Linux 패키지 설치를 위한 SSL 구성

Tier: Free, Premium, Ultimate Offering: Self-Managed

리눅스 패키지는 SSL 구성을 위한 여러 일반적인 사용 사례를 지원합니다.

기본적으로 HTTPS가 활성화되어 있지 않습니다. HTTPS를 활성화하려면 다음을 수행할 수 있습니다:

  • 무료로 자동화된 HTTPS를 제공하는 Let’s Encrypt 사용
  • 자체 인증서로 HTTPS를 수동으로 구성

참고: 프록시, 로드 밸런서 또는 기타 외부 장치를 사용하여 GitLab 호스트 이름의 SSL을 종료하는 경우, 외부, 프록시 및 로드 밸런서 SSL 종료를 참조하십시오.

다음 표는 각 GitLab 서비스가 지원하는 방법을 보여줍니다.

서비스 수동 SSL Let’s Encrypt 통합
GitLab 인스턴스 도메인
컨테이너 레지스트리
Mattermost
GitLab Pages 아니요

Let’s Encrypt 통합 활성화

Let’s Encryptexternal_url이 HTTPS 프로토콜로 설정되어 있고 다른 인증서가 구성되어 있지 않은 경우 기본적으로 활성화됩니다.

필수 사항:

  • 공용 Let’s Encrypt 서버가 실행하는 유효성 검사를 위해 포트 80443이 접근 가능해야 합니다. 유효성 검사는 비표준 포트에서 작동하지 않습니다. 환경이 비공개이거나 오프라인인 경우 Let’s Encrypt에서 사용하는 도구인 certbot은 수동 방법을 제공하여 Let’s Encrypt 인증서를 설치할 수 있습니다.

Let’s Encrypt 활성화:

  1. /etc/gitlab/gitlab.rb를 편집하고 다음 항목을 추가하거나 변경합니다. 

    ## GitLab 인스턴스
external_url "https://gitlab.example.com"         # 반드시 HTTPS 프로토콜을 사용해야 합니다
letsencrypt['contact_emails'] = ['foo@email.com'] # 선택 사항

## 컨테이너 레지스트리 (선택 사항), 반드시 https 프로토콜을 사용해야 합니다
registry_external_url "https://registry.example.com"
#registry_nginx['ssl_certificate'] = "path/to/cert"      # 반드시 없거나 주석 처리되어 있어야 합니다

## Mattermost (선택 사항), 반드시 https 프로토콜을 사용해야 합니다
mattermost_external_url "https://mattermost.example.com"
    • 인증서는 90일마다 만료됩니다. contact_emails로 지정한 이메일 주소는 만료일이 접근할 때 경고를 받습니다.
    • GitLab 인스턴스는 주요 도메인 이름이며, 컨테이너 레지스트리와 같은 추가 서비스는 동일한 인증서에 대체 도메인 이름으로 추가됩니다. 위의 예에서 주요 도메인은 gitlab.example.com이고 컨테이너 레지스트리 도메인은 registry.example.com입니다. 와일드카드 인증서를 설정할 필요는 없습니다.

  2. GitLab을 다시 구성합니다. 

    sudo gitlab-ctl reconfigure

Let’s Encrypt이 인증서 발급에 실패하는 경우, 잠재적인 해결 방법에 대해 알아보려면 문제 해결 섹션을 참조하십시오.

자동으로 인증서 갱신

기본적으로 설치는 매달 4일 자정 이후에 갱신을 예약합니다. 분은 external_url 값에 따라 위 스트림 Let’s Encrypt 서버의 부하를 분산하기 위해 결정됩니다.

갱신 시간을 명시적으로 설정하려면:

  1. /etc/gitlab/gitlab.rb를 편집합니다. 

    # 매달 7일 낮 12시 30분 갱신
letsencrypt['auto_renew_hour'] = "12"
letsencrypt['auto_renew_minute'] = "30"
letsencrypt['auto_renew_day_of_month'] = "*/7"

  2. GitLab을 다시 구성합니다. 

    sudo gitlab-ctl reconfigure

참고: 인증서는 30일 안에 만료될 경우에만 갱신됩니다. 예를 들어, 매월 1일 00:00에 갱신하도록 설정하고 인증서가 31일에 만료되면 인증서는 갱신되기 전에 만료될 것입니다.

