42Seoul

ft_server

Docker

SSL

Nginx

phpMyAdmin

MySQL

WordPress

1. 서버의 Private Key 생성

2. 서버의 Public Key 생성

3. 서버의 CSR 생성

4. Self-Signed Root CA의 Private Key 생성

5. Self-Signed Root CA의 SSL Certificate

6. 서버의 SSL Certificate 생성

3. WordPress & MySQL & phpMyAdmin

2) Nginx 설치 및 설정 파일 디렉토리 구조

1. Container 생성

2. apt-get 설치 및 nginx 설치

3. nginx의 경로 및 nginx.conf의 경로

4. Nginx 설정 파일 디렉토리 구조

1. Docker

Docker에 대한 내용 정리는 크게 5개로 나누어 정리해두었다. 아래 링크를 참고하자.

Docker란?

Subjects

https://bigpel66.oopy.io/library/container/docker/1

Docker: Image & Container

Subjects

https://bigpel66.oopy.io/library/container/docker/2

Docker: Volume & Network

Subjects

https://bigpel66.oopy.io/library/container/docker/3

Docker: Storage Driver

Subject

https://bigpel66.oopy.io/library/container/docker/4

Dockerfile

Subjects

https://bigpel66.oopy.io/library/container/docker/5

2. SSL

1) HTTP & HTTPS

서버를 구성한다는 것은 특정 서비스를 제공한다는 것이고 이를 클라이언트가 이용할 수 있도록 만들어야 하는데, 단순히 서비스를 이용할 수 있도록 만드는 것만 중요한 것이 아니다. 클라이언트와 서버가 통신하면서 주고 받는 정보들에 대해서도 유출이 되지 않도록 해야하고 혹은 유출이 되더라도 그 정보가 무의미하도록 만드는 것이 필요하다. 이를 가능하게 해주는 것이 SSL (Secure Sockets Layer)이다.

SSL에 대해 알아보기 전에 HTTPS부터 간략하게 알아보자. HTTPS는 HTTP의 강화된 보안을 가진 버전으로 HTTP over SSL의 약어이다. HTTPS가 강화된 보안을 갖는 이유는 통신을 위해 주고 받는 데이터들을 암호화하여 전달하기 때문이다.

기존의 HTTP로 데이터를 주고 받게 되면, 위 그림과 같이 데이터를 암호화 없이 이용하기 때문에 중간 공격자가 데이터를 취득했을 때 이를 그대로 이용할 수 있는 위험이 있다. 중간 공격자가 데이터를 취득하는 행동을 지칭하는 말은 여럿 있지만, Eavesdropping라고도 부른다.

하지만 HTTPS의 경우에는 데이터를 송신할 때 암호화 하여 송신하고, 수신 시에는 이를 복호화하여 이용하기 때문에 HTTP에 비해서 보안성이 높은 것이다. 이를 수행해주는 것이 SSL이다. SSL에서는 데이터의 송신과 수신을 진행할 때 암호화와 복호화는 대칭키를 이용한다. 대칭 키의 대표적인 예는 AES가 있다. 대칭 키라는 것은 암호화와 복호화를 진행할 때의 Key 값이 동일하다는 것을 의미한다. 암호화와 복호화를 진행할 수 있는 Key는 대칭 키와 비대칭 키로 나뉘는데, SSL에서 데이터를 송신 및 수신을 할 때 비대칭 키를 이용하지 않고 대칭 키를 이용하는 이유는 비대칭 키의 연산 소모량이 크기 때문이다.

2) 대칭 키 & 비대칭 키

대칭 키의 연산 소모량이 크지 않은 이유는 선형 연산을 기반으로 만들어졌기 때문이다. 선형 연산은 연산이 가볍다는 장점이 있지만, 그만큼 규칙을 찾아내기 쉽다는 단점이 있다. 따라서 대칭 키를 생성할 때 사용되는 선형 연산은 기본적인 선형 연산의 특징 위에 평문과 암호문의 상관 관계를 최대한 숨길 수 있는 혼돈, 평문과 암호문을 통계적 특성으로 해독할 수 없도록 만드는 확산을 갖도록 구현되어 있다. 반면에 비대칭 키는 소수를 이용한 인수분해의 어려움에 근거하고 있어 해독하는데 굉장히 오랜 시간이 걸리지만, 연산 소모량이 높은 편이다. 많은 횟수의 데이터 송신 및 수신이 일어난다면 이는 대칭 키가 더 적합하다는 것을 알 수 있다.

클라이언트와 서버가 데이터 전송은 양방향을 띄고 있으므로 클라이언트에서 서버로, 서버에서 클라이언트로의 데이터 송신 및 수신에 모두 암호화와 복호화가 가능해야 한다는 것을 의미하고, 따라서 서버 뿐만 아니라 클라이언트도 대칭 키를 갖고 있어야 한다. 하지만 클라이언트와 서버가 실제 사람 간의 물물교환처럼 물리적으로 대칭 키를 주고 받을 수 있는 것도 아니고, 민감한 정보의 노출을 방지하기 위해 암호화를 하는 것인데 대칭 키처럼 민감한 정보를 그대로 통신으로 보내게 되면 Secure라는 의미가 무색해진다. 대칭 키를 그대로 내보내서 중간 공격자가 이를 취득하게 되면, 클라이언트가 암호화하여 보낸 데이터를 그대로 해독할 수 있기 때문이다. 따라서 SSL을 이용한 통신을 위해선 데이터의 암호화와 복호화에만 대칭 키를 이용하고, 대칭 키의 전달을 위해 비대칭 키를 이용하게 된다.

어떠한 특성 때문에 대칭 키를 비대칭 키로 암호화 하는 것이고, 이렇게 암호화 된 대칭 키를 클라이언트는 어떻게 복호화를 할 수 있는 것인지 알아보자. 기본적으로 비대칭 키는 소수를 이용한 인수분해의 어려움에 근거하고 있다고 했다. 이는

A \times B

가

C

라는 계산을 쉽게할 수 있지만,

C

를 이루는 수가 정확히

A

와

B

라는 것을 찾아내기 어렵다는 것을 의미한다. 이 때의

A

와

B

가 엄청 거대한 어떤 수

C

를 구성하는 엄청 거대한 2개의 소수가 되고 각각이 비대칭 키에서 사용하는 Public Key와 Private Key가 된다.

비대칭 키를 구성하는 Public Key와 Private Key의 특성을 간단히 짚고가면, Public Key로 암호화한 데이터는 Private Key로 복호화하는 것이 가능하고, 그 반대로 Private Key로 암호화한 데이터를 Public Key로 암호화 하는 것이 가능하다. 또한 Public Key의 이름에서 유추할 수 있듯이 Public Key는 외부에 노출되어도 괜찮기 때문에, 일반적으로는 이를 외부에 노출하여 클라이언트가 사용할 수 있도록 한다. 반면에 Private Key의 경우에는 절대로 외부에 노출되지 않도록 사용한다. 두 개의 Key가 모두 외부에 노출되면 암호화와 복호화의 의미가 없어지므로 오로지 Public Key만 외부에 공개한다는 점을 유의해야 한다.

이와 같은 특성들을 근거로 데이터 송신과 수신에 요구되는 대칭 키는 비대칭 키로 암호화 하여 전달하게 된다.

