NginX를 통해 Spring Boot 서버에 HTTPS 적용하기

 

 

HTTPS를 설정하게 된 이유

 

세션 로그인을 구현하기위해 세션 쿠키를 사용하려면 SameSite = None과 Secure = true 설정이 필요함

 

하지만 계속 로그인이 안되길래 확인해보니... 위와 같은 설정을 하려면 HTTPS를 적용해야 한다는 것을 알게되었고

 

추후 프론트에서 녹음한 음성을 넘겨주는 로직을 구현할 때도 HTTPS가 필요하다는 것을 알게되어 HTTPS를 적용하기로 하였음

 

기왕이면 과금 때문에 무료로...

 

사용할 것들

 

NginX

 

NginX는 오픈 소스 웹 서버 소프트웨어로
정적 콘텐츠 제공, 리버스 프록시, 로드 밸런서, HTTP 캐시 서버 등 다양한 기능을 수행할 수 있음

 

=> 이벤트 기반 비동기 아키텍처를 사용하여 최소한의 리소스로 수천 개의 동시 연결을 처리할 수 있음

 

여기서는 HTTPS 설정을 위해 리버스 프록시의 역할로 사용함

 

리버스 프록시

 

 

리버스 프록시는 클라이언트와 웹 서버 사이에 위치하여 클라이언트의 요청을 가로채고 백엔드 서버로 전달하는 서버임
(일반 프록시와는 다르게 서버 측에서 작동하는 중개자임)

 

 

흐름을 간단하게 살펴보면

 

1. 클라이언트가 요청을 보냄

 

2. 리버스 프록시인 NginX가 이를 가로챔

=> NginX가 443 포트(HTTPS)로 들어오는 요청을 수신 후 SSL/TLS 인증서를 사용하여 암호화된 연결 처리

 

3. NginX가 요청을 백엔드 서버로 전달

=> NginX는 요청을 내부 백엔드 서버로 전달하고 이 과정에서 필요한 헤더 정보를 추가하거나 수정할 수 도 있음

4. 백엔드 서버가 요청을 처리

=> Spring Boot 서버가 요청을 처리하고 결과 데이터를 NginX에 반환

 

5. NginX가 응답을 클라이언트에게 전달

=> 백엔드 서버로부터 받은 응답을 암호화하여 다시 클라이언트에 전송

 

 

Certbot

 

Certbot은 Let's Encrypt 인증 기관에서 무료 SSL/TLS 인증서를 자동으로 발급받고 관리하는 도구임

 

인증서 발급, 갱신, 설치 및 구성을 자동화하여 수동 개입 없이 무료 SSL/TLS 인증서를 쉽게 얻을 수 있고

인증서가 만료되기 전에 자동으로 갱신할 수 있어 보안 연결이 중단되지 않게 않도록함

 

 

1. EC2에 NginX 설치

 

터미널에서 ssh로 연결해도 무방함

 

일단 EC2 인스턴스로 들어간 후 NginX를 설치해야함
(ubuntu EC2 사용중)

 

sudo apt update
sudo apt install nginx

 

 

 

sudo service nginx status

 

위 명령어를 통해 NginX 가 정상 작동임을 확인하고

 

 

 

EC2의 퍼블릭 IP로 접속해보면 위와 같이 NginX 서버가 실행되고 있는 것을 알 수 있음

 

 

2. 도메인 만들기

 

Certbot로 SSL 인증서를 발급받으려면 도메인 주소가 필요하기에 도메인을 만들어야함

 

예전에 AWS Route53을 이용했다가 과금 이슈가 있었어서 늘 나에게 도움을 줘왔던 내도메인.한국 에서 무료로 도메인을 만들었음

 

https://xn--220b31d95hq8o.xn--3e0b707e/

내도메인.한국 - 한글 무료 도메인 등록센터

 

 

 

 

발급 받은 후 도메인 관리에서 위 사진과 같이 설정을 해주면 됨

=> NginX 서버의 IP (EC2 퍼블릭 IP) 입력

 

3. Certbot로 NginX에 HTTPS 설정

 

우선 서버의 도메인 주소를 발급 받았으니 Cerbot에서 SSL 인증서를 발급 받아보자

 

아까 접속한 EC2 콘솔(터미널) 에서 

 

sudo snap install --classic certbot 
sudo ln -s /snap/bin/certbot /usr/bin/certbot

 

으로 Certbot을 설치해야함

 