자동 갱신은 go-crond로 관리됩니다. 원하는 경우, /etc/gitlab/gitlab.rb를 편집하여 CLI 인수를 go-crond에 전달할 수 있습니다.

자동 갱신 비활성화를 원하는 경우:

  1. /etc/gitlab/gitlab.rb를 편집합니다. 

    letsencrypt['auto_renew'] = false

  2. GitLab을 다시 구성합니다. 

    sudo gitlab-ctl reconfigure

인증서 수동으로 갱신하기

다음 명령어 중 하나를 사용하여 Let’s Encrypt 인증서를 수동으로 갱신합니다: 

sudo gitlab-ctl reconfigure

sudo gitlab-ctl renew-le-certs

이전 명령어는 인증서가 만료 직전인 경우에만 갱신을 생성합니다. 갱신 중 오류가 발생하는 경우 상위 요율 제한을 고려해야 합니다.

Let’s Encrypt 이외의 ACME 서버 사용하기

Let’s Encrypt 이외의 ACME 서버를 사용하고, GitLab을 구성하여 인증서를 가져오도록 할 수 있습니다. 자체 ACME 서버를 제공하는 일부 서비스는 다음과 같습니다:

GitLab을 사용자 정의 ACME 서버를 사용하도록 구성하려면:

  1. /etc/gitlab/gitlab.rb를 편집하고 ACME 엔드포인트를 설정합니다: 

    external_url 'https://example.com'
letsencrypt['acme_staging_endpoint'] = 'https://ca.internal/acme/acme/directory'
letsencrypt['acme_production_endpoint'] = 'https://ca.internal/acme/acme/directory'

    사용자 정의 ACME 서버가 제공하는 경우 스테이징 엔드포인트를 사용합니다. 먼저 스테이징 엔드포인트를 확인하여 ACME 구성이 올바른지 확인한 후에, ACME 프로덕션에 요청을 제출합니다. 이렇게 하면 구성 작업 중 ACME 요율 제한을 피할 수 있습니다.

    기본값은 다음과 같습니다: 

    https://acme-staging-v02.api.letsencrypt.org/directory
https://acme-v02.api.letsencrypt.org/directory

  2. GitLab을 다시 구성합니다: 

    sudo gitlab-ctl reconfigure

인증서에 대체 도메인 추가하기

대체 도메인(또는 주체 대체 이름)을 Let’s Encrypt 인증서에 추가할 수 있습니다. 이는 묶인 NGINX를 다른 백엔드 애플리케이션의 역방향 프록시로 사용하고 싶은 경우 유용합니다.

대체 도메인의 DNS 레코드는 GitLab 인스턴스를 가리켜야 합니다.

Let’s Encrypt 인증서에 대체 도메인을 추가하려면:

  1. /etc/gitlab/gitlab.rb를 편집하고 대체 도메인을 추가합니다: 

     # 여러 도메인을 쉼표로 구분합니다
 letsencrypt['alt_names'] = ['another-application.example.com']

  2. GitLab을 다시 구성합니다: 

    sudo gitlab-ctl reconfigure

주요 GitLab 애플리케이션에 대해 생성된 Let’s Encrypt 인증서에 지정된 대체 도메인이 포함됩니다. 생성된 파일은 다음 위치에 있습니다:

  • 키에 대한 /etc/gitlab/ssl/gitlab.example.com.key
  • 인증서에 대한 /etc/gitlab/ssl/gitlab.example.com.crt

HTTPS 수동으로 구성하기

경고: NGINX 구성은 브라우저와 클라이언트에게 HSTS를 사용하여 다음 365일 동안만 안전한 연결을 통해 GitLab 인스턴스와 통신하도록 지시합니다. 추가 구성 옵션에 대한 자세한 내용은 HTTP Strict Transport Security 구성을 참조하세요. HTTPS를 활성화하는 경우, 최소한 다음 24개월 동안 인스턴스에 안전한 연결을 제공해야 합니다.