위에서 대칭 키를 전달한다고 표현했지만, 실제로 비대칭 키는 대칭 키를 생성하는데 사용되는 값을 전달하는데 사용된다. 이에 대한 내용은 SSL HandShake에서 자세히 다룬다.

3) SSL Certificate

Public Key의 Valid 보장

클라이언트가 사용할 Public Key가 외부에 공개되어도 되는 Key라는 것은 알겠는데, 클라이언트가 어떻게 Public Key를 얻을 수 있을까? 이는 클라이언트가 서버로 접속을 시도할 때 서버가 어떤 정보를 전송함으로써 클라이언트는 Public Key를 취득할 수 있게 된다. 그렇다면 전송 받은 Public Key가 공격자에 의해 보내진 Key가 아니라 통신하려는 서버로부터 보내진 Key라는 것을 어떻게 보장 받을 수 있을까? 이 때 이용되는 개념이 공신력 있는 기관으로부터 서명 받은 인증서이고, 클라이언트가 서버로 접속 시도를 했을 때 서버로부터 받은 어떤 정보가 곧 인증서를 의미한다.

서버로부터 전달 받은 인증서를 SSL Certificate이라고 부르며, SSL Certificate는 Public Key를 서버의 Identity와 바인딩한 정보들을 유지하고 있다. 이러한 SSL Certificate은 서버에서 제공하는 Public Key가 Valid하다는 것을 보장할 수 있게 해주며, CA (Certificate Authority)라는 제 3의 기관으로부터 생성받아 사용되는 것이 일반적이다.

따라서 서버는 클라이언트에게 제공할 SSL Certificate을 발급 받기 위해 CA로 Public Key에 대한 소유자의 이메일, 소유자의 이름, 소유자를 증명할 수 있는 각종 서류, 서버의 주소 등을 Public Key와 함께 보내게 된다. 이 때 서버가 CA로 제출한 정보들은 CSR (Certificate Signing Request)이라는 형태로 제출되며, CA는 이를 검토한 후 SSL Certificate을 생성하여 서버에게 발급한다. 이 때 SSL Certificate을 구성하는 항목 중에는 서버가 제출한 내용물들을 Hashing하여 서명한 값도 포함된다. 일반적으로 SSL Certficiate은 최상위 CA인 Root CA로부터만 인증을 받아 생성되는 과정보다는 Root CA와 Intermediate CA를 거쳐 인증을 받는 과정으로 생성되어 Trusted Chain 구조를 갖는다.

이 때 서명 값을 SHA-256과 같은 Hashing으로 이용하는 이유는 Hashing이라는 행위가 단뱡향 암호화 알고리즘으로 이뤄지기 때문에 SSL Certificate의 변조 여부를 판별하기 쉽기 때문이다. Hashing과 같은 알고리즘은 암호화만 가능하고 암호화에 대한 복호화가 불가능하다는 역상 저항성이라는 특성 때문에 단방향이라고 한다. 단방향 암호화 알고리즘과 변조 여부를 찾기 쉽다는 것에 대한 상관관계를 이해하기 위해 다음과 같은 예를 확인해보자.

서버가 제출한 Public Key와 같은 내용물들이

A

B

C

라고 하고 이를 통해 생성된 Hashing 값을

H

라고 하자. Hashing에 대한 알고리즘이 동일하다면

A

B

C

에 대해 몇 번을 Hashing해도 그 값은

H

가 나온다. 그리고

H

라는 값은 복호화가 불가능하기 때문에

H

를 이루는 값이

A

B

C

라는 사실은 암호화한 당사자 외에는 아무도 알 수 없다. 따라서 중간 공격자가 제 2 역상 저항성과 충돌 저항성을 무시하는 값을 찾아내기 어려우므로, SSL Certificate을 취득하여 내부의 내용물을

A

B

C'

로 변조하더라도 동일한 Hashing 값

H

를 얻을 수 없고

H'

만을 얻게 된다. (물론 경우에 따라 내용물을 변조 했음에도 동일한 값이 나오는 Hashing Collision이 일어날 수 있지만, 일반적으로 이런 SSL Certificate에서 사용하는 Hashing 알고리즘은 제 2 역상 저항성과 충돌 저항성을 충분히 만족하는 알고리즘을 사용하므로 그럴 가능성이 없다.) 그러므로 SSL Certificate을 전달 받은 클라이언트는 내부의 내용물을 Hashing 해보고, SSL Certificate에 서명된 Hashing 값과 비교하여 변조 여부를 판별할 수 있게 된다.

서버와의 통신을 위한 매개체로 Chrome, Safari, Explorer와 같은 Browser를 이용하게 되면, 공신력 있는 CA로부터 검증 받았다는 SSL Certificate을 이용하지 않았을 때 신뢰할 수 없는 인증서라는 경고를 보여주며 접속을 차단한다. 따라서 정상적인 서비스를 운영하고 싶다면 SSL Certificate를 자체적으로 생성하지 않고, 공신력 있는 CA로부터 발급받는 것이 좋다. SSL Certificate 발급에는 일정 금액이 요구된다. 공신력 있는 CA로는 Symantec, Comodo, GoDaddy, GlobalSign 등이 있다. 이와 같은 기업들이 공신력이 있다고 말하는 이유는 제시된 CA들을 클라이언트가 이미 알고 있기 때문이다. SSL Certificate은 발급 시점에 이미 CA의 Private Key로 암호화 되어 있고, 클라이언트가 SSL Certificate의 내용들을 확인하기 위해선 CA의 Public Key로 복호화하는 과정이 필요하다. 따라서 이미 CA에 대해 클라이언트가 알고 있다면 CA의 Public Key를 알 수 있다는 것을 의미하므로, CA의 Public Key를 이용하여 SSL Certificate을 복호화하여 서버의 Public Key와 같은 정보들을 취득할 수 있게 된다.

SSL 통신의 동작 과정

예를 들어 Naver, Google과 같은 Domain으로 접속하면 각 서버는 SSL을 이용하여 통신할 수 있도록 SSL Certificate을 갖고 있는 것을 위 그림처럼 확인할 수 있다. 이전에 언급했던 내용처럼 Google은 Root CA와 Intermediate CA를 거쳐 인증을 받은 것을 확인할 수 있다. SSL 통신의 동작 과정은 크게 HandShake, Session, Finished로 나뉜다.

HandShake는 데이터 암호화 및 복호화를 위한 대칭 키의 생성, 대칭 키 생성에 필요한 정보 전달을 위한 서버의 Public Key의 취득, Public Key 취득을 위한 SSL Certificate의 복호화를 포함한 과정을 의미한다.

Session은 대칭 키를 이용하여 암호화 및 복호화를 수행하여 데이터를 송신하고 수신하는 과정을 의미한다.

Finished는 위의 Session이 종료되어 통신에 이용될 대칭 키를 폐기했음을 의미한다.

SSL HandShake

SSL 동작 과정 중 HandShake에 대해 조금 더 자세히 알아보자. HandShake는 크게 Client Hello, Server Hello, CA 목록 확인, Pre-Master Secret 생성, Master Secret 및 Session Key 생성, HandShake Finish이라는 6단계로 나뉜다.

•

Client Hello

Client Hello는 클라이언트가 서버에 접속하는 과정을 말한다. 이 때 Client Hello에서 수행되는 행동은 크게 3가지 행동으로 나뉜다.

클라이언트는 서버로 접속을 시도하고 클라이언트는 무작위로 생성한 정보를 서버에게 보낸다.

