AWS Certificate Manager
사용 설명서 (버전 1.0)

개념

이 단원에서는 AWS Certificate Manager(ACM)와 관련된 기본 용어와 개념을 소개합니다.

ACM 인증서

ACM은 X.509 버전 3 인증서를 생성합니다. 각 인증서는 13개월 동안 유효하며 다음 확장이 포함됩니다.

  • 기본 제약 - 인증서의 주체가 인증 기관(CA)인지 여부를 지정합니다.

  • 기관 키 식별자 - 인증서에 서명하는 데 사용되는 프라이빗 키에 해당하는 퍼블릭 키를 식별할 수 있습니다.

  • 주체 키 식별자 - 특정 퍼블릭 키가 포함된 인증서를 식별할 수 있습니다.

  • 키 사용 - 인증서에 포함된 퍼블릭 키의 용도를 정의합니다.

  • 확장 키 사용 - 키 사용 확장에 지정된 용도에 추가하여 퍼블릭 키를 사용할 수 있는 하나 이상의 용도를 지정합니다.

  • CRL 배포 지점 - CRL 정보를 얻을 수 있는 위치를 지정합니다.

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

Apex 도메인

도메인 이름 단원을 참조하십시오.

비대칭 키 암호화 기법

대칭 키 암호화과는 달리, 비대칭 암호화 기법에서는 다르지만 수학적으로 관련된 키를 사용하여 콘텐츠를 암호화 및 암호화 해제합니다. 키 중 하나는 퍼블릭 키이며 일반적으로 X.509 v3 인증서에 제공됩니다. 다른 키는 프라이빗 키이며 보안 방식으로 저장됩니다. X.509 인증서는 사용자, 컴퓨터 또는 다른 리소스(인증서 주체)의 자격 증명을 퍼블릭 키로 바인딩합니다.

ACM 인증서는 웹 사이트의 자격 증명 및 조직의 세부 정보를 인증서에 포함된 퍼블릭 키와 바인딩하는 X.509 SSL/TLS 인증서입니다. ACM은 HSM(하드웨어 보안 모듈)의 연결된 프라이빗 키를 저장합니다.

인증 기관

인증 기관(CA)은 디지털 인증서를 발행하는 단체입니다. 상업적으로 가장 일반적인 유형의 디지털 인증서는 ISO X.509 표준을 기반으로 합니다. CA는 인증서 주체의 자격 증명을 확인하고 해당 자격 증명을 인증서에 포함된 퍼블릭 키와 바인딩하는 서명된 디지털 인증서를 발행합니다. CA는 일반적으로 인증서 취소도 관리합니다.

인증서 투명성 로깅

실수로 또는 훼손된 CA에서 발급되는 SSL/TLS 인증서를 방지하기 위해 일부 브라우저에서는 도메인에 대해 발급된 공인 인증서를 인증서 투명성 로그에 기록해야 합니다. 도메인 이름이 기록됩니다. 프라이빗 키는 기록되지 않습니다. 로깅되지 않는 인증서는 일반적으로 브라우저에서 오류를 생성합니다.

로그를 모니터링하여 도메인에 대해 허가한 인증서만 발급되는지 확인할 수 있습니다. 인증서 검색과 같은 서비스를 사용하여 로그를 점검할 수 있습니다.

Amazon CA는 도메인에 대해 공개적으로 신뢰할 수 있는 SSL/TLS 인증서를 발급하기 전에 최소 두 개 이상의 인증서 투명성 로그 서버에 인증서를 제출합니다. 이러한 서버는 인증서를 퍼블릭 데이터베이스에 추가하고 서명된 인증서 타임스탬프(SCT)를 Amazon CA에 반환합니다. 그러면 CA는 SCT를 인증서에 포함시키고 인증서에 서명한 다음 사용자에게 인증서를 발급합니다. 타임스탬프는 기타 X.509 확장과 함께 포함됩니다.

X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

옵트아웃을 선택하지 않는 한 인증서를 요청하거나 갱신할 때 인증서 투명성 로깅이 자동으로 수행됩니다. 옵트아웃에 대한 자세한 내용은 인증서 투명성 로깅 옵트아웃 단원을 참조하십시오.