HTTPS를 활성화하려면:

  1. /etc/gitlab/gitlab.rb를 편집하십시오:

    1. external_url을 도메인으로 설정합니다. URL에 https가 있는지 확인하세요: 

      external_url "https://gitlab.example.com"

    2. Let’s Encrypt 통합을 비활성화합니다: 

      letsencrypt['enable'] = false

      GitLab은 모든 구성 시 Let’s Encrypt 인증서를 갱신하려고 시도합니다. 수동으로 생성한 인증서를 사용할 계획이라면 Let’s Encrypt 통합을 비활성화해야 합니다. 그렇지 않으면 자동 갱신으로 인해 인증서가 덮어쓰일 수 있습니다.

  2. /etc/gitlab/ssl 디렉토리를 만들고 키와 인증서를 복사합니다: 

    sudo mkdir -p /etc/gitlab/ssl
sudo chmod 755 /etc/gitlab/ssl
sudo cp gitlab.example.com.key gitlab.example.com.crt /etc/gitlab/ssl/

    이 예제에서 호스트 이름은 gitlab.example.com이므로 Linux 패키지 설치는 /etc/gitlab/ssl/gitlab.example.com.key/etc/gitlab/ssl/gitlab.example.com.crt 라는 이름의 개인 키 및 공개 인증서 파일을 찾습니다. 원한다면 다른 위치 및 인증서 이름을 사용할 수 있습니다.

    올바른 순서로 완전한 인증서 체인을 사용하여 SSL 오류를 피하기 위해 모든 중간 인증서 그리고 마지막으로 루트 CA가 포함된 서버 인증서를 먼저 사용해야 합니다.

  3. 선택 사항. certificate.key 파일이 암호로 보호된 경우, NGINX는 GitLab을 다시 구성할 때 암호를 요구하지 않습니다. 이 경우 Linux 패키지 설치는 오류 메시지 없이 무음하게 실패합니다.

    키 파일에 암호를 지정하려면 암호를 텍스트 파일에 저장하세요 (예: /etc/gitlab/ssl/key_file_password.txt) 그리고 다음을 /etc/gitlab/gitlab.rb에 추가하세요: 

    nginx['ssl_password_file'] = '/etc/gitlab/ssl/key_file_password.txt'

  4. GitLab을 다시 구성합니다: 

    sudo gitlab-ctl reconfigure

  5. 선택 사항. 방화벽을 사용 중이라면 인바운드 HTTPS 트래픽을 허용하기 위해 포트 443을 열어야 할 수 있습니다: 

    # UFW 예시 (Debian, Ubuntu)
sudo ufw allow https

# lokkit 예시 (RedHat, CentOS 6)
sudo lokkit -s https

# firewall-cmd (RedHat, Centos 7)
sudo firewall-cmd --permanent --add-service=https
sudo systemctl reload firewalld

기존 인증서를 업데이트하는 경우, 다른 절차를 따르세요.

HTTP 요청을 HTTPS로 리디렉션하기

기본적으로 https로 시작하는 external_url을 지정하면 NGINX는 더 이상 포트 80에서 암호화되지 않은 HTTP 트래픽을 수신하지 않습니다. 모든 HTTP 트래픽을 HTTPS로 리디렉션하려면:

  1. /etc/gitlab/gitlab.rb를 편집하십시오: 

    nginx['redirect_http_to_https'] = true

  2. GitLab을 다시 구성하십시오: 

    sudo gitlab-ctl reconfigure

참고: 이 동작은 Let’s Encrypt 통합을 사용할 때 기본적으로 활성화됩니다.

기본 HTTPS 포트 변경하기

기본 HTTPS 포트(443)가 아닌 다른 HTTPS 포트를 사용해야 하는 경우external_url의 일부로 지정하십시오:

  1. /etc/gitlab/gitlab.rb를 편집하십시오: 

    external_url "https://gitlab.example.com:2443"

  2. GitLab을 다시 구성하십시오: 

    sudo gitlab-ctl reconfigure

기본 SSL 인증서 위치 변경하기

호스트 이름이 gitlab.example.com인 경우 Linux 패키지 설치는 기본적으로 /etc/gitlab/ssl/gitlab.example.com.key라는 개인 키와 /etc/gitlab/ssl/gitlab.example.com.crt라는 공개 인증서를 찾습니다.