클라이언트가 수행할 수 있는 암호화 방식들을 종합하여 서버에게 보낸다. 이는 클라이언트와 서버 간에 서로 동일한 암호화 방식을 이용하도록 정할 때 사용된다.

Connection을 만들기 위해 거치는 HandShake를 Session 유지 중에는 반복하지 않도록 초기 1회에 HandShake를 수행했던 Session ID를 서버에게 보낸다. 이는 서버가 해당 Session ID를 기억함으로써 기존에 열어둔 Session을 활용할 수 있도록 만들어 많은 시간 단축을 가능하게 한다.

•

Server Hello

Server Client는 서버가 받은 Client Hello에 대한 응답을 클라이언트에게 보내는 과정을 말한다. 이 때 Server Hello에서 수행되는 행동도 3가지로 나뉜다.

서버는 무작위로 생성한 정보를 클라이언트에게 보낸다.

클라이언트로부터 전달 받은 암호화 방식 중에서 서버에서도 사용할 수 있는 암호화 방식을 정하여 클라이언트에게 보낸다. 이는 서로 동일한 암호화 방식을 이용하도록 협의한 것을 의미하고, 차후에는 해당 암호화 방식을 이용하여 데이터를 주고 받는다. (암호화 방식에 대한 선택일 뿐 대칭 키의 생성이 아니다.)

서버가 갖고 있는 SSL Certificate을 클라이언트에게 보낸다.

•

CA 목록 확인

클라이언트는 서버와 통신하기 위한 대칭 키를 사용하려면 대칭 키의 전달이 필요하고, 이를 위해선 서버의 Public Key가 필요하다. 이 때 서버의 Public Key는 SSL Certificate에 존재하고 있는데, SSL Certificate은 이를 생성한 CA의 Private Key로 암호화 되어 있기 때문에 해당 CA의 Public Key로 복호화 해야 서버의 Public Key를 알아낼 수 있다. 따라서 클라이언트는 SSL Certificate을 복호화하기 위해 CA 목록들을 확인하게 되고, CA 목록에서 SSL Certificate을 만든 CA를 찾게 되면 해당 Public Key로 SSL Certificate을 복호화 하게 된다. 만일 CA 목록에 없는 CA라면 Browser 단에서 경고를 보낸다. CA에 대한 Public Key는 Browser에 내장되어 있다.

•

Pre-Master Secret 생성

클라이언트에서는 48 바이트에 해당하는 임의의 Pre-Master Secret을 생성한다. 이렇게 생성된 Pre-Master Secret은 Master Secret을 생성하는데 이용되기 때문에 서버와 공유되어야 한다. 따라서 사전에 서버와 협의한 암호화 방식을 통해 서버의 Public Key로 Pre-Master Secret을 암호화 하여 서버에게 전달한다.

•

Master Secret 및 Session Key 생성

이전 단계까지 거쳤을 때 클라이언트와 서버는 Pre-Master Secret 와 클라이언트의 무작위 값, 그리고 서버의 무작위 값을 모두 갖고 있는 상태가 된다. 클라이언트와 서버가 데이터를 주고 받기 위해 사용하는 대칭 키의 생성은 Pre-Master Secret을 이용하여 Master Secret 생성 → Key Material 생성 → Session Key 생성이라는 일련의 과정을 거치며, 최종적으로 생성된 Session Key가 곧 대칭 키를 의미한다. 해당 과정은 클라이언트와 서버에서 모두 수행되며, 기본적으로 SHA-1과 MD5라는 Hashing 함수들의 조합된 로직을 이용하여 생성된다. 클라이언트와 서버에서 각 값들을 생성하기 위해 수행하는 로직은 동일하므로 최종적으로 각각 유지하고 있는 Session Key는 서로 같은 값임이 보장된다.

•

HandShake Finish

클라이언트와 서버 모두 내부적으로 ChangeCipherSpec이라는 서로가 사용할 암호의 규격을 변경하는 과정을 거친다. 데이터 송신과 수신을 위해 암호화할 수 있는 대칭 키를 클라이언트와 서버가 모두 유지 중이므로 Finished라는 데이터를 보내 HandShake를 끝내게 된다. 해당 단계 직후부터는 클라이언트와 서버 모두 암호화된 데이터를 송신하고 복호화하여 이용한다.

4) 실습

위와 같은 과정으로 SSL이 동작하는 것과 이를 기반으로 HTTPS 통신을 수행하는 것을 이해했다면, 서버가 HTTPS 통신을 수행할 수 있도록 SSL Certificate을 직접 생성해보자. SSL Certificate의 생성은 openssl이라는 명령어의 도움을 받아 진행한다. 서버의 Public Key에 대한 인증을 받기 위해선 Root CA로부터 인증을 받아서 SSL Certificate을 생성해야 하는데, 이 때 일정 요금이 부과될 수 있으므로 공신력 있는 CA가 아닌 localhost를 Root CA로 두어 신뢰성은 없지만 이용은 가능한 SSL Certificate을 만들 것이다. 최종적으로 생성된 서버의 SSL Certificate을 사용할 수 있도록 설정 파일에 기재해주면 된다. SSL Certificate을 사용하도록 설정하는 것은 어떤 서비스를 이용하느냐에 따라 설정 방법이 상이하므로 사용하려는 서비스에 대해서 SSL Certificate을 이용하는 방법을 따로 찾아보는 것이 좋다.

1. 서버의 Private Key 생성

openssl genrsa -out <server-private-key> 2048

2. 서버의 Public Key 생성

openssl rsa -in <server-private-key> -pubout -out <server-public-key>

3. 서버의 CSR 생성

openssl req -new -key <server-private-key> -out <server-csr>

CSR에는 SSL Certificate을 생성할 때 필요한 정보들이 입력되고, 그 중에는 서버의 Public Key도 포함된다. 하지만 명령어에서는 Private Key가 기록된 것을 볼 수 있는데, 이는 이전 과정에서 Private Key를 이용하여 Public Key를 생성했던 것과 동일하게 동작하여 Private Key를 입력하면 자동으로 Public Key에 대해 Tracking하게 된다. 또한 Private Key를 이용하여 CSR을 서명하여 차후에 SSL Certificate을 생성할 때 Valid한 CSR임을 증명할 수 있다.

Common Name은 SSL Certificate가 위치할 서버의 Domain을 의미하는데, 다른 항목들은 생략하여도 이는 반드시 작성되어야 한다.

4. Self-Signed Root CA의 Private Key 생성

openssl genrsa -out <ca-private-key> 2048

5. Self-Signed Root CA의 SSL Certificate

openssl req -new -x509 -key <ca-private-key> -out <ca-cert>

x509는 PKI (Public Key Infrastructure)로 된 SSL Certficiate을 나타내는 하나의 형식이다. 따라서 Public Key를 인증서에 바인딩 하는 역할을 담당한다.

6. 서버의 SSL Certificate 생성

openssl x509 -req -in <server-csr> -CA <ca-cert> -CAkey <ca-private-key> -CAcreateserial -out <server-cert>

3. WordPress & MySQL & phpMyAdmin

ft_server 과제를 진행하면서 요구되는 서비스들은 WordPress, MySQL, phpMyAdmin로 총 3개이다. 주어진 서비스들을 하나의 Container에서 구성하여 실행시키기만 하면 된다. Docker가 무엇인지 배웠고 SSL에 대해서 대략적으로 알게 되었기 때문에, ft_server를 구성하는 3개의 서비스들이 무엇인지만 파악하면 과제를 수훨하게 풀어나갈 수 있다. 따라서 각 서비스들을 정말 간단하게 알아보자.

