다음과 함께 SSL/TLS 인증서를 사용하기 위한 요구 사항 CloudFront

SSL/TLS 인증서에 대한 요구 사항은 이 주제에 설명되어 있습니다. 별도로 명시되지 않는 한, 다음 두 가지에 모두 적용됩니다.

• 최종 사용자 간 HTTPS 사용을 위한 인증서 CloudFront

• CloudFront 오리진과 오리진 간에 HTTPS를 사용하기 위한 인증서

인증서 발행자

AWS Certificate Manager(ACM)에서 발급된 인증서를 사용하는 것이 좋습니다. ACM에서 인증서를 받는 방법에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하세요. ACM 인증서를 함께 CloudFront 사용하려면 미국 동부 (버지니아 북부) 지역 () 에서 인증서를 요청 (또는 가져오기) 해야 합니다. us-east-1

CloudFront Mozilla와 동일한 인증 기관 (CA) 을 지원하므로 ACM을 사용하지 않는 경우 Mozilla 포함 CA 인증서 목록에 있는 CA에서 발급한 인증서를 사용하십시오. 인증서 가져오기 및 설치에 대한 자세한 내용은 HTTP 서버 소프트웨어 설명서와 CA 설명서를 참조하세요.

AWS Certificate Manager용 AWS 리전

AWS Certificate Manager(ACM) 에서 인증서를 사용하여 뷰어 간에 HTTPS를 요구하려면 미국 동부 (버지니아 북부) 지역 () 에서 인증서를 요청 (또는 가져오기) 해야 합니다. CloudFront us-east-1

오리진 간에 HTTPS를 CloudFront 요구하고 Elastic Load Balancing의 로드 밸런서를 오리진으로 사용하고 있다면 어느 곳에서나 인증서를 요청하거나 가져올 수 있습니다. AWS 리전

인증서 형식

인증서는 X.509 PEM 형식이어야 합니다. AWS Certificate Manager를 사용할 경우 이 형식이 기본 형식입니다.

중간 인증서

서드 파티 인증 기관(CA)을 사용할 경우, 도메인 인증서에 서명한 CA 관련 인증서부터, .pem 파일에 있는 인증서 체인의 모든 중간 인증서를 나열합니다. 일반적으로 올바른 체인 순서대로 중간 및 루트 인증서를 나열하는 파일이 CA 웹 사이트에 있습니다.

중요

루트 인증서, 신뢰 경로에 없는 중간 인증서 또는 CA의 퍼블릭 키 인증서는 포함하지 마세요.

다음은 그 예입니다:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

키 유형

CloudFront RSA 및 ECDSA 공개-개인 키 쌍을 지원합니다.

CloudFront RSA 및 ECDSA 인증서를 사용하여 최종 사용자와 오리진 모두에 대한 HTTPS 연결을 지원합니다. AWS Certificate Manager(ACM) 을 사용하면 RSA 또는 ECDSA 인증서를 요청 및 가져온 다음 배포에 연결할 수 있습니다. CloudFront

HTTPS 연결에서 협상할 수 CloudFront 있는 RSA 및 ECDSA 암호가 지원되는 목록은 및 을 참조하십시오. 시청자와 사용자 간에 지원되는 프로토콜 및 암호 CloudFront 원본 간에 CloudFront 지원되는 프로토콜 및 암호

프라이빗 키

다른 인증 기관(CA)의 인증서를 사용할 경우 다음 사항에 유의하세요.

• 프라이빗 키는 인증서에 있는 퍼블릭 키와 일치해야 합니다.

• 프라이빗 키는 PEM 형식이어야 합니다.

• 프라이빗 키는 암호로 암호화할 수 없습니다.

AWS Certificate Manager(ACM)에서 인증서를 제공할 경우 ACM은 프라이빗 키를 공개하지 않습니다. 이 프라이빗 키는 ACM과 통합된 AWS 서비스에서 사용하기 위해 ACM에 저장됩니다.

