Let’s Encrypt / certbot 운영 체크리스트

SSL 발급/갱신에서 자주 막히는 포인트(.well-known, 리다이렉트, 자동갱신)를 정리

분야: DevOps/인프라 시리즈: SSL/TLS ssltlsletsencryptcertbotnginx

SSL 설정은 “한 번만” 하는 것 같지만, 실제 운영에서는 갱신/리다이렉트/서브도메인 확장 과정에서 자주 문제가 발생합니다.

1) 발급 전 체크

  • 80/443 포트가 외부에서 접근 가능한가? (방화벽/보안그룹)
  • server_name이 올바른가? (오타/와일드카드/서브도메인)
  • /.well-known/acme-challenge/가 200으로 열리는가?
  • HTTP→HTTPS 리다이렉트를 쓰더라도, ACME 경로는 예외가 필요할 수 있습니다.

2) 자동 갱신 체크

  • 갱신 동작 확인: certbot renew --dry-run
  • 시스템 타이머 확인(환경에 따라 다름): systemctl list-timers | rg certbot
  • nginx 리로드가 동반되는지 확인 (인증서 파일만 바뀌면 nginx는 모를 수 있음)

3) 운영 팁

  • 인증서 만료는 “장애”이므로, 모니터링(만료 D-XX 알림)을 붙이는 걸 권장합니다.
  • HSTS는 강력하지만, 모든 서브도메인이 HTTPS 준비가 된 뒤에 적용합니다.

관련 용어: HSTS

같이 보면 좋은 문서

관련 가이드

백업 설계: 복구 가능 + secrets 제외
백업은 ‘파일 생성’이 아니라 ‘복구 검증’입니다. DB/파일/시크릿을 분리해 운영 사고를 줄입니다.
MediaWiki 서버 이전 체크리스트 (nginx + PHP-FPM + DB)
MediaWiki(위키)를 다른 서버로 옮길 때 필요한 파일/DB/nginx/PHP/TLS 체크리스트
nginx에서 봇/abuse 트래픽 대응하기
UA 차단(map), rate limit, 캐시로 비용을 줄이고 서비스 안정성을 올리는 실전 패턴
한 VPS에서 여러 도메인/앱을 nginx로 운영하는 구조
정적 사이트 + API 프록시 + PHP(FastCGI)까지 함께 올릴 때의 vhost/경로/캐시/보안 패턴
nginx로 Node 서버 배포하기 (systemd + HTTPS)
Node 서버를 localhost로 띄우고 nginx로 프록시한 뒤, certbot으로 Let’s Encrypt SSL까지 한 번에 구성하는 흐름 가이드
nginx 운영 기본기: sites-available, conf.d, 로그, reload
한 서버에서 nginx를 운영할 때 필요한 디렉토리 구조/검증/로그/갱신 루틴을 체크리스트로 정리