SSL 인증서의 다른 위치를 설정하려면:

  1. 디렉토리를 만들고 적절한 권한을 부여한 후 .crt.key 파일을 디렉토리에 배치하십시오: 

    sudo mkdir -p /mnt/gitlab/ssl
sudo chmod 755 /mnt/gitlab/ssl
sudo cp gitlab.key gitlab.crt /mnt/gitlab/ssl/

    클라이언트가 연결될 때 SSL 오류를 방지하기 위해 올바른 순서로 모든 중간 인증서 및 최종 루트 CA 대로 전체 인증서 체인을 사용하여야 합니다.

  2. /etc/gitlab/gitlab.rb를 편집하십시오: 

    nginx['ssl_certificate'] = "/mnt/gitlab/ssl/gitlab.crt"
nginx['ssl_certificate_key'] = "/mnt/gitlab/ssl/gitlab.key"

  3. GitLab을 다시 구성하십시오: 

    sudo gitlab-ctl reconfigure

SSL 인증서 업데이트하기

SSL 인증서의 내용이 업데이트되었지만 /etc/gitlab/gitlab.rb에 구성 변경이 없는 경우 GitLab을 다시 구성하더라도 NGINX에 영향을 주지 않습니다. 대신, NGINX에게 기존 구성과 새로운 인증서를 우아하게 다시 로드하도록 해야 합니다: 

sudo gitlab-ctl hup nginx
sudo gitlab-ctl hup registry

리버스 프록시 또는 로드 밸런서 SSL 종료 구성

기본적으로 Linux 패키지 설치는 external_urlhttps://가 포함되어 있는 경우 SSL을 사용할지 자동으로 감지하고 NGINX를 SSL 종료를 위해 구성합니다. 그러나 GitLab을 리버스 프록시나 외부 로드 밸런서 뒤에서 실행하도록 구성한 경우 일부 환경에서는 SSL을 GitLab 애플리케이션 외부에서 종료하려고 할 수 있습니다.

묶음으로 제공되는 NGINX가 SSL 종료를 처리하지 않도록하려면:

  1. /etc/gitlab/gitlab.rb를 편집하십시오: 

    nginx['listen_port'] = 80
nginx['listen_https'] = false

  2. GitLab을 다시 구성하십시오: 

    sudo gitlab-ctl reconfigure

외부 로드 밸런서는 GitLab 엔드포에서 200 상태 코드를 반환하는 경우가 있습니다(로그인이 필요한 설치의 경우 루트 페이지가 로그인 페이지로 리디렉트하는 302 리디렉션이 있습니다). 이 경우 health check endpoint를 활용하는 것이 권장됩니다.

GitLab 레지스트리, GitLab Pages 또는 Mattermost와 같은 다른 묶음 구성 요소도 전달된 SSL에 대한 유사한 전략을 사용합니다. 특정 구성 요소의 *_external_urlhttps://로 설정하고 구성 요소 이름으로 nginx[...] 구성을 접두어로 붙입니다. 예를 들어, GitLab Container Registry 구성은 registry_로 접두어를 붙입니다:

  1. /etc/gitlab/gitlab.rb를 편집하십시오: 

    registry_external_url 'https://registry.example.com'

registry_nginx['listen_port'] = 80
registry_nginx['listen_https'] = false

    동일한 형식을 Pages(pages_ 접두어) 및 Mattermost(mattermost_ 접두어)에도 사용할 수 있습니다.

  2. GitLab을 다시 구성하십시오: 

    sudo gitlab-ctl reconfigure

  3. 선택 사항. 리버스 프록시나 로드 밸런서가 GitLab(및 사용하는 경우 Mattermost)로 특정 헤더(예: Host, X-Forwarded-Ssl, X-Forwarded-For, X-Forwarded-Port)를 전달하도록 구성해야 할 수 있습니다. 이 단계를 빠뜨리면 “422 Unprocessable Entity” 또는 “CSRF 토큰 신뢰성을 확인할 수 없음”과 같은 올바르지 않은 리디렉션 또는 오류가 발생할 수 있습니다.

