본문으로 이동
주 메뉴
주 메뉴
사이드바로 이동
숨기기
둘러보기
대문
최근 바뀜
임의의 문서로
미디어위키 도움말
특수 문서 목록
LS Taiwan
검색
검색
보이기
계정 만들기
로그인
개인 도구
계정 만들기
로그인
로그아웃한 편집자를 위한 문서
더 알아보기
기여
토론
Admin관련
편집하기 (부분)
문서
토론
한국어
읽기
편집
역사 보기
도구
도구
사이드바로 이동
숨기기
동작
읽기
편집
역사 보기
일반
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
보이기
사이드바로 이동
숨기기
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
==ngnix 관련 설명== Wildcard certificate에 대한 설명이다. tcamp32.synology.me 가 인증서를 발급 받았으므로, 하위 서버에 대한 접근은 *.tcamp32.synology.me 으로 가능하다. 즉, 포트번호 없이 접근해도 된다는 의미, '''ngnix''' 설정이다. * Synology nas에서 로그인 포털 >> 고급 (생성) 역방향 프록시를 설정한다. --> 패킷이 도달하면, HSTS 활성화 (443 포트로 들어온 놈)을 찾아서, 만들어 놓은 list 예를 들어 https(443) ---> http://localhost:xxx (포트)로 넘김 * 확인 필요 1) localhost가 아닌 내부 IP(192.169.xxx.xxx)로 연결하면 에러나는 듯? (에러 안나야 하는데) 2) HSTS가 2개가 동작하는 경우, 둘다 응답하는 문제, 동일 IP 한개에서만 답변하므로. 만약 하나의 IP를 share 하고 두 개의 서버에서 443으로 처리 한다고 하면, 서버 둘에 모두 443이 동작하나? 아니면 먼저 도착한 서버만 응답하나? * 참조 - Wildcard certificate 순서 1) Wildcard certificate 설정 DDNS를 enabled 시킨다. - floating IP에 대해서 추적 dns 연결 Control panel / Security / Certificate 에서 add 체크 사항 - Let's Encrypt 체크 - Set as default certificate * Get a Certificate from Let's Encrypt * 다음 설정을 한다. - Domain name : tcampXX.synology.me - Email : 본인의 e-mail - Subject Alternate Name: *.tcampXX.synology.me (인증서를 받을 사이트 이름, 여기서는 wildcard '''*''' 로 설정, 모두) * Control Panel / Login Portal / Advanced 텝에서 이 과정은 ngnix과정으로 Reverse proxy 설정라고도 한다. 내용은 포트 443(https)로 보내고, 443에서는 서버이름, 예를 들어 dolibarr, nocodb, n8n 으로 (wildcard 부분) 들어온 서버 주소를 정상적인 80포트로 연결해 주는다. (이를 HSTS 라고 함) '''Reverse Proxy''' 설정 * Source https 로 들어 오는 주소, 예를 들어 https://n8n.tcampxxx.synology.me 이고 포트는 443 HSTS enable 시키고, * Destination host name, localhost (내부 주소도 되나? 192.168.xxx.xxx, 할당된 포트 * 참고 : HSTS Reverse proxy 환경에서 '''HSTS (HTTP Strict Transport Security)'''는 웹 보안 강화를 위한 중요한 HTTP 응답 헤더입니다. 이 개념을 간단히 설명하면 다음과 같습니다: --- 🔐 '''HSTS란?''' '''HSTS (HTTP Strict Transport Security)'''는 웹 서버가 브라우저에게 '''"앞으로 이 도메인에 대해 HTTPS로만 접속하라"'''고 지시하는 보안 메커니즘입니다. 이는 '''MITM(중간자 공격)'''이나 '''SSL Stripping''' 같은 공격을 방지하는 데 효과적입니다. --- 🧩 '''Reverse Proxy와 HSTS의 관계''' Reverse proxy는 클라이언트와 실제 서버 사이에 위치하여 요청을 중계합니다. 이때 HSTS는 다음과 같은 방식으로 적용됩니다: 1. '''Reverse Proxy가 HTTPS를 처리하는 경우''': - 클라이언트는 Reverse Proxy와 HTTPS로 통신. - Reverse Proxy가 HSTS 헤더를 클라이언트에게 전달하거나 직접 설정. - 실제 백엔드 서버는 HTTP로 통신할 수도 있음 (내부망). 2. '''HSTS 헤더 설정 위치''': - Reverse Proxy에서 직접 설정하는 것이 일반적입니다 (예: Nginx, Apache, HAProxy). - 예시 (Nginx): ```nginx add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; ``` 3. '''주의사항''': - HSTS는 HTTPS 연결에서만 작동합니다. HTTP에서는 무시됩니다. - 한번 설정되면 브라우저는 해당 도메인에 대해 강제로 HTTPS를 사용하므로, 실수로 HTTP만 지원하는 서비스가 있으면 접근 불가 문제가 생길 수 있습니다. --- ✅ '''HSTS의 주요 옵션''' - `max-age`: 브라우저가 HTTPS만 사용하도록 강제하는 기간 (초 단위). - `includeSubDomains`: 모든 서브도메인에도 적용. - `preload`: 브라우저에 미리 등록 요청 가능 (엄격한 보안 필요 시). ---
요약:
LS Taiwan에서의 모든 기여는 다른 기여자가 편집, 수정, 삭제할 수 있다는 점을 유의해 주세요. 만약 여기에 동의하지 않는다면, 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다(자세한 사항은
LS Taiwan:저작권
문서를 보세요).
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
검색
검색
Admin관련
편집하기 (부분)
새 주제
