HTTPS 요청 처리 방법 CloudFront 선택

최종 사용자가 HTTPS를 사용하고 파일에 대체 도메인 이름을 사용하도록 하려면 HTTPS 요청 처리 방법에 CloudFront 대한 다음 옵션 중 하나를 선택하십시오.

• 서버 이름 표시(SNI) 사용 – 권장

• 각 엣지 로케이션에서 전용 IP 주소 사용

이 단원에서는 각 옵션이 어떻게 작동하는지를 설명합니다.

SNI를 사용하여 HTTPS 요청 제공(대부분 클라이언트에 적용)

서버 이름 표시(SNI)는 2010년 이후 출시된 브라우저와 클라이언트에서 지원되는 TLS 프로토콜의 확장 기능입니다. SNI를 사용하여 HTTPS 요청을 CloudFront 처리하도록 구성하는 경우 대체 도메인 이름을 각 엣지 로케이션의 IP 주소와 CloudFront 연결합니다. 최종 사용자가 HTTPS 콘텐츠 요청을 제출하면 DNS는 이 요청을 올바른 엣지 로케이션의 IP 주소로 라우팅합니다. 도메인 이름의 IP 주소는 SSL/TLS 핸드셰이크 협상 중에 결정됩니다(IP 주소는 배포 전용이 아님).

HTTPS 연결 설정 과정 초기에 SSL/TLS 협상이 발생합니다. 요청의 대상 도메인을 즉시 확인할 CloudFront 수 없는 경우 연결이 끊어집니다. SNI를 지원하는 최종 사용자가 콘텐츠에 대해 HTTPS 요청을 전송할 경우 다음과 같은 작업이 수행됩니다.

1. 최종 사용자는 요청 URL에서 도메인 이름을 자동으로 가져와서 요청 헤더의 필드에 추가합니다.

2. 요청을 CloudFront 받으면 요청 헤더에서 도메인 이름을 찾아 해당 SSL/TLS 인증서로 요청에 응답합니다.

3. 뷰어는 SSL/TLS 협상을 수행합니다. CloudFront

4. CloudFront 요청된 콘텐츠를 뷰어에게 반환합니다.

SNI를 지원하는 최신 브라우저 목록은 Wikipedia 항목인 Server Name Indication을 참조하십시오.

SNI를 사용하고자 하지만 사용자 브라우저 중 일부에서 SNI가 지원되지 않는 경우 몇 가지 옵션 중 하나를 사용할 수 있습니다.

• SNI 대신 전용 IP 주소를 사용하여 HTTPS 요청을 CloudFront 처리하도록 구성합니다. 자세한 설명은 전용 IP 주소를 사용하여 HTTPS 요청 제공(모든 클라이언트에 적용) 섹션을 참조하세요.

• 사용자 지정 인증서 CloudFront 대신 SSL/TLS 인증서를 사용하십시오. 이를 위해서는 파일의 URL에 배포용 CloudFront 도메인 이름을 사용해야 합니다 (예:). https://d111111abcdef8.cloudfront.net/logo.png

  기본 CloudFront 인증서를 사용하는 경우 뷰어는 SSL 프로토콜 TLSv1 이상을 지원해야 합니다. CloudFront 기본 인증서로는 SSLv3을 지원하지 않습니다. CloudFront

  또한 사용자 지정 인증서에서 사용 CloudFront 중인 SSL/TLS 인증서를 기본 인증서로 변경해야 합니다. CloudFront

  • 배포를 사용하여 콘텐츠를 배포하지 않은 경우에는 구성을 변경하면 됩니다. 자세한 설명은 배포 업데이트 섹션을 참조하세요.

  • 배포를 사용하여 콘텐츠를 배포한 경우 새 CloudFront 배포를 만들고 파일의 URL을 변경하여 콘텐츠를 사용할 수 없는 시간을 줄이거나 없애야 합니다. 자세한 설명은 사용자 지정 SSL/TLS 인증서를 기본 인증서로 되돌리기 CloudFront 섹션을 참조하세요.