AWS Certificate Manager (ACM)와 같은 일부 클라우드 제공 업체 서비스는 인증서를 다운로드하는 것을 허용하지 않습니다. 따라서 이러한 클라우드 서비스와 GitLab 간에 SSL을 종료할 수 없습니다. 따라서 그러한 클라우드 서비스와 GitLab 간에 SSL이 필요한 경우 GitLab 인스턴스에 다른 인증서를 사용해야 합니다.

사용자 정의 SSL 암호 사용

기본적으로 Linux 패키지는 https://gitlab.com의 테스트 및 GitLab 커뮤니티에서 기여한 다양한 모범 사례의 조합인 SSL 암호를 사용합니다.

SSL 암호를 변경하려면:

  1. /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['ssl_ciphers'] = "암호:암호1"

  2. GitLab을 다시 구성하세요: 

    sudo gitlab-ctl reconfigure

ssl_dhparam 지시문을 활성화하려면:

  1. dhparams.pem을 생성하세요: 

    openssl dhparam -out /etc/gitlab/ssl/dhparams.pem 2048

  2. /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['ssl_dhparam'] = "/etc/gitlab/ssl/dhparams.pem"

  3. GitLab을 다시 구성하세요: 

    sudo gitlab-ctl reconfigure

HTTP/2 프로토콜 구성

기본적으로 GitLab 인스턴스가 HTTPS로 접근 가능하다고 지정하면 HTTP/2 프로토콜도 활성화됩니다.

Linux 패키지는 HTTP/2 프로토콜과 호환되는 필요한 SSL 암호를 설정합니다.

사용자 지정 SSL 암호를 지정하고 해당 암호가 HTTP/2 암호 블랙리스트에 있는 경우 GitLab 인스턴스에 액세스하려고 하면 브라우저에서 INADEQUATE_SECURITY 오류가 표시됩니다. 이 경우 해당 암호를 암호 목록에서 제거하는 것을 고려해야 합니다. 암호를 변경해야 하는 것은 매우 특수한 사용자 정의 설정이 있는 경우에만 필요합니다.

HTTP/2 프로토콜을 활성화하는 이유에 대한 자세한 내용은 NGINX HTTP/2 화이트페이퍼를 참조하세요.

암호를 변경하는 것이 선택 사항이 아닌 경우 HTTP/2 지원을 비활성화할 수 있습니다:

  1. /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['http2_enabled'] = false

  2. GitLab을 다시 구성하세요: 

    sudo gitlab-ctl reconfigure

참고: HTTP/2 설정은 주 GitLab 애플리케이션에만 적용되며 GitLab Pages, 컨테이너 레지스트리 및 Mattermost와 같은 다른 서비스에는 적용되지 않습니다.

2-way SSL 클라이언트 인증 활성화

웹 클라이언트가 신뢰할 수 있는 인증서로 인증하도록 요구하려면 2-way SSL을 활성화할 수 있습니다:

  1. /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['ssl_verify_client'] = "on"
nginx['ssl_client_certificate'] = "/etc/pki/tls/certs/root-certs.pem"

  2. 선택 사항입니다. NGINX가 클라이언트에 유효한 인증서가 없다고 판단하기 전에 인증서 체인을 얼마나 깊이 검증해야 하는지 구성할 수 있습니다(기본값은 1입니다). /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['ssl_verify_depth'] = "2"

  3. GitLab을 다시 구성하세요: 

    sudo gitlab-ctl reconfigure

HTTP 엄격한 전송 보안 (HSTS) 구성

참고: HSTS 설정은 주 GitLab 애플리케이션에만 적용되며 GitLab Pages, 컨테이너 레지스트리 및 Mattermost와 같은 다른 서비스에는 적용되지 않습니다.