• --classic은 certbot이 시스템의 전체 파일 경로에 접근할 수 있도록 classic confinement(전통적인 방식의 접근 권한)을 허용
  
  
• /snap/bin/certbot는 실제 certbot 실행 파일이 있는 경로이고 /user/bin/certbot는 사용자가 터미널에서 certbot을 쉽게 실행할 수 있도록 심볼릭 링크를 생성할 경로임

 

sudo certbot --nginx -d <서버의 도메인 주소>

 

설치가 완료되었다면 위 명령어를 실행 한 후

 

 

이메일을 입력한 후 Y를 두 번 입력하면 인증서가 정상적으로 발급

 

이 되어야 하지만

 

Let’s Encrypt는 과도한 인증서 발급을 방지하기 위해 일정 기간 내 발급 횟수를 제한하는데

현재 로그에 나온 메시지를 보면

 

"too many certificates (50) already issued for 'kro.kr' in the last 168h0m0s"

 

즉, 지난 7일(168시간) 동안 kro.kr 도메인에서 50개의 인증서가 발급되었으므로 더 이상 발급할 수 없는 상태여서

 

적힌대로 2025-03-18 12:18:30 UTC (한국 시간 기준: 2025-03-18 21:18:30) 까지 대기하였다가 다시 명령어를 입력하여 진행하면 성공적으로 인증서가 발급됨

 

kro.kr같이 무료로 제공되는 도메인은 같은 도메인을 사용하는 사람들이 많아 다른 사람이 이미 인증서를 많이 발급했을 가능성이 있기에 위 에러가 발생할 수 있음

 

 

성공적으로 완료되었다면 도메인 주소 입력시 http 경고 메세지가 발생하지 않는 것을 확인해볼 수 있음

 

4. NginX 프록시 설정

 

위 과정이 성공적으로 완료 되었다면 HTTPS가 적용된 NginX를 Spring Boot에 대한 프록시 서버로 활용하기 위해 설정을 진행해야함

 

현재 Spring Boot를 컨테이너로 동작시키고 있으므로 컨테이너의 IP주소 부터 알아내야함

 

docker inspect <컨테이너 이름 또는 ID> | grep "IPAddress"

 

sudo docker ps로 현재 동작중인 컨테이너의 ID를 알아내고 위 명령어를 동작시키면 내부 IP주소를 반환받음
(복사 해놓기)

 

sudo vi /etc/nginx/sites-available/default

 

위 명령어를 통해 /etc/nginx/sites-availabe/default 파일을 열고

 

$request_uri를 설정해야 모든 api에 대해 매핑해줌

 

 

내려가다보면 위와 같이 server_name이 설정한 도메인과 일치하는 부분이 보일텐데

 

try_files $uri $uri/ =404; 부분을 주석처리한 후

 

그 밑에 proxy_pass {컨테이너 IP}:{Spring Boot 포트 번호}$request_uri; 를 추가해줌

 

=> EC2 퍼블릭 IP(NginX 서버)로 들어오는 모든 요청을 기존의 Spring Boot 컨테이너로 보내겠다는 의미임 

 

 

설정을 완료하였으면 sudo nginx -t 명령어로 설정 테스트를 하고

 

sudo systemctl restart nginx 명령어로 NginX를 재시작해줌

 

5. 세션 로그인 테스트 (HTTPS)

 

 

https로 요청을 보냈을 때 세션 로그인이 잘 동작하는 것을 확인하였음
(위에서 말했듯이 기존 http 환경에서는 세션 로그인이 동작하지 않음)

 

 

6. 추후 수정사항

 

우선 NginX 설정 코드를 보면 알 수 있듯이 실행중인 컨테이너의 IP로 설정을하기에 추가적인 컨테이너가 생기거나 CI/CD로 인해 컨테이너 IP가 변경될 수 도 있기에 이 부분에 대해 어떻게 할지 고민중이었음

=> 일단 Docker는 기본적으로 내부 네트워크에서 컨테이너에 순차적으로 IP를 할당한다고해서 하나의 컨테이너를 지우고 만들고를 반복하는 초기 상황에서는 문제가 일어나지 않았지만 보장된 동작이 아니므로 Docker의 네트워크 기능을 활용하는 방안도 생각했었음

 

하지만 현재 MVP 개발 단계이고 추후 ECS로 인프라를 구축 및 변경하며 ALB를 도입하여 HTTPS 처리를 할 것이기에 일단은 NginX 설정을 유지하고 컨테이너 한 개로 빠르게 MVP 개발이 마무리될 때까지 사용하기로 결정하였음