• 사용자가 사용하는 브라우저를 개발자가 제어할 수 있는 경우 사용자가 해당 브라우저를 SNI가 지원되는 브라우저로 업그레이드하게 합니다.

• HTTPS 대신에 HTTP를 사용합니다.

전용 IP 주소를 사용하여 HTTPS 요청 제공(모든 클라이언트에 적용)

서버 이름 표시(SNI)는 요청을 도메인과 연결하는 한 가지 방법입니다. 또 다른 방법으로는 전용 IP 주소 사용을 들 수 있습니다. 2010년 이후 출시 브라우저나 클라이언트로 업그레이드가 불가한 사용자가 있다면 전용 IP 주소를 사용하여 HTTPS 요청을 제공할 수 있습니다. SNI를 지원하는 최신 브라우저 목록은 Wikipedia 항목인 Server Name Indication을 참조하십시오.

중요

전용 IP 주소를 사용하여 HTTPS 요청을 CloudFront 처리하도록 구성하면 월별 요금이 추가로 발생합니다. 요금 발생은 SSL/TLS 인증서를 배포와 연결하고 배포를 활성화할 때 시작됩니다. CloudFront 요금에 대한 자세한 내용은 Amazon CloudFront 요금을 참조하십시오. 또한 Using the Same Certificate for Multiple CloudFront Distributions 단원을 참조하십시오.

전용 IP 주소를 사용하여 HTTPS 요청을 CloudFront 처리하도록 구성하는 경우 대체 도메인 이름을 각 CloudFront 엣지 로케이션의 전용 IP 주소와 CloudFront 연결합니다. 최종 사용자가 콘텐츠에 대해 HTTPS 요청을 전송할 경우 다음과 같은 작업이 수행됩니다.

1. DNS에서 배포의 해당 엣지 로케이션에 대한 IP 주소로 요청을 라우팅합니다.

2. CloudFront IP 주소를 사용하여 배포를 식별하고 최종 사용자에게 반환할 SSL/TLS 인증서를 결정합니다.

3. 뷰어는 SSL/TLS 인증서를 CloudFront 사용하여 SSL/TLS 협상을 수행합니다.

4. CloudFront 요청된 콘텐츠를 뷰어에게 반환합니다.

이 방법은 사용자가 사용 중인 브라우저나 기타 최종 사용자와 상관없이 모든 HTTPS 요청에 작동합니다.

3개 이상의 전용 IP SSL/TLS 인증서를 사용할 수 있는 권한 요청

3개 이상의 SSL/TLS 전용 IP 인증서를 영구적으로 연결할 수 있는 권한이 필요한 CloudFront 경우 다음 절차를 수행하십시오. HTTPS 요청에 대한 자세한 내용은 HTTPS 요청 처리 방법 CloudFront 선택 단원을 참조하세요.

참고

이 절차는 배포판 전체에서 3개 이상의 전용 IP 인증서를 사용하기 위한 것입니다. CloudFront 기본값은 2입니다. 배포에 2개 이상의 SSL 인증서를 바인딩할 수 없다는 점에 유의하세요.

한 번에 하나의 SSL/TLS 인증서만 배포에 연결할 수 있습니다 CloudFront . 이 숫자는 모든 배포판에서 사용할 수 있는 전용 IP SSL 인증서의 총 개수입니다. CloudFront

CloudFront 배포에 3개 이상의 인증서를 사용할 수 있는 권한을 요청하려면

1. 지원 센터로 이동하여 사례를 생성합니다.

2. 사용 권한이 필요한 인증서 수를 지정하고 요청 상황을 설명하세요. 그러고 나면 귀하의 계정을 가능한 빨리 업데이트하겠습니다.

3. 다음 절차로 진행합니다.