Nginx Proxy Manager(NPM) 설치 및 Cloudflare 무료 SSL 설정 가이드

홈서버를 운영할 때 여러 개의 서비스를 도메인으로 연결하려면 **역방향 프록시(Reverse Proxy)**가 필수입니다. 이번 포스트에서는 가장 사용하기 쉬운 **Nginx Proxy Manager(NPM)**를 Docker Compose로 설치하고, Cloudflare DNS Challenge를 통해 80번 포트 개방 없이 무료 와일드카드 SSL 인증서를 발급받는 방법을 정리했습니다.

1. Nginx Proxy Manager(NPM)란?

• GUI 기반: 복잡한 Nginx 설정 파일을 건드리지 않고 브라우저에서 모든 설정을 관리합니다.
• 자동 SSL 발급: Let's Encrypt를 통해 클릭 몇 번으로 SSL(HTTPS)을 적용할 수 있습니다.
• 포워딩 관리: 도메인별로 내부 IP와 포트를 매핑해줍니다.

2. Docker Compose로 NPM 설치하기

LXC 컨테이너 또는 VM에 Docker가 설치되어 있어야 합니다.

2.1 docker-compose.yml 작성

version: '3.8'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'   # HTTP
      - '81:81'   # 관리자 UI
      - '443:443' # HTTPS
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

2.2 실행 및 로그인

docker compose up -d

• 접속 주소: http://[서버-IP]:81
• 기본 계정: [email protected] / changeme (로그인 후 즉시 변경 권장)

3. Cloudflare DNS를 이용한 무료 SSL 설정 (DNS Challenge)

일반적인 HTTP-01 방식은 80번 포트가 열려 있어야 인증이 가능하지만, DNS Challenge 방식을 사용하면 포트를 열지 않고도 **와일드카드 인증서(*.domain.com)**를 발급받을 수 있습니다.

3.1 Cloudflare API 토큰 생성

1. Cloudflare 대시보드 → 내 프로필 → API 토큰으로 이동합니다.
2. 토큰 생성 → Zone DNS 편집 템플릿을 선택합니다.
3. 사용 권한: Zone - DNS - Edit, Zone - Zone - Read가 포함되어 있는지 확인합니다.
4. 영역 리소스: 모든 영역 또는 특정 도메인을 선택하고 토큰을 생성한 뒤 메모해 둡니다.

3.2 NPM에서 SSL 인증서 발급

1. NPM 관리 페이지에서 SSL Certificates → Add SSL Certificate → Let's Encrypt를 클릭합니다.
2. Domain Names: *.yourdomain.com, yourdomain.com을 입력합니다.
3. Use a DNS Challenge를 활성화(ON) 합니다.
4. DNS Provider: Cloudflare를 선택합니다.
5. Credentials File Content: 아까 생성한 API 토큰을 dns_cloudflare_api_token = 뒷부분에 붙여넣습니다.
6. I Agree... 체크 후 Save를 누르면 끝! (약 1~2분 소요)

4. 프록시 호스트(Proxy Host) 설정

이제 실제 서비스에 도메인을 연결해 봅시다.

1. Hosts → Proxy Hosts → Add Proxy Host 클릭.
2. Domain Names: vscode.yourdomain.com (예시)
3. Forward Hostname/IP: 연결할 서비스의 내부 IP.
4. Forward Port: 해당 서비스의 포트.
5. SSL 탭에서 방금 생성한 Cloudflare 와일드카드 인증서를 선택합니다.
6. Force SSL, HTTP/2 Support, Websockets Support를 모두 체크하는 것을 권장합니다.

5. 자주 묻는 질문 (FAQ)

Q. 80번 포트를 꼭 닫아도 되나요? A. DNS Challenge 방식을 사용하면 SSL 인증서 발급 시에는 80번 포트가 필요 없지만, 일반 사용자가 HTTP로 접속했을 때 HTTPS로 강제 리다이렉트(Force SSL)하려면 80번 포트가 열려 있어야 합니다. 보안이 극도로 중요하다면 80번을 닫고 HTTPS(443)로만 접속하게 할 수 있습니다.

Q. API 토큰 권한 오류가 납니다. A. Cloudflare에서 토큰을 만들 때 DNS Edit 권한과 Zone Read 권한이 모두 있는지 다시 확인하세요.

관련 검색어: nginx proxy manager docker, cloudflare ssl 설정, 무료 와일드카드 인증서, npm letsencrypt cloudflare, 홈서버 외부 접속