각 서비스들에 대한 소개이므로, 굳이 적힌 내용들을 보지 않고 직접 찾아보는 것도 좋다.

1) WordPress

WordPress는 대표적인 CMS (Content Management System) 중에 하나로, 쉽게 웹 사이트를 제작할 수 있게 해주는 서비스이다. 웹 사이트를 간단하게 제작하여 사용자가 갖고 있는 정보들을 쉽게 표현하게 할 수 있을 뿐만 아니라 작성된 정보들을 쉽게 관리할 수 있는 기능들을 제공한다. WordPress가 CMS에서 가장 높은 점유율을 가지는 이유는 설치가 간단하고 무료라는 장점 때문이다. 또한 다양한 테마와 플러그인들을 제공하기 때문에 일반 사용자 뿐만 아니라 비즈니스 목적으로 이용되는 경우도 많다.

2) MySQL

MySQL은 가장 대표적인 RDBMS (Relational Database Management System)이다. 높은 안정성과 성능 뿐만 아니라 오픈 소스라는 점 덕분에 많은 인기를 얻은 DBMS이지만 MySQL을 만든 개발사가 Oracle에 인수 된 후부터는 MySQL의 상업용 라이센스는 유료화되었다. Oracle의 정책과 충돌하면서 퇴사한 코어 개발자들은 MySQL의 코드를 이용하여 Maria DB를 만들었고 이 역시도 오픈 소스로써 배포된 RDBMS이다. 사용된 코드가 동일하다 보니 MySQL과 MariaDB는 호환성이 보장되며, 모든 기능이 동일하게 동작한다. MySQL은 별도의 기본 설정을 건드리지 않으면 3306번 Port에서 동작하는데, MariaDB도 마찬가지로 동작한다.

MySQL을 개발했던 기술을 바탕으로 MariaDB를 최적화하여 만들었기 때문에 여러 견해들 중에는 MariaDB가 MySQL보다 좋다는 분석도 있다. 성능 뿐만 아니라 라이센스 문제 때문에도 최근에 많은 기업들은 MySQL보다 MariaDB를 사용하려는 추세를 보이고, Linux 배포판들도 마찬가지로 라이센스 문제 때문에 MySQL을 포함하지 못하자 MariaDB를 포함하는 추세를 보이고 있다.

3) phpMyAdmin

phpMyAdmin은 MySQL이라는 DB를 웹 상에서 관리할 수 있도록 php로 작성된 오픈 소스 툴이다. 따라서 MySQL에서 사용할 수 있는 대부분을 웹 상에서 처리할 수 있으므로 직관적인 인터페이스를 이용하여 편리하게 DB를 관리할 수 있으며, 이를 이용하기 위해 설치하는 과정도 굉장히 간단하다.

4. Nginx

이전 항목에서 제시된 3개의 서비스들을 직접 외부와 연결해도 되지만, 몇 가지 이유들로 인하여 웹 서버를 통해 외부와 연결하는 것이 권장된다.

웹 서버는 특정 Domain으로 접속 했을 때 정적 파일을 제공한다. 서비스를 제공하는 어플리케이션에서 html, css, js와 같은 정적 파일을 제공해주면 그만큼은 서비스의 로직을 처리할 수 없으므로 웹 서버를 이용하면 어플리케이션은 서비스 로직만 집중하여 수행하면 된다.

요청에 대한 트래픽을 직접 받기 때문에 클라이언트와 서비스 사이의 중간자로써 서비스의 Load Balancing, Scaling, Health Checking 등을 담당할 수 있다. 즉, Switch와 같은 역할을 담당 할 수 있다.

클라이언트와 서비스 사이의 중간자 역할을 하기 때문에 클라이언트는 서비스에 직접적으로 접근하지 않으므로 서버의 보안에 도움이 된다. 즉, 웹 서버가 Reverse Proxy로써 활용될 수 있다.

Proxy? Proxy라는 것은 사전적으로는 대리라는 의미를 가지며, 네트워크에서도 이와 비슷한 의미로 사용된다. 통신 수행 시 Proxy는 중계기로써 이용되고, 이에 따라 클라이언트와 서버 사이에 대리로 요청과 응답을 처리한다. 이 때의 Proxy는 내부망의 요청들을 종합하여 외부로 보내거나 외부의 요청들을 종합하여 내부망으로 보내는 구조를 갖기 때문에, Proxy를 이용하면 보안을 높일 수 있고 Caching을 이용하여 성능 향상을 노릴 수 있다. Proxy는 Forward Proxy와 Reverse Proxy로 나뉜다. Forward Proxy 클라이언트의 요청을 종합하여 서버로 보내는 역할을 하며, 클라이언트와 서버의 직접적인 통신이 아니기 때문에 서버에서는 클라이언트의 구체적인 정보를 알 수 없어 클라이언트에 대한 보안을 높일 수 있다. 일반적으로 기업 내 통신망을 이와 같이 구성한다. 또한 통신망에 Forward Proxy를 두면 구성하고 있는 사용자들이 공통적인 정보를 요청하는 경우에는 이를 Forward Proxy에 Caching하여 많은 성능 이득을 볼 수 있다. Reverse Proxy 서버의 서비스들을 종합하는 역할을 하며, Forward Proxy와 마찬가지로 클라이언트와 서버의 직접적인 통신이 아니므로 서버의 다양한 서비스들의 직접적인 정보를 노출하지 않아 서비스에 대한 보안을 높일 수 있다. 서버 입장에서의 Reverse Proxy는 단순히 보안적인 측면 뿐 아니라, 서비스의 확장성, 독립성에서도 많은 도움이 된다.

위에 제시된 것들을 웹 서버 없이 직접 구현하여 이용할 수 있다면 상관 없겠지만 그렇지 않다면 웹 서버의 도움을 받아 많은 작업들을 아낄 수 있다. 웹 서버에는 Apache, Nginx, Google Web Server등 다양한 종류가 있지만, 그 중에서 대표적인 웹 서버로는 Apache와 Nginx를 꼽을 수 있다.

1) Apache & Nginx

기존의 웹 서버 생태계에서는 Apache가 압도적으로 많이 이용되었지만, 최근에는 많은 기업들이 Nginx를 많이 이용하고 있다. 이에 대해 간단히 짚고 넘어가보면, Apache는 MPM (Multi-Process Module) 방식으로 HTTP 요청을 처리하고, Nginx는 Event 기반으로 HTTP 요청을 처리하게 된다. 두 방식의 특성을 간단히 살펴보자.

Apache가 사용하는 MPM 방식은 쉽게 보면 클라이언트의 접속이 발생할 때마다 프로세스 혹은 쓰레드를 생성하는 구조를 갖는다. 따라서 동시 접속자가 많을수록 CPU 및 Memory에 대한 자원 사용이 높아진다는 단점이 있다. 또한 Apache에서는 프로세스 혹은 쓰레드가 클라이언트의 요청을 받았을 때 Blocking 되는 경우가 존재하는데 이 때는 해당 요청이 완료되기 전까지 다른 프로세스 혹은 쓰레드는 대기 상태로 존재하여 효율이 떨어진다는 단점도 있다.