HTTP 엄격한 전송 보안 (HSTS)이 기본적으로 활성화되어 있으며 브라우저에게 HTTPS를 통해서만 웹 사이트에 연락해야 함을 알려줍니다. 브라우저가 한 번이라도 GitLab 인스턴스를 방문하면 사용자가 명시적으로 일반 HTTP URL (http://)을 입력하더라도 더 이상 보안되지 않은 연결을 시도하지 않도록 기억합니다. 브라우저는 자동으로 일반 HTTP URL을 https:// 버전으로 리디렉션합니다.

기본적으로 max_age가 2년으로 설정되어 있으며, 이는 브라우저가 HTTPS를 통해서만 연결해야 하는 기간을 나타냅니다.

max age 값을 변경하려면:

  1. /etc/gitlab/gitlab.rb 파일을 수정하세요: 

    nginx['hsts_max_age'] = 63072000
nginx['hsts_include_subdomains'] = false

    max_age0으로 설정하면 HSTS가 비활성화됩니다.

  2. GitLab을 다시 구성하세요: 

    sudo gitlab-ctl reconfigure

HSTS 및 NGINX에 대한 자세한 정보는 https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/를 참조하세요.

사용자 정의 공개 인증서 설치

일부 환경은 여러 작업을 위해 외부 리소스에 연결되며 GitLab은 이러한 연결이 HTTPS를 사용하고 자체 서명된 인증서로 연결하는 것을 허용합니다. GitLab에는 개별 사용자 정의 인증서를 /etc/gitlab/trusted-certs 디렉터리에 배치하여 해당 번들에 추가할 수 있는 자체 ca-cert 번들이 있습니다. 그러면 번들에 추가됩니다. 이들은 openssl의 c_rehash 방법을 사용하여 추가되며, 이 작업은 단일 인증서를 사용 중일 때에만 작동합니다.

Linux 패키지는 공식 Mozilla 신뢰된 루트 인증기관의 컬렉션을 포함하고 있습니다. 이러한 인증서는 인증서 신뢰성을 확인하는 데 사용됩니다.

참고: 자체 서명된 인증서를 사용하는 설치에 대해, Linux 패키지는 이러한 인증서를 관리하는 방법을 제공합니다. 이 작동 방식에 대한 기술적인 자세한 내용은 이 페이지의 세부 정보를 참조하십시오.

사용자 정의 공개 인증서를 설치하려면:

  1. PEM 또는 DER 인코딩된 공개 인증서를 개인 키 인증서에서 생성합니다.
  2. 공개 인증서 파일만 /etc/gitlab/trusted-certs 디렉터리에 복사합니다. 다중 노드 설치를 하는 경우, 해당 인증서를 모든 노드에 복사하는 것을 잊지 마십시오.
    • GitLab을 사용하여 사용자 정의 공개 인증서를 사용하도록 구성할 때, 기본적으로 GitLab은 .crt 확장자가 있는 GitLab 도메인 이름으로 명명된 인증서를 찾는 것으로 예상합니다. 예를 들어, 서버 주소가 https://gitlab.example.com인 경우 인증서는 gitlab.example.com.crt로 명명되어야 합니다.
    • GitLab이 사용자 정의 공개 인증서를 사용하는 외부 리소스에 연결해야 하는 경우, 인증서를 .crt 확장자로 /etc/gitlab/trusted-certs 디렉터리에 저장합니다. 그러나 관련 외부 리소스의 도메인 이름에 기반하여 파일 이름을 지정할 필요는 없지만 일관된 명명 체계를 사용하는 것이 도움이 됩니다.

    다른 경로 및 파일 이름을 지정하려면 기본 SSL 인증서 위치를 변경할 수 있습니다.

  3. GitLab을 다시 구성합니다: 

    sudo gitlab-ctl reconfigure

사용자 정의 인증서 체인 사용

사용자 정의 인증서 체인을 사용하는 경우 알려진 문제로 인해 서버, 중간 및 루트 인증서를 /etc/gitlab/trusted-certs 디렉터리의 별도의 파일에 반드시 넣어야 합니다.

