HTTP 502 상태 코드(잘못된 게이트웨이) - 아마존 CloudFront
사용자 지정 오리진 서버 간의 CloudFront SSL/TLS 협상 실패오리진이 지원되는 암호화/프로토콜에 응답하지 않음오리진의 SSL/TLS 인증서가 만료되었거나 잘못되었거나 자체 서명되었거나, 인증서 체인의 순서가 잘못됨오리진이 오리진 설정의 지정된 포트에서 응답하지 않음

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

HTTP 502 상태 코드(잘못된 게이트웨이)

HTTP 502 상태 코드 (잘못된 게이트웨이) 는 원본 서버에 연결할 수 없어서 요청된 객체를 제공할 수 CloudFront 없었음을 나타냅니다.

사용자 지정 오리진 서버 간의 CloudFront SSL/TLS 협상 실패

사용자 지정 오리진을 사용하고 오리진과 오리진 간에 CloudFront HTTPS를 요구하도록 구성한 경우 CloudFront 도메인 이름이 일치하지 않아 문제가 발생할 수 있습니다. 오리진에 설치된 SSL/TLS 인증서에는 Common Name(일반 이름) 필드에 도메인 이름이 있고 Subject Alternative Names(제목 대체 이름) 필드에도 몇 가지 이름이 더 있을 수 있습니다. (인증서 도메인 이름에 와일드카드 문자를 CloudFront 지원합니다.) 인증서의 도메인 이름 중 하나가 다음 값 모두와 또는 하나와 일치해야 합니다.

  • 배포의 해당 오리진의 Origin Domain Name(오리진 도메인 이름)에 대해 지정된 값입니다.

  • Host헤더를 오리진에 CloudFront 전달하도록 구성한 경우 Host 헤더의 값입니다. Host 헤더를 오리진으로 전달하는 방법에 대한 자세한 내용은 요청 헤더 기반의 콘텐츠 캐싱 단원을 참조하십시오.

도메인 이름이 일치하지 않으면 SSL/TLS 핸드셰이크가 실패하고 HTTP 상태 코드 502 (Bad Gateway) 를 CloudFront 반환하고 헤더를 로 설정합니다. X-Cache Error from cloudfront

온라인 SSL 확인 프로그램 또는 OpenSSL을 사용하여 인증서의 도메인 이름이 Host 헤더 또는 배포의 Origin Domain Name(오리진 도메인 이름)과 일치하는지 여부를 파악할 수 있습니다. 도메인 이름이 일치하지 않는 경우, 다음 두 가지 옵션이 있습니다.

  • 해당하는 도메인 이름이 포함된 새 SSL/TLS 인증서를 받습니다.

    AWS Certificate Manager(ACM)를 사용하는 경우 새 인증서를 요청하려면 AWS Certificate Manager 사용 설명서에서 퍼블릭 인증서 요청을 참조하세요.

  • 더 CloudFront 이상 SSL을 사용하여 오리진에 연결하지 않도록 배포 구성을 변경하세요.

온라인 SSL 확인 프로그램

SSL 테스트 도구를 찾으려면 인터넷에서 "online ssl checker"를 검색합니다. 일반적으로, 도메인 이름을 지정하면 SSL/TLS 인증서에 대한 다양한 정보가 도구에 표시됩니다. 인증서의 일반 이름 또는 주제 대체 이름 필드에 도메인 이름이 나와 있는지 확인합니다.

OpenSSL

HTTP 502 오류를 해결하는 데 도움이 되도록 OpenSSL을 사용하여 오리진 서버에 SSL/TLS 연결을 시도할 수 있습니다. CloudFront OpenSSL을 연결할 수 없는 경우 이는 오리진 서버의 SSL/TLS 구성에 문제가 있음을 나타낼 수 있습니다. OpenSSL을 연결할 수 있는 경우 인증서의 일반 이름(Subject CN 필드) 및 주체 대체 이름(Subject Alternative Name 필드)을 포함하여 오리진 서버의 인증서에 대한 정보를 반환합니다.

