PFSENSE HAProxy With ACME Certificates Auto Renewal Method FTP

먼저 포스팅한 인증서 생성및 갱신에 대한 내용에 시놀로지는 조금 달라서 별도로 포스팅 합니다. 그 이유가 시놀로지는 패키지 소프트웨어여서 별도로 수정이나 변경에 대해 매우 제한적이기도 하고 하위 디렉토리나 가상디렉토리 생성을 제한시켜서 인증서 갱신 경로를 수정할수 없는 문제였습니다. 

PFSENSE 에서 ACME 인증서 배포 및 갱신은 위와같은 그림 절차데로 처리가 됩니다. 결론적으로 ACME 엔진에서 요청한게 사이트에서 정상적으로 호출이 되느냐? 이것만으로도 대부분 문제가 없습니다.

시놀로지는 서브디렉토리 경로를 별도로 지정할수 없는 문제로 인해 방법을 찾은 결과 편법 몇가지가 존재하긴 한데 시놀로지 앞단에 또 프록시 역할을 하는 웹서버를 배치하면 어떨까 고민하다가 HTTP 인증경로만 별도의 웹서버에서 처리하는 방법으로 가능했습니다.

 일단 앞서 포스팅한 내용데로 ACME FTP 방식으로 별도의 서버에 구성하는 단계까지는 동일하며 HTTP 도메인 주소는 ACME FTP 서버에 구성한쪽으로 백엔드서버를 생성합니다.

해당 백엔드 서버의 설정은 아래 그림과 같이 도메인 호스트 주소 및 .well-known/acme-challenge 경로를 액세스 할수 있게 설정해주고 루트 디렉토리는 HTTPS 주소로 리다이렉트 되게 해줍니다.

이렇게 설정하면 http로 ACME 인증 및 갱신처리만 깡통 웹서버로 처리되고 https는 실제 시놀로지 NAS로 매핑되게 때문에 인증서 자동화 처리가 가능하게 됩니다.(필자는 윈도우 IIS FTP 및 WEB을 기준으로 설명하지만 리눅스 FTP 및 아파치 NGINX 전부 같은 구조와 프로세스이기에 다르지 않습니다.)

결론 : 시놀로지는 별도의 가상디렉토리나 서브디렉토리 주소를 .well-known/acme-challenge 로 만들수 없기에 깡통 웹서버를 생성하고 ACME 인증과 갱신처리를 하게 만들어준다.

앞에 포스팅 내용에도 설명했지만 HAProxy 하위단에 많은 웹서버와 SSL 서버 그리고 로드밸런싱 역할을 하는 서버들이 다수 존재할 경우에는 도메인 인증으로 해결을 해야했습니다만 방화벽 하단에 FTP 서비스를 별도로 생성하여 자동화 할수 있다는걸 공개하며 마무리합니다.