Nginx의 경우에는 Apache처럼 클라이언트의 접속에 대한 처리를 프로세스 혹은 쓰레드의 생성으로 처리하는 방식이 아니라 Event를 이용하여 처리하게 된다. 즉, 프로그램이 동작하는 흐름이 Event에 의해서 결정되는 것을 의미하므로 1개의 고정된 프로세스만 둔채로 클라이언트의 요청을 처리하며, 클라이언트의 요청에 대해서는 비동기적으로 작업들을 처리하므로 프로그램의 흐름이 끊기지 않고 연속적이다. 따라서 Apache와 달리 동시 접속자가 많아져도 프로세스 및 쓰레드가 증가하지 않으므로 자원을 효율적으로 사용할 수 있다. 정해진 쓰레드만 사용되므로 CPU의 소모가 높지 않고, 단일 프로세스를 두고 Event에 의한 처리를 하므로Context Switching의 비용이 높지 않다.

물론 Apache는 Nginx가 만들어지기 전부터 존재하여 시장의 대부분을 점유했던 웹 서버인만큼, Nginx보다 사용할 수 있는 모듈들이 많고 안정성 및 확장성, 호환성이라는 측면에서 Nginx보다 우세하다. 그럼에도 Nginx는 제시된 Nginx의 장점을 포함하여, 웹 서버를 간단하게 구성하는 것 역시 가능하기 때문에 최근에 가장 많이 선호되는 웹 서버이다.

2) Nginx 설치 및 설정 파일 디렉토리 구조

Nginx를 설치해보기 위해 임의의 Container를 생성해보자. ft_server에서는 Debian의 Buster 버전을 이용해야하므로 이를 이용하여 Container를 생성하고 Nginx를 설치해볼 것이다. 설치를 마치면 Nginx의 파일 경로와 Nginx의 대표적인 설정 파일인 nginx.conf의 경로를 확인해볼 것이고, nginx.conf의 위치를 기준으로 Nginx의 여러 설정 파일들을 확인하기 위해 그 구조를 알아볼 것이다.

1. Container 생성

docker run -i -t —name container_buster debian:buster

2. apt-get 설치 및 nginx 설치

apt-get update -y && apt-get install -y nginx tree

3. nginx의 경로 및 nginx.conf의 경로

which nginx
find / -name nginx.conf

4. Nginx 설정 파일 디렉토리 구조

cd /etc/nginx
tree .

3) Nginx 설정

Nginx의 설정 파일은 디렉토리 구조에서 확인한 것처럼 정말 다양하게 존재하는 것을 알 수 있다. 대표적으로 사용되는 nginx.conf는 /etc/nginx에 위치하고, 이를 열어서 확인해보면 여러 설정 항목들이 {}와 같이 중괄호로 묶인 것과 그렇지 않은 것들이 존재하는 것을 볼 수 있다. 여기서 {}와 같이 중괄호로 묶인 설정 항목을 Block Directive라고 칭하고, 그 외의 Block Directive 내부에서의 설정 항목이 Simple Directive를 의미한다. 이 때 nginx.conf 뿐만 아니라 Nginx를 설정하는 대부분 파일들은 이처럼 Directive들로 값을 설정하게 된다.

nginx.conf라는 파일은 Nginx가 전반적으로 어떻게 동작해야 할지 결정 짓는 파일인데, ft_server를 진행할 때는 Nginx를 설치했을 때 기본적으로 작성된 nginx.conf의 설정을 따를 것이다. 다만 제공되는 웹 서버에서 어떤 URI에 접근했을 때 특정 웹 페이지를 제공 받을 수 있어야하므로, URI에 대한 설정 및 웹 페이지에 대한 설정을 해줘야 한다. 이와 같은 설정은 nginx.conf에서 수행하지 않고, sites-available/default에서 수행할 수 있다. 따라서 sites-available/default에서 사용할 수 있는 Directive는 어떤 것들이 있는지 ft_server 요구 사항에 맞추어 작성한 파일로 확인해볼 것이다.

# 80번 Port로 접근했을 때에 대한 서버 설정
server {
				# IPv4 주소로 접근한 80번 Port에 대해 Listen
        listen 80;
								
				# IPv6 주소로 접근한 80번 Port에 대해 Listen
        listen [::]:80;

				# 해당 주소들을 구성하는 Host 부분과 Uri 부분을 그대로 이용하여 HTTPS로 Redirect
				# HTTP에서 Redirection을 의미하는 Status Code인 301을 이용
        return 301 https://$host$request_uri;
}

# 443번 Port로 접근햇을 때에 대한 서버 설정
server {
				# IPv4 주소로 접근한 443번 Port에 대해 Listen
        listen 443;

				# IPv6 주소로 접근한 443번 Port에 대해 Listen
        listen [::]:443;

				# 443번 Port를 이용한 프로토콜은 HTTPS이므로 SSL을 활성화
        ssl on;

				# SSL에서 클라이언트에게 제공하기 위한 서버의 인증서를 명시
        ssl_certificate /cert/server.crt;

				# 서버의 Public Key로 암호화된 데이터를 복호화할 때 사용할 Private Key 명시
        ssl_certificate_key /cert/private.key;

				# 서버에서 제공할 파일들이 존재하는 디렉토리 명시
				# 상대 경로를 이용하는 경우엔 /etc/nginx를 기준으로 수행
				# 아래는 절대 경로를 이용한 것
        root /var/www/html;

				# 제공할 파일 목록들을 명시
	      index index.html index.htm index.nginx-debian.html index.php;

				# 서버에 해당하는 Domain Name을 설정
        server_name localhost;

				# /의 형식으로 끝나는 URI는 해당 Directive로 분기
        location / {
													# 내부에서 제공할 파일 중 URI에 해당하는 파일이 없다면 목록을 제공
                          autoindex on;

													# URI에 해당하는 파일을 찾아보고 없다면 오류를 반환
													# 반환 시 Status Code는 Not Found에 해당하는 404를 이용
                          try_files $uri $uri/ =404;
        }

				# ~라는 문자는 틸드라고 하여 이어지는 문자들을 Regular Expression으로 인식
				# Regualr Expression으로 인식하므로 대소문자를 구분하는 것을 주의
				# .php의 형식으로 끝나는 URI는 해당 Directive로 분기
        location ~ \.php$ {
													# php-fpm이라는 Fast CGI를 이용하므로 이에 대한 설정을 포함
                          include snippets/fastcgi-php.conf;

													# php-fpm을 이용하여 데이터를 주고 받을 때 이용할 통신 방식을 명시
													# php-fpm이 이용하는 Unix Socket을 명시
                          fastcgi_pass unix:/run/php/php7.3-fpm.sock;
        }
}
Plain Text
복사

root와 index라는 Directive는 location이라는 Directive에 따라 동작하도록 location 내부에 작성하는 것도 가능하다. 이와 같이 작성한 경우, 특정 location에 분기되었을 때 root에 해당하는 디렉토리에서 index에 해당하는 파일을 찾아 제공하게 된다.

WordPress 및 phpMyAdmin에 해당하는 URI는 php-fpm의 힘을 빌려 정적 웹 페이지를 제공 받으므로 내부에서 사용할 파일을 명시할 필요가 없고, 오로지 /라는 최상위 URI에서만 내부의 파일을 제공 받아 클라이언트에게 보여주면 되므로 나머지 URI는 제공 받을 파일을 찾지 않도록 root와 index를 location 외부에 명시하였다.

