Amazon CloudFront
개발자 안내서 (API 버전 2016-09-29)

CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항

SSL/TLS 인증서에 대한 요구 사항은 이 주제에 설명되어 있습니다. 별도로 명시되지 않는 한 다음 두 가지를 모두 적용합니다.

  • 최종 사용자와 CloudFront 사이에서 HTTPS를 사용한 인증서

  • CloudFront와 오리진 사이에서 HTTPS를 사용한 인증서

인증서 발행자

사용해야 하는 인증서 발행자는 최종 사용자와 CloudFront 간에 HTTPS를 요구할지 또는 CloudFront와 오리진 간에 HTTPS를 요구할지에 따라 다릅니다.

  • 최종 사용자와 CloudFront 간의 HTTPS – 신뢰할 수 있는 인증 기관(CA)(예: Comodo, DigiCert, Symantec 등)에서 발급한 인증서를 사용하거나, AWS Certificate Manager(ACM)에서 제공한 인증서를 사용할 수 있습니다.

    중요

    CloudFront 배포에 대체 도메인 이름을 사용하려면, 대체 도메인 이름을 사용할 권한이 있음을 CloudFront에 확인해야 합니다. 이를 수행하려면 배포에 유효한 인증서를 연결하고 해당 인증서가 Mozilla에 포함된 CA 인증서 목록에 있는 신뢰할 수 있는 CA에서 제공한 것인지 확인해야 합니다. CloudFront는 자체 서명된 인증서를 사용하여 대체 도메인 이름을 사용할 권한을 확인하는 것을 허용하지 않습니다.

  • CloudFront와 사용자 지정 오리진 간의 HTTPS – 오리진이 ELB 로드 밸런서(예: Amazon EC2)가 아닐 경우 인증서는 신뢰할 수 있는 CA(예: Comodo, DigiCert, Symantec 등)에서 발급한 것이어야 합니다. 오리진이 ELB 로드 밸런서일 경우 ACM에서 제공한 인증서를 사용할 수도 있습니다.

    중요

    CloudFront에서 HTTPS를 사용하여 오리진과 통신할 경우, CloudFront에서는 인증서가 신뢰할 수 있는 인증 기관에 의해 발급되었는지 확인합니다. CloudFront에서는 Mozilla가 지원하는 것과 동일한 인증 기관을 지원합니다. 최신 목록은 Mozilla Included CA Certificate List를 참조하십시오. CloudFront와 오리진 간의 HTTPS 통신에는 자체 서명한 인증서를 사용할 수 없습니다.

    SSL/TLS 인증서 가져오기 및 설치에 대한 자세한 내용은 HTTP 서버 소프트웨어 설명서와 인증 기관 설명서를 참조하십시오. ACM에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하십시오.

인증서를 요청하는 AWS 리전(AWS Certificate Manager)

최종 사용자와 CloudFront 간에 HTTPS를 요구하려면, 인증서를 요청하거나 가져오기 전에 먼저 AWS Certificate Manager 콘솔에서 AWS 리전을 미국 동부(버지니아 북부)로 변경해야 합니다.

CloudFront와 오리진 간에 HTTPS를 요구할 경우, 오리진으로 ELB 로드 밸런서를 사용한다면 아무 리전에서 인증서를 요청하거나 가져올 수 있습니다.

인증서 형식

인증서는 X.509 PEM 형식이어야 합니다. AWS Certificate Manager을 사용할 경우 이 형식이 기본 형식입니다.

중간 인증서

다른 인증 기관(CA)을 사용할 경우, 도메인 인증서에 서명한 CA 관련 인증서부터, 인증서 체인에 있는 모든 중간 인증서를 .pem 파일에 명시합니다. 일반적으로 올바른 체인 순서대로 중간 및 루트 인증서를 나열하는 파일이 CA 웹 사이트에 있습니다.

중요

루트 인증서, 신뢰 경로에 없는 중간 인증서 또는 CA의 퍼블릭 키 인증서는 포함하지 마세요.

다음은 그 예입니다:

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

키 유형

CloudFront는 RSA 퍼블릭/프라이빗 키 페어만 지원합니다.

프라이빗 키

다른 인증 기관(CA)의 인증서를 사용할 경우 다음 사항에 유의하세요.

  • 프라이빗 키는 인증서에 있는 퍼블릭 키와 일치해야 합니다.

  • 프라이빗 키는 PEM 형식의 RSA 프라이빗 키여야 합니다. PEM 머리글은 BEGIN RSA PRIVATE KEY이고, 바닥글은 END RSA PRIVATE KEY입니다.

  • 프라이빗 키는 암호로 암호화할 수 없습니다.