Domain Name System(DNS)

Domain Name System(DNS)은 인터넷이나 프라이빗 네트워크에 연결된 컴퓨터 및 기타 리소스에 대한 계층적 분산 명명 시스템입니다. DNS는 aws.amazon.com과 같은 텍스트 도메인 이름을 111.122.133.144 형태의 숫자 IP(인터넷 프로토콜) 주소로 변환하는 데 주로 사용됩니다. 하지만 귀하 도메인의 DNS 데이터베이스는 다른 목적에 이용될 수 있는 많은 기록을 보유하고 있습니다. 예를 들어, 사용자는 CNAME 기록을 사용하면 ACM에 인증서를 요청할 때 도메인 이름에 대한 소유권이나 제어 권한을 입증할 수 있습니다. 자세한 내용은 DNS를 사용하여 도메인 소유권 확인 단원을 참조하십시오.

도메인 이름

도메인 이름은 Domain Name System(DNS)에 의해 IP 주소로 변환될 수 있는 www.example.com 같은 텍스트 문자열입니다. 인터넷을 포함하는 컴퓨터 네트워크에는 텍스트 이름보다는 IP 주소가 사용됩니다. 도메인 이름은 마침표로 구분되는 개별 레이블로 구성됩니다.

TLD

오른쪽 끝에 있는 레이블을 TLD(최상위 도메인)라고 합니다. 일반적인 예로는 .com, .net.edu가 있습니다. 또한 일부 국가에 등록된 TLD는 국가 이름의 약어로 국가 코드라고도 합니다. 예를 들면 영국의 경우 .uk, 러시아의 경우 .ru, 그리고 프랑스의 경우에는 .fr입니다. 국가 코드를 사용하는 경우 흔히 등록된 개체의 유형을 식별하기 위한 TLD에 대한 2차 수준 계층 구조가 추가됩니다. 예를 들면 .co.uk TLD는 영국의 상용 기업을 나타냅니다.

Apex 도메인

apex 도메인 이름은 최상위 도메인을 포함하고 확장합니다. 국가 코드를 포함하는 도메인 이름의 경우 apex 도메인은 있는 경우, 등록된 개체의 유형을 식별하는 코드와 레이블을 포함합니다. apex 도메인은 하위 도메인을 포함하지 않습니다(다음 단락 참조). www.example.com에서 apex 도메인의 이름은 example.com입니다. www.example.co.uk에서 apex 도메인의 이름은 example.co.uk입니다. apex 대신에 자주 사용되는 그 밖의 이름으로는 base, root, root apex 또는 zone apex가 있습니다.

하위 도메인

하위 도메인 이름은 apex 도메인 이름 앞에 붙으며 마침표로 서로 간에 구분됩니다. 가장 일반적으로 사용되는 하위 도메인 이름은 www지만, 아무 이름이나 사용할 수 있습니다. 또한 하위 도메인 이름에는 여러 수준을 지정할 수 있습니다. 예를 들면, jake.dog.animals.example.com에서 하위 도메인은 jake, doganimals 순서대로 지정되어 있습니다.

FQDN

FQDN(정규화된 도메인 이름)은 네트워크 또는 인터넷에 연결된 컴퓨터, 웹 사이트 또는 기타 리소스에 대한 완전한 DNS 이름입니다. 예를 들면 aws.amazon.com은 Amazon Web Services의 FQDN입니다. FQDN에는 최상위 도메인까지의 모든 도메인이 포함됩니다. 예를 들어, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]은 FQDN의 일반 형식을 나타냅니다.

PQDN

정규화되지 않은 도메인 이름은 PQDN(부분 정규화된 도메인 이름)이라고 하며 모호합니다. [subdomain1.subdomain2.] 같은 이름은 루트 도메인을 확인할 수 없으므로 PQDN입니다.

등록

도메인 이름을 사용할 수 있는 권한은 도메인 이름 등록자로부터 위임을 받습니다. 등록자는 일반적으로 국제인터넷주소관리기구(ICANN)에서 인증합니다. 또한, 등록 기관이라고 하는 그 밖의 조직도 TLD 데이터베이스를 관리합니다. 도메인 이름을 요청할 경우 등록자는 해당 사용자의 정보를 해당 TLD 등록 기관으로 전송합니다. 등록 기관은 도메인 이름을 할당하고 TLD 데이터베이스를 업데이트 하며 정보를 WHOIS에 게시합니다. 일반적으로 도메인 이름은 구매해야 합니다.