위 상황에서 /이라는 location에 해당하는 URI는 여럿 있겠지만 서버 접근 시 이용되는 최상위 URI 역시 /이라는 location에 해당한다. 따라서 root와 index를 해당 location 내부에 옮겨도 동일하게 동작하게 된다.

Nginx에 대한 설정은 여기서 소개한 Directive 외에도 정말 많은 Directive를 이용할 수 있기 때문에, 심도 있는 서버 구성을 위해선 직접 Document를 찾아보면서 설정하는 것이 좋다. 특히 위 예시의 Regular Expression의 대소문자 구분을 무시하는 것들이나 URI의 정확한 매칭에 의해서만 location이라는 Directive에 대해 분기하도록 만드는 다양한 설정들도 있으니 이들도 찾아보면 좋을 것이다. 아래 링크에서 다양한 Directive와 예시를 확인할 수 있다.

nginx documentation

http://nginx.org/en/docs/

5. LEMP Stack

ft_server를 구성하고 있는 서비스들과 웹 서버를 다시 한 번 확인해보면, WordPress, MySQL, phpMyAdmin, Nginx이고 이들은 Linux 중에서도 Debian의 Buster 버전 위에서 동작할 수 있어야 한다. 이 때 구성하려는 서버의 목적은 결국에 WordPress를 이용한 웹 사이트 제작 기능 제공에 있으므로, WordPress를 제외한 Debian, Nginx, MySQL, phyMyAdmin를 묶은 구조를 LEMP Stack이라 부른다. LEMP Stack은 Linux의 L, Nginx의 발음에서 E, MySQL의 M, php의 P를 따서 이름을 붙인 구조이며, LEMP Stack은 Nginx의 특성 상 웹 페에지 제공을 위한 소프트웨어들의 그룹이라고 볼 수 있다.

LAMP Stack의 A는 Apache를 의미하고, 나머지 문자는 LEMP Stack과 동일하다. php는 대표적인 Server-Side Scripting Language이다.

1) Packages

Debian에 설치할 Package들은 최대한 apt-get이라는 Package Manager로 설치할 것이며, apt-get으로 설치가 불가능한 Package들은 wget을 이용하여 웹 상의 자료를 직접 설치할 것이다. 이에 따라 사용되는 Package들은 아래와 같다.

apt-get

•

wget

apt-get로 설치할 수 없는 Package들을 웹 상의 자료에 직접 접근하여 설치할 수 있다.

•

vim

Debian을 이용한 Container에서는 Text Editor가 설치되어 있지 않다.

•

nginx

정적 웹 페이지 제공을 위해 이용하는 웹 서버이다.

•

openssl

nginx로 구동하고 있는 웹 서버를 HTTPS로 접근할 수 있게 인증서를 생성해야 한다.

•

mariadb-server

WordPress상에서 사용된 정보들을 기록하기 위한 DB 서버이며, 해당 정보들은 별도의 설정을 통해 phpMyAdmin에서 확인할 수도 있다. MariaDB는 MySQL과 완벽한 호환성을 갖기 때문에 MySQL과 연동하는 phpMyAdmin과도 문제 없이 연동된다. Debian의 Buster 버전에서는 MariaDB만을 지원한다.

•

php-mysql

단순한 HTML에서는 MySQL에 접근 할 수 없지만 php를 이용했을 때 이를 가능하도록 한다.

•

php-mbstring

기본적으로 Ascii 문자만 처리할 수 있는 php를 2 바이트의 확장된 문자를 처리할 수 있도록 해준다.

•

php-fpm

기본적인 정적 웹 페이지들을 보여주는데는 Nginx의 기능만으로 충분하지만 WordPress와 같이 동적인 데이터들을 받아서 웹 페이지로 나타내기 위해선, 동적으로 얻은 데이터들을 기반으로 정적인 웹 페이지를 만들어야 한다. 이러한 변환 과정을 Nginx의 기본 기능으론 처리할 수 없기 때문에, 동적인 데이터들을 받아서 웹 페이지로 만들어주는 CGI (Common Gateway Interface)가 필요하다. php-fpm은 이름에서 보이는 것처럼 php를 이용하여 웹 페이지를 생성해주며, fpm은 Fast CGI Process Manager를 의미한다. 여기서 Fast라는 의미는 웹 페이지 생성 요청마다 새로운 프로세스를 만들어서 처리를 하는 것이 아니라 이미 생성되어 있는 하나의 프로세스를 재활용함으로써 비교적 빠른 처리가 가능하기 때문에 붙은 명칭이다.

wget

•

WordPress

웹 사이트를 쉽게 제작할 수 있도록 해주는 서비스 플랫폼이다.

•

phpMyAdmin

MySQL의 DB들을 php를 이용하여 웹으로도 접근, 생성, 수정을 할 수 있도록 만들어주는 직관적인 인터페이스를 갖는 툴이다.

2) 서버 구조

서버에서 유지하는 3개의 서비스와 이를 제공해주는 웹 서버를 이해했고, 이에 따라 필요한 Package들을 정의 했으므로 구성하려는 서버의 구조는 위 그림과 같이 나타낼 수 있다.

3) 서버 구성 순서

Dockerfile

Debian Buster에 대한 Image를 Base로 사용

서버 구성 시 필요한 정보들을 사용자로부터 입력 받을 수 있도록 명시

사용자로부터 입력받은 정보들을 환경 변수로 설정

필요한 Package들을 설치

DB로 사용된 데이터들은 Container 삭제에도 남아 있을 수 있도록 Volume 설정

서버 설정에 필요한 Script들을 Container 생성 시 이용할 수 있도록 복사

서버가 사용하는 Port에 대해서 명시

서버 설정을 위한 Script를 Container 생성 시 실행하도록 명시

bigpel66/42-cursus

Contribute to bigpel66/42-cursus development by creating an account on GitHub.

https://github.com/bigpel66/42-cursus/blob/main/cirlce-02/ft_server/Dockerfile

자세한 사항은 위 링크에 기재된 코드를 확인하자.

run.sh

내부적으로 자주 사용되는 값들을 변수화

서버 구성에 필요한 파일들을 위치시킬 디렉토리 생성

SSL Certificate 생성

서버 구성에 필요한 Script들을 생성 (Nginx 설정 파일, WordPress에 대한 DB 생성 파일)

Nginx 설정 파일을 기존 파일과 대치 및 설정 값 수정

필요한 서비스들을 시작

WordPress 설치 및 연동 (설정 파일 생성 및 설정 값 수정)

phpMyAdmin 설치 및 연동 (설정 파일 생성 및 설정 값 수정)

WordPress 및 phpMyAdmin에 대한 DB를 생성 (서버 구성을 위해 생성한 Script를 이용)

10.

시작했던 서비스들을 재시작

11.

서버 구성에 이용했던 파일 및 디렉토리 삭제

12.

사용자로부터 입력 받아서 환경 변수로 만든 값들을 해제

13.