이는 GitLab 자체 또는 GitLab이 연결해야 하는 외부 리소스에서 사용자 정의 인증서 체인을 사용하는 경우 양쪽 모두에 적용됩니다.

예를 들어, GitLab 자체의 경우:

  • /etc/gitlab/trusted-certs/example.gitlab.com.crt
  • /etc/gitlab/trusted-certs/example.gitlab.com_intermediate.crt
  • /etc/gitlab/trusted-certs/example.gitlab.com_root.crt

GitLab이 연결해야 하는 외부 리소스의 경우:

  • /etc/gitlab/trusted-certs/external-service.gitlab.com.crt
  • /etc/gitlab/trusted-certs/external-service.gitlab.com_intermediate.crt
  • /etc/gitlab/trusted-certs/external-service.gitlab.com_root.crt

GitLab 및 SSL 작동 방식에 대한 상세 정보

Linux 패키지는 자체 OpenSSL 라이브러리를 포함하며 모든 컴파일된 프로그램 (예: Ruby, PostgreSQL 등)은 이 라이브러리에 링크됩니다. 이 라이브러리는 /opt/gitlab/embedded/ssl/certs에서 인증서를 찾도록 컴파일되어 있습니다.

Linux 패키지는 /etc/gitlab/trusted-certs/에 추가되는 모든 인증서를 /opt/gitlab/embedded/ssl/certs로 심볼릭 링크를 걸어서 사용자 정의 인증서를 관리합니다. 예를 들어, /etc/gitlab/trusted-certs/customcacert.pem을 추가한다고 가정해 봅시다. 

$ sudo ls -al /opt/gitlab/embedded/ssl/certs

total 272
drwxr-xr-x 2 root root   4096 Jul 12 04:19 .
drwxr-xr-x 4 root root   4096 Jul  6 04:00 ..
lrwxrwxrwx 1 root root     42 Jul 12 04:19 7f279c95.0 -> /etc/gitlab/trusted-certs/customcacert.pem
-rw-r--r-- 1 root root 263781 Jul  5 17:52 cacert.pem
-rw-r--r-- 1 root root    147 Feb  6 20:48 README

여기서 우리는 인증서의 지문이 7f279c95임을 볼 수 있으며, 이는 사용자 정의 인증서로 연결됩니다.

HTTPS 요청을 보낼 때 어떤 일이 벌어지는지 살펴봅시다. 간단한 Ruby 프로그램을 살펴볼까요? 

#!/opt/gitlab/embedded/bin/ruby
require 'openssl'
require 'net/http'

Net::HTTP.get(URI('https://www.google.com'))

실제로는 다음과 같은 일이 벌어집니다:

  1. require 'openssl' 줄은 해석기가 /opt/gitlab/embedded/lib/ruby/2.3.0/x86_64-linux/openssl.so를 로드하도록 합니다.
  2. Net::HTTP 호출은 /opt/gitlab/embedded/ssl/certs/cacert.pem에 기본 인증서 번들을 읽으려고 합니다.
  3. SSL 협상이 발생합니다.
  4. 서버가 SSL 인증서를 보냅니다.
  5. 보낸 인증서가 번들에 해당하는 경우, SSL이 성공적으로 완료됩니다.
  6. 그렇지 않으면 OpenSSL은 미리 정의된 인증서 디렉터리 내에서 해당 지문과 일치하는 파일을 검색하여 다른 인증서를 검증합니다. 예를 들어, 인증서의 지문이 7f279c95인 경우 OpenSSL은 /opt/gitlab/embedded/ssl/certs/7f279c95.0를 읽으려고 합니다.

알려 드립니다. OpenSSL 라이브러리는 SSL_CERT_FILESSL_CERT_DIR 환경 변수를 정의하여 사용자 정의 인증서를 추가한 경우 이러한 변수를 설정하는 것이 필요하지 않을 수 있으나, 필요한 경우 이러한 변수들을 환경 변수로 정의할 수 있습니다. 예를 들어: 

gitlab_rails['env'] = {"SSL_CERT_FILE" => "/usr/lib/ssl/private/customcacert.pem"}

문제 해결

우리의 SSL 문제 해결 가이드를 확인하세요.