암호화 및 암호 해독

암호화는 데이터에 기밀성을 제공하는 프로세스입니다. 암호 해독은 프로세스를 역방향으로 수행하여 원본 데이터를 복구합니다. 암호화되지 않은 데이터는 텍스트인지 여부와 상관없이 일반적으로 일반 텍스트라고 합니다. 암호화된 데이터는 일반적으로 암호 텍스트라고 합니다. 클라이언트와 서버 간 메시지의 HTTPS 암호화는 알고리즘과 키를 사용합니다. 알고리즘은 일반 텍스트 데이터가 암호 텍스트로 변환되고(암호화) 암호 텍스트가 다시 원본 일반 텍스트로 변환되는(암호 해독) 단계별 절차를 정의합니다. 키는 암호화 또는 암호 해독 프로세스 중에 알고리즘에서 사용됩니다. 키는 프라이빗이거나 퍼블릭일 수 있습니다.

정규화된 도메인 이름(FQDN)

도메인 이름 단원을 참조하십시오.

퍼블릭 키 인프라

퍼블릭 키 인프라(PKI)는 디지털 인증서를 생성, 발행, 관리, 배포, 사용, 저장 및 취소하는 데 필요한 하드웨어, 소프트웨어, 사람, 정책, 문서 및 절차로 구성됩니다. PKI를 통해 컴퓨터 네트워크에서 정보를 쉽고 안전하게 전송할 수 있습니다.

루트 인증서

CA(인증 기관)는 일반적으로 명확하게 정의된 상위-하위 관계에 있는 여러 다른 CA가 포함된 계층 구조 내에 존재합니다. 하위 또는 종속 CA는 상위 CA에서 인증되어 인증서 체인을 생성합니다. 계층 구조의 최상위에 있는 CA를 루트 CA라고 하며 해당 인증서를 루트 인증서라고 합니다. 이 인증서는 일반적으로 자체 서명됩니다.

Secure Sockets Layer(SSL)

Secure Sockets Layer(SSL)와 TLS(전송 계층 보안)는 컴퓨터 네트워크에서 통신 보안을 제공하는 암호화 프로토콜입니다. TLS는 SSL의 후속 프로토콜입니다. 두 프로토콜 모두 X.509 인증서를 사용하여 서버를 인증합니다. 이 두 가지 프로토콜은 모두 클라이언트와 서버라는 두 개체 간에 전달되는 데이터를 암호화하는 데 사용되는 대칭 키를 클라이언트와 서버 간에 협상합니다.

보안 HTTPS

HTTPS는 모든 주요 브라우저와 서버에서 지원되는 보안 형식의 HTTP인 HTTP over SSL/TLS를 나타냅니다. 모든 HTTP 요청과 응답은 네트워크를 통해 전송되기 전에 암호화됩니다. HTTPS는 HTTP 프로토콜을 대칭, 비대칭 및 X.509 인증서 기반 암호화 기술과 결합합니다. HTTPS는 개방형 시스템 간 상호 연결(OSI) 모델에서 HTTP 애플리케이션 계층 아래 및 TCP 전송 계층 위에 암호화 보안 계층을 삽입하여 작동합니다. 보안 계층은 Secure Sockets Layer(SSL) 프로토콜 또는 TLS(전송 계층 보안) 프로토콜을 사용합니다.

SSL 서버 인증서

HTTPS 트랜잭션에서는 서버를 인증하기 위해 서버 인증서가 필요합니다. 서버 인증서는 인증서의 퍼블릭 키를 인증서의 주체와 바인딩하는 X.509 v3 데이터 구조입니다. SSL/TLS 인증서는 인증 기관(CA)에서 서명되며 서버 이름, 유효 기간, 퍼블릭 키, 서명 알고리즘 등을 포함합니다.

대칭 키 암호화

대칭 키 암호화는 동일한 키를 사용하여 디지털 데이터를 암호화하고 암호 해독합니다. 또한 비대칭 키 암호화 기법 단원도 참조하십시오.

TLS(전송 계층 보안)

Secure Sockets Layer(SSL) 단원을 참조하십시오.

신뢰

웹 브라우저가 웹 사이트의 자격 증명을 신뢰하려면 브라우저가 웹 사이트의 인증서를 확인할 수 있어야 합니다. 하지만 브라우저는 CA 루트 인증서로 알려진 소수의 인증서만 신뢰합니다. 인증 기관(CA)으로 알려진 신뢰할 수 있는 타사는 웹 사이트의 자격 증명을 확인하고 서명된 디지털 인증서를 웹 사이트 운영자에게 발행합니다. 그러면 브라우저는 디지털 서명을 점검하여 웹 사이트의 자격 증명을 확인할 수 있습니다. 확인에 성공하면 브라우저는 주소 표시줄에 자물쇠 아이콘을 표시합니다.