본문 바로가기
🌴 DevOps/Cloud

[ACM] 공인인증서 발급 및 CloudFront 적용

by 카프리썬_ 2020. 5. 26.
728x90
728x90

AWS Certificate Manager(ACM)

즉, 앞에서 알아본 SSL인증서를 AWS에서 만들어줄 수 있는 서비스

 

일반적인 인증서(사설인증서)는 기한만료면 갱신작업이 필요하지만,
AWS에서 발급받은 인증서(공인인증서)는 13개월마다 자동으로 갱신되는 장점이 있음 
비용은 인증서 값이 아니라 트래픽에 대해서만 청구

 

공인인증서 요청

1. 인증서 요청

1) 공인 인증서 : Amazon의 공인인증서 -> 인증방식 : 도메인방식/이메일방식
2) 사설 인증서 : 사설CA의 인증서

 

2. 도메인이름 추가

와일드카드 인증서(*) : 전체도메인(FQDN)의 서브도메인들까지 모두 SSL 적용
ex) *.naver.com이면 mail.naver.com, new.naver.com 등 서브도메인 무제한

추가도메인도 설정할 수 있음 

 

 

3. 검증방법 선택

ACM한테 인증서를 요청한 도메인이 존재하는지 확인하는 방법

1) DNS 검증방식

도메인의 소유권이 사용자한테 있는지 DNS로 확인
ACM에서 정해주는 토큰(이름/값)을 DNS서버에 가서 CNAME 레코드로 등록해서 확인
DNS에서 해당 레코드를 확인하면 SSL인증서 발급완료

 

Route53을 DNS서버로 사용할 경우,
CNAME 레코드의 ‘이름’은 ACM이 식별하기 위한 ID, ‘값’은 인증서를 발급한 도메인의ID
그래서 Rotue53이 해당 레코드를 다 등록하고 나면 인증서 발급완료!
갱신방법은 Route53에 등록된 토큰값(이름/값)을 보고 ‘자동으로’ 13 개월마다 인증서갱신

 

2) 이메일 방식

도메인의 소유권이 사용자한테 있는지 이메일로 확인
AWS에서 도메인정보에 있는 이메일 주소로 인증메일을 전송함
받은 메일에서 승인하면 SSL인증서 발급완료

 

4. 인증서 요청결과

상태 : 발급완료
유형 : Amazon 발급

5. CloudFront 에 적용

ACM은 리전별로 적용

CF는 버지니아 북부에 있는 ACM을 적용

SSL인증서를 발급받아 교환함으로써 클라이언트와 서버 사이의 https통신을 가능하게 해준다
따라서, CloudFront에 적용하는 경우 :  외부Client <->CloudFront(Server)

 

cf에 적용한 결과

cf의 cname : cfalb.hostname -> route53에 레코드생성

인증서확인 : 발급대상-Amazon

728x90
반응형