PID를 최소 1로 유지하기 위해 bash와 같은 프로세스 실행

bigpel66/42-cursus

Contribute to bigpel66/42-cursus development by creating an account on GitHub.

https://github.com/bigpel66/42-cursus/blob/main/cirlce-02/ft_server/srcs/run.sh

6. Reference

해쉬 함수가 갖는 3가지 특성

역상 저항성은 해시 값이 주어졌을 때, 그 해시 값을 생성하는 입력값을 알아내기가 불가능하다는 특성. 즉, 주어진 해시 값이 H가 있다면 그 해시 값을 생성하는 (H=Hash(M)) M을 계산하기가 어려워야 한다.

https://ckidsm.tistory.com/140

클라이언트와 서버의 통신은 어떻게 안전하게 통신을 할 수 있을까?

서버 개발자를 지망하며 다양한 학습을 진행했다. 하지만 내가 공부한 학습에서는 보안에 대한 내용은 많이 없었다. 있어봐야 공개키 비공개키에 대한 학습뿐이었다. 이러한 와중에 보다 확실한 보안 개념이 필요해졌다. 그 이유는 장애없는 서비스를 만들기 위해서는 백날 코드만 완벽하게 짠다고해서 달성되는 것이 아니란 것을 어느정도 깨닫기 시작한 시점부터이다.

https://velog.io/@somday/클라이언트와-서버의-통신은-어떻게-안전하게-통신을-할-수-있을까

HTTPS와 SSL 인증서 - 생활코딩

HTTP는 Hypertext Transfer Protocol의 약자다. 즉 Hypertext 인 HTML을 전송하기 위한 통신규약을 의미한다. HTTP S 에서 마지막의 S는 Over Secure Socket Layer의 약자로 Secure라는 말을 통해서 알 수 있듯이 보안이 강화된 HTTP라는 것을 짐작할 수 있다. HTTP는 암호화되지 않은 방법으로 데이터를 전송하기 때문에 서버와 클라이언트가 주고 받는 메시지를 감청하는 것이 매우 쉽다.

https://opentutorials.org/course/228/4894

HTTPS와 SSL 인증서, SSL 동작방법

생활코딩의 'https와 ssl 인증서' 수업과 HTTP 완벽가이드 14장 '보안 HTTP'을 읽고 정리한 내용입니다. 개인공부 후 자료를 남기기 위한 목적임으로 내용 상에 오류가 있을 수 있습니다. HTTP 인터넷 상에서 정보를 주고 받기위한 프로토콜(양식과 규칙의 체계) 클라이언트와 서버 사이에 이루어지는 요청/응답 프로토콜 암호화되지 않은 방법으로 데이터를 전송한다.

https://wayhome25.github.io/cs/2018/03/11/ssl-https/

SSL/TLS #2, 인증서 검증과 Chain

인증서 인증서란, 서버가 암호화/복호화를 위해 사용하는 서버의 공개키 확보와 이 서버의 신원을 증명해주는 존재 인증서 생성과정 서버의 소유자가 CSR(Certificate Server Request)를 통해 CA(Certificate Aut..

https://aws-hyoh.tistory.com/entry/SSLTLS-2-인증서-검증과-Chain

154. [Security] SSL과 인증서 구조 이해하기 : CA (Certificate Authority) 를 중심으로

Security 154. [Security] SSL과 인증서 구조 이해하기 : CA (Certificate Authority) 를 중심으로 이번 포스트에서는 인증서의 구조와 동작 원리에 대해 알아보고, 이것이 실제 SSL 기반의 보안 연결에서 어떻게 사용되는지에 대해 알아본다. 사실은, 쿠버네티스에서 User (SA가 아님) 사용하다가 인증서 관리를 다시 하게 되어서...... 다 아는 내용이지만 정리해보았다.

https://m.blog.naver.com/alice_k106/221468341565

SSL 인증서와 SSL 인증서 기반 암호화 통신 원리

SSL 인증서와 SSL 인증서 기반 암호화 통신 원리 인터넷 상에서 고객 웹브라우저(Client)와 웹서버(Server)간의 데이터를 안전하게 주고 받기 위해서는 서로 암호화하여 통신 을 해야 합니다. SSL(Secure Socket Layer)은 웹브라우저와 서버간 암호화 통신을 위한 프로토콜이며, SSL 인증서는SSL 기반하에서 웹브라우저와 서버간 암호화 통신을 가능하게 하는 제3의 신뢰기관이 인증한 인증서 를 의미합니다.

https://yoonsj.tistory.com/12

ssungkang.tistory.com

https://ssungkang.tistory.com/entry/Web-SSL-인증서에-대한-이해사전-지식-정의-동작원리-인증서-비교

SSL/TLS 프로토콜

중간에서 데이터를 엿보거나, 가로채는 것을 방지하기 위해 사용되는 OSI 7 Layer중 Presentation layer에 포함된다. 예를 들면, https 프로토콜은 독자적인 프로토콜이 아니라, SSL/TLS(Presentation Layer) + HTTP(Application Layer)가 결합된 형태이며, 즉, SSL/TLS의 경우 HTTP 데이터를 암호화하기 위해서 사용된다고 보면 된다. 구글에서 개발한 SPDY의 경우 https://... 와 같이 접속을 하지만, 실질적으로는 SSL/TLS + SPDY와 같이 결합되어 있는 구조라 보면 된다.

http://blog.naver.com/PostView.nhn?blogId=seri0528&logNo=20188008125

TLS Handshake

①, ②과정에서 client와 server는 각 각 random 값을 생성하여 상대방에게 전송한다. 이후, client와 server는 SSL의 버전, 키 교환, 메시지 인증과 암호화를 위한 알고리즘, 압축 방법, 키 생성을 위한 2개의 난수를 알게 된다. ③과정 직후, ServerKeyExchange 메시지가 송신될 수 있다. RSA나 fixed Diffie-Hellman 방식에서는 certificate에서 공개 캐를 보내기 때문에 ServerKeyExchange과정이 존재하지 않지만, ephermeral Diffie-Hellman 방식이나 Anonymous Diffie-Hellman 방식은에서는 존재한다.

https://chp747.tistory.com/155

디지털 인증서의 원리와 생성 과정

디지털 인증서(Digital Certificate)는 언제 필요한 것인가 | 보안이 필요한 인터넷상의 네트워크 통신에서 특히 상대방에게 데이터를 인터넷을 통해 전달할 때엔 평문을 암호문으로 바꾸는 암호화(encryption) 및 데이터를 보낸 사람과 받는 대상이 당사자가 맞음을 증명하는 사용자 인증(authentication)이 필요합니다. 이때 많이 사용하는 방식이 공개키 기반의 비대칭키 암호화(Asymmetric Encrypt

https://brunch.co.kr/@sangjinkang/37

Why private key is used amidst creation of CSR?

The structure of a PKCS#10 certification request ( RFC 2986) is, loosely described: Request: Info: Version Name PublicKey Attributes SignatureAlgorithmIdentifier Signature The attributes are attributes for the request, where one if them could be attributes you are requesting for the resulting certificate. The CA can respect as much, or as little, from the CSR as it chooses.

https://stackoverflow.com/questions/56449727/why-private-key-is-used-amidst-creation-of-csr

Where in the CSR is the public key?