다음 OpenSSL 명령을 사용하여 오리진 서버에 대한 연결을 테스트합니다(오리진 도메인 이름을 example.com과 같은 오리진 서버의 도메인 이름으로 변경).

openssl s_client -connect origin domain name:443

다음이 참인 경우:

  • 오리진 서버는 여러 SSL/TLS 인증서를 사용하여 여러 도메인 이름을 지원합니다.

  • 배포가 Host 헤더를 오리진에 전달하도록 구성되어 있습니다.

이후 다음 예제와 같이 OpenSSL 명령에 -servername 옵션을 추가합니다(CNAME을 배포에 구성된 CNAME으로 변경).

openssl s_client -connect origin domain name:443 -servername CNAME

오리진이 지원되는 암호화/프로토콜에 응답하지 않음

CloudFront 암호와 프로토콜을 사용하여 오리진 서버에 연결합니다. 지원하는 CloudFront 암호 및 프로토콜 목록은 을 참조하십시오. 원본 간에 CloudFront 지원되는 프로토콜 및 암호 오리진이 SSL/TLS 교환에서 이러한 암호 또는 프로토콜 중 하나로 응답하지 않는 경우 연결에 실패합니다. CloudFront SSL Labs와 같은 온라인 도구를 사용하면, 오리진에서 암호화 및 프로토콜을 지원하는지 확인할 수 있습니다. 호스트 이름 필드에 오리진의 도메인 이름을 입력한 다음 제출을 선택합니다. 테스트에서 일반 이름대체 이름 필드를 검토하여 오리진의 도메인 이름과 일치하는지 확인합니다. 테스트가 완료되면 테스트 결과에서 프로토콜암호 글부 섹션을 찾아 오리진에서 암호화 또는 프로토콜을 지원하는지 확인합니다. 이를 원본 간에 CloudFront 지원되는 프로토콜 및 암호의 목록과 비교합니다.

오리진의 SSL/TLS 인증서가 만료되었거나 잘못되었거나 자체 서명되었거나, 인증서 체인의 순서가 잘못됨

오리진 서버가 다음을 반환하면 TCP 연결을 끊고 HTTP 상태 코드 502 (잘못된 게이트웨이) 를 반환하고 헤더를 다음과 같이 설정합니다. CloudFront X-Cache Error from cloudfront

  • 만료된 인증서

  • 잘못된 인증서

  • 자체 서명된 인증서

  • 인증서 체인의 순서가 잘못됨

참고

중간 인증서를 포함한 전체 인증서 체인이 없는 경우 TCP 연결이 CloudFront 끊어집니다.

사용자 지정 원본 서버에 SSL/TLS 인증서를 설치하는 데 대한 자세한 내용은 사용자 지정 CloudFront 오리진과 사용자 지정 오리진 간의 통신을 위한 HTTPS 필요 섹션을 참조하세요.

오리진이 오리진 설정의 지정된 포트에서 응답하지 않음

CloudFront 배포에 오리진을 생성할 때 HTTP 및 HTTPS 트래픽용으로 오리진에 CloudFront 연결하는 포트를 설정할 수 있습니다. 기본적으로 TCP 80/443이 있습니다. 이러한 포트를 수정할 수 있습니다. 어떤 이유로든 오리진이 이러한 포트의 트래픽을 거부하거나 백엔드 서버가 포트에서 응답하지 않는 경우 연결에 실패합니다. CloudFront

이러한 문제를 해결하려면 인프라에서 실행 중인 방화벽을 확인하고, 방화벽이 지원되는 IP 범위를 차단하지 않는지 확인하십시오. 자세한 내용은 Amazon Web Services 일반 참조AWS IP 주소 범위를 참조하세요. 또한 웹 서버가 오리진에서 실행되는지 확인하십시오.