권한

SSL/TLS 인증서를 사용하고 가져올 수 있는 권한이 있어야 합니다. AWS Certificate Manager(ACM)를 사용하는 경우, AWS Identity and Access Management 권한을 사용하여 인증서에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 자격 증명 및 액세스 관리를 참조하세요.

인증서 키의 크기

CloudFront 지원되는 인증서 키 크기는 키 및 인증서 유형에 따라 다릅니다.

RSA 인증서의 경우:

CloudFront 1024비트, 2048비트, 3072비트 및 4096비트 RSA 키를 지원합니다. 함께 사용하는 RSA 인증서의 최대 키 길이는 4096비트입니다. CloudFront

참고로 ACM은 최대 2048비트 키가 포함된 RSA 인증서를 발급합니다. 3072비트 또는 4096비트 RSA 인증서를 사용하려면 외부에서 인증서를 받아 ACM으로 가져와야 합니다. 그러면 ACM에서 인증서를 사용할 수 있습니다. CloudFront

RSA 키의 크기를 확인하는 방법에 대한 자세한 내용은 SSL/TLS RSA 인증서에서 퍼블릭 키 크기 확인 단원을 참조하세요.

ECDSA 인증서의 경우:

CloudFront 256비트 키를 지원합니다. ACM에서 ECDSA 인증서를 사용하여 최종 사용자 간에 HTTPS를 요구하려면 prime256v1 타원 곡선을 CloudFront 사용하십시오.

지원되는 인증서 유형

CloudFront 신뢰할 수 있는 인증 기관에서 발급한 모든 유형의 인증서를 지원합니다.

인증서 만료 날짜 및 갱신

서드 파티 인증 기관(CA)에서 받은 인증서를 사용할 경우, 인증서 만료 날짜를 직접 모니터링하여 인증서가 만료되기 전에 AWS Certificate Manager(ACM)에 가져온 인증서를 갱신하거나 AWS Identity and Access Management 인증서 스토어에 업로드해야 합니다.

ACM에서 제공한 인증서를 사용할 경우 ACM에서 인증서 갱신을 관리해 줍니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.

CloudFront 배포판 및 인증서의 도메인 이름

사용자 지정 오리진을 사용하는 경우 오리진의 SSL/TLS 인증서에는 일반 이름(Common Name) 필드에 도메인 이름이 포함되며 대체 도메인 이름(Subject Alternative Names) 필드에도 몇 번 더 포함될 수 있습니다. (인증서 도메인 이름에 와일드카드 문자를 CloudFront 지원합니다.)

인증서의 도메인 이름 중 하나는 오리진 도메인 이름으로 지정하는 도메인 이름과 일치해야 합니다. 일치하는 도메인 이름이 없는 경우 502 (Bad Gateway) 뷰어에게 HTTP 상태 코드를 CloudFront 반환합니다.

중요

배포에 대체 도메인 이름을 추가할 때 첨부한 인증서가 대체 도메인 이름에 포함되는지 CloudFront 확인합니다. 인증서의 SAN(주체 대체 이름) 필드에 대체 도메인 이름이 있어야 합니다. 즉, SAN 필드에는 대체 도메인 이름과 정확히 일치하는 항목이 포함되거나 추가할 대체 도메인 이름과 동일한 수준에서 와일드카드가 포함되어야 합니다.

자세한 설명은 대체 도메인 이름 사용과 관련된 요구 사항 섹션을 참조하세요.

최소 SSL/TLS 프로토콜 버전

전용 IP 주소를 사용하는 경우 보안 정책을 선택하고 CloudFront 최종 사용자 간 연결을 위한 최소 SSL/TLS 프로토콜 버전을 설정하세요.

자세한 내용은 보안 정책 주제에서 배포를 만들거나 업데이트할 때 지정하는 값 단원을 참조하십시오.

지원되는 HTTP 버전

인증서 하나를 둘 이상의 CloudFront 배포에 연결하는 경우 인증서와 연결된 모든 배포는 동일한 옵션을 사용해야 합니다. 지원되는 HTTP 버전 CloudFront 배포를 만들거나 업데이트할 때 이 옵션을 지정합니다.