I am reading http://www.akadia.com/services/ssh_test_certificate.html In step 2 openssl req -new -key server.key -out server.csr server.key is generated earlier using openssl genrsa -des3 -out server.key 1024 which is the private key. I do not see any public key being "attached" into the CSR. Am i missing anything ?

https://security.stackexchange.com/questions/111136/where-in-the-csr-is-the-public-key

Openssl로 SSL 을 위한 인증서 발급하기 (HTTPS)

HTTPS를 위해서 인증서 발급을 위해 openssl 을 이용해봤다.. https://sourceforge.net/projects/openssl/ 여기 가서 다운 받아서 압축을 풀면 일단 설치는 완료된다. (윈도우 기준) 1.

https://blusky10.tistory.com/352

[SSL]HTTPS통신을 위한 SSL인증서 발급하기(OpenSSL)

Secure Socket Layer의 약자로 SSL 프로토콜은 간단하게 웹서버와 브라우저 사이의 보안을 위해 만들어졌다. 간단하게 요약하자면 대칭키를 이용하여 암호화 통신을 한다! HTTP에 SSL 적용을 하여 Https 통신을 하게된다! 이러한 암호화 통신을 하기 위해선 SSL 인증서가 필요하다. 해당 웹 사이트가 해킹에 신뢰있는 사이트인지, 안전한 통신을하는 사이트인지를 구분하기 위해 누군가가 이 사이트가 신뢰가 있는 사이트라고 인증을 해주기 위한 인증서이다.

https://namjackson.tistory.com/24

OpenSSL 자주 쓰는 명령어(command) 및 사용법, tip 정리

RHEL/CentOS Linux 는 기본 패키지에 포함되어 있으므로 별도 설치를 안해도 됩니다. Windows 나 기타 Unix 에서 설치는 OpenSSL 컴파일(compile) & 빌드(build) 참고하세요 설치된 openssl 의 version 은 다음 명령어로 확인할 수 있습니다.

https://www.lesstif.com/software-architect/openssl-command-tip-7635159.html

OpenSSL 로 ROOT CA 생성 및 SSL 인증서 발급

웹서비스에 https 를 적용할 경우 SSL 인증서를 VeriSign 이나 Thawte, GeoTrust 등에서 인증서를 발급받아야 하지만 비용이 발생하므로 실제 운영 서버가 아니면 발급 받는데 부담이 될 수 있다. 이럴때 OpenSSL 을 이용하여 인증기관을 만들고 Self signed certificate 를 생성하고 SSL 인증서를 발급하는 법을 정리해 본다.

https://www.lesstif.com/system-admin/openssl-root-ca-ssl-6979614.html

What is x509 OpenSSL?

Answer (1 of 2): X.509 is a form of public key certificate, which binds public keys to a subject whom is the owner of the corresponding private key. The X.509 certificate is digitally signed by either a publicly trusted Certification Authority or can be self-signed. The certificate contains basic...

https://www.quora.com/What-is-x509-OpenSSL

Forward Proxy, Reverse Proxy 정의와 차이점

프록시 서버는 클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해 주는 컴퓨터 시스템이나 응용 프로그램을 가리킨다. 서버와 클라이언트 사이에 중계기로서 대리로 통신을 수행하는 것을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부른다. 프록시 서버 중 일부는 프록시 서버에 요청된 내용들을 캐시를 이용하여 저장해 둔다.

https://bcp0109.tistory.com/194

포워드 프록시(forward proxy) 리버스 프록시(reverse proxy) 의 차이

아파치 웹서버(apache web server) 에는 mod_proxy 라는 모듈에서 forward proxy 와 reverse proxy 두 가지 기능을 제공하며 nginx 는 필요한 기능만 제공하는 고성능 웹 서버에 맞게 reverse proxy 기능만 제공합니다. 그러면 forward proxy 와 reverse proxy 간 차이점은 무엇일까요.

https://www.lesstif.com/system-admin/forward-proxy-reverse-proxy-21430345.html

Module ngx_http_core_module

If disabled, redirects issued by nginx will be relative. See also server_name_in_redirect and port_in_redirect directives. This directive appeared in version 0.8.11. Enables or disables the use of asynchronous file I/O (AIO) on FreeBSD and Linux: location /video/ { aio on; output_buffers 1 64k; } On FreeBSD, AIO can be used starting from FreeBSD 4.3.

http://nginx.org/en/docs/http/ngx_http_core_module.html

WordPress

Hopefully you have read the documentation above and maybe worked on setting up a virtual server or two in NGINX already - if not there are a few notes below, but you should still read the documentation. First we setup a named upstream for our php, which allows us to abstract the backend and easily change the port or add more backends.

https://www.nginx.com/resources/wiki/start/topics/recipes/wordpress/

[Nginx] 기본 설정 방법

Nginx는 가벼운 고성능의 웹서버로서 높은 트래픽 처리를 위해 디자인되었다. Nginx의 가장 강력한 기능 중 하나는 HTML이나 미디어 파일 같은 정적 컨텐츠를 효율적으로 서브하는 것이다. Nginx는 비동기적 이벤트 드리븐 모델(asynchronous event-driven model)을 사용하는데, 이것은 부하(load)에 대해 예측가능한 성능을 제공한다. Nginx는 동적 컨텐트에 대해서는 CGI, FastCGI, 또는 아파치(Apache)와 같은 다른 서버에게 처리를 맡긴다.

https://architectophile.tistory.com/12

[Nginx] Nginx 설치 및 기본 환경 설정

웹서버를 사용할 때 요즘에는 대부분 nginx 를 많이 이용할 것으로 생각합니다. 그래서 이번에 공부하는 김에 nginx 에 대해서 한번 정리해보고자 블로그 작성을 하게 되었습니다. nginx 는 결국 웹 서버의 한 종류입니다. 그렇다면 웹 서버는 무엇일까요? 웹 서버란 이미지, 동영상, 자바스크립트, HTML, 등 다양한 문서를 제공하는 서버 시스템입니다.

https://kscory.com/dev/nginx/install

[NGINX] 꼭 알아야 할 configuration 기초 개념!

NGINX를 사용하는데 있어 꼭 필요한 기초 개념들을 정리한 글입니다. 전반적인 기초를 다룬 뒤 NIGNX를 web server로 이용하는 방법에 초점을 두어 작성하였습니다. 또한 너무 자세한 내용은 다루지 않았습니다. NGINX의 파일을 invoke 하기 위해 -s 옵션을 사용합니다. $ nginx -s [signal] [signal]에는 다음 4가지 설정이 가능합니다. 즉, 새로 바꾼 configuration 파일을 적용하고 싶다면 다음과 같이 이용해야 합니다.

https://gonna-be.tistory.com/20

[Nginx] Nginx 설치 및 기본 환경 설정

https://kscory.com/dev/nginx/install

나는 nginx 설정이 정말 싫다구요

인턴 시절, 열심히 django 로 만든 어플리케이션을 배포할 때였다. '서버가 부족하니, 하나의 서버에 두개의 사이트를 올려주세요 🙂' 라는 과제를 받고 멘붕했었던 기억이 난다. 다행히, 마스터님은 과제만 던지고 사라지는 대신 nginx 의 기능을 사용하면 될 것이라는 실마리를 던져주고 가셨다. 그럼에도 해결을 못해서, 그날을 포함한 삼일 정도는 열시까지 야근하고 왕복 세시간 통근길을 울며 다녔다.

https://juneyr.dev/nginx-basics

velog.io

https://velog.io/@ksso730/Nginx-Apache-비교

www.lesstif.com

https://www.lesstif.com/system-admin/nginx-http-413-client-intended-to-send-too-large-body-86311189.html

whatisthenext.tistory.com

https://whatisthenext.tistory.com/123#recentEntries