nginx: ACME(Let’s Encrypt) webroot 챌린지 설정

/.well-known/acme-challenge/ 경로만 안전하게 열어 certbot/ACME HTTP-01을 통과시키는 패턴

분야: DevOps/인프라 nginxhttpssslletsencryptacmecertbot

Let’s Encrypt는 HTTP-01 챌린지에서 /.well-known/acme-challenge/... 경로에 특정 파일이 “정확히 서빙되는지” 확인합니다.

초보자 튜토리얼(처음부터 HTTPS까지): nginx로 정적 웹사이트 + HTTPS 구축하기

관련 용어: ACME, certbot

webroot 패턴 (권장)

# server { ... } 안
location ^~ /.well-known/acme-challenge/ {
  root /var/www/letsencrypt;
  default_type "text/plain";
}

운영 팁

  • root 디렉터리는 정적 루트와 분리하는 편이 안전합니다. (웹루트에 잡다한 파일이 섞이지 않게)
  • /.well-known/ 전체를 열지 말고, acme-challenge만 여는 편이 실수 방지에 유리합니다.

차단 규칙과 같이 쓰기 (실수 방지)

아래와 같이 “숨김 파일”을 차단하되, Let’s Encrypt 경로는 예외로 둡니다.

location ~ /\.(?!well-known) {
  return 404;
}

관련 템플릿: nginx: 민감 파일(.env/.git/백업) 차단

확인 방법

sudo nginx -t && sudo systemctl reload nginx
sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge
echo ok | sudo tee /var/www/letsencrypt/.well-known/acme-challenge/ping >/dev/null
curl -fsS http://example.com/.well-known/acme-challenge/ping

같은 분야의 템플릿

Dockerfile: Node 프로덕션 기본 패턴
멀티스테이지 빌드로 이미지 크기를 줄이는 기본 예시
journalctl: systemd 서비스 장애 디버깅
status/journalctl로 장애 원인을 빠르게 좁히는 실무 명령어 모음
nginx: 서브패스(/admin)에서 SPA 서빙 (alias + fallback)
/admin 아래에 React/Vue SPA를 배포할 때 새로고침 404를 막는 alias/try_files 패턴
nginx: 민감 파일(.env/.git/백업) 차단
실수로 웹루트에 올라온 시크릿/백업이 유출되지 않도록 기본 차단 룰을 추가
nginx: bot/스크래퍼 차단 (map 기반)
User-Agent 패턴을 map으로 분류하고, 필요한 엔드포인트만 보수적으로 차단하는 방법
nginx: /healthz JSON 엔드포인트 빠르게 만들기
업스트림 없이 nginx만으로 상태 확인용 엔드포인트를 제공하는 패턴(로드밸런서/모니터링용)