AWS Certificate Manager(ACM)에서 인증서를 제공할 경우 ACM은 프라이빗 키를 공개하지 않습니다. 이 프라이빗 키는 ACM과 통합된 AWS 서비스에서 사용하기 위해 ACM에 저장됩니다.

권한

인증서를 콘텐츠 전송 네트워크(CDN)로 가져오려면 인증서를 발급한 인증 기관(CA)의 사용 권한을 포함하여 SSL/TLS 인증서를 사용하고 가져올 수 있는 권한이 있어야 합니다.

AWS Certificate Manager(ACM)를 사용하는 경우, AWS Identity and Access Management 권한을 사용하여 인증서에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 권한 및 정책을 참조하십시오.

퍼블릭 키의 크기

인증서에 대한 퍼블릭 키 길이는 저장 위치에 따라 다릅니다.

  • AWS Certificate Manager(ACM)으로 인증서 가져오기: 퍼블릭 키 길이는 1024비트 또는 2048비트여야 합니다. CloudFront에서는 더 큰 키가 지원되기는 하지만, ACM에서 사용하는 인증서의 제한은 2048비트입니다.

  • AWS Identity and Access Management(IAM) 인증서 스토어에 인증서 업로드: 퍼블릭 키의 최대 크기는 2048비트입니다.

2048비트를 사용하는 것이 좋습니다.

ACM에서 제공한 인증서의 퍼블릭 키에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서ACM 인증서 특성을 참조하십시오.

퍼블릭 키 크기를 확인하는 방법에 대한 자세한 내용 SSL/TLS 인증서에서 퍼블릭 키 크기 확인을 참조하십시오.

지원되는 인증서 유형

CloudFront는 다음을 포함한 모든 유형의 인증서를 지원합니다.

  • 도메인 검증 인증서

  • 확장 검증(EV) 인증서

  • 높은 보증 인증서

  • 와일드카드 인증서(*.example.com)

  • 제목 대체 이름(SAN) 인증서(example.comexample.net)

인증서 만료 날짜 및 갱신

다른 인증 기관(CA)에서 받은 인증서를 사용할 경우, 인증서 만료 날짜를 직접 모니터링해야 하고, AWS Certificate Manager(ACM)으로 가져오거나 AWS Identity and Access Management 인증서 스토어에 업로드한 SSL/TLS 인증서를 직접 갱신해야 합니다.

ACM에서 제공한 인증서를 사용할 경우 ACM에서 인증서 갱신을 관리해 줍니다. 자세한 내용은 AWS Certificate Manager 사용 설명서관리형 갱신을 참조하십시오.

CloudFront 배포 및 인증서의 도메인 이름

사용자 지정 오리진을 사용하는 경우 오리진의 SSL/TLS 인증서에는 [Common Name] 필드에 도메인 이름이 포함되며 Subject Alternative Names(주제 대체 이름) 필드에도 몇 번 더 포함될 수 있습니다. CloudFront는 인증서 도메인 이름 내 와일드카드 문자 사용을 지원합니다.

중요

배포에 대체 도메인 이름을 추가하면, CloudFront는 해당 대체 도메인 이름이 연결한 인증서에 포함되어 있는지 확인합니다. 인증서는 인증서의 주체 대체 이름(SAN) 필드에 있는 대체 도메인 이름을 포함해야 합니다. 즉 해당 도메인 이름과 정확히 일치하거나 추가할 대체 도메인 이름과 동일한 수준에서 와일드카드를 포함해야 합니다.

자세한 내용은 대체 도메인 이름 사용과 관련된 요구 사항 단원을 참조하십시오.

인증서의 도메인 이름 중 하나는 오리진 도메인 이름으로 지정하는 도메인 이름과 일치해야 합니다. 일치하는 도메인 이름이 없는 경우 CloudFront는 최종 사용자에게 HTTP 상태 코드 502(잘못된 게이트웨이)를 반환합니다.

Minimum SSL Protocol Version

전용 IP 주소를 사용할 경우 보안 정책을 선택하여 최종 사용자와 CloudFront 간의 연결을 위한 최소 SSL 프로토콜 버전을 선택할 수 있습니다.

자세한 내용은 보안 정책 주제에서 배포를 만들거나 업데이트할 때 지정하는 값 단원을 참조하십시오.

Supported HTTP Versions

한 인증서를 둘 이상의 CloudFront 배포와 연결하는 경우, 인증서와 연결된 모든 배포에서 Supported HTTP Versions에 대해 동일한 옵션을 사용해야 합니다. CloudFront 배포를 생성 또는 업데이트할 때 이 옵션을 지정합니다.