옵션 1: DNS 검증 - AWSCertificate Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

옵션 1: DNS 검증

DNS (Domain Name System) 는 네트워크에 연결되는 리소스를 위한 디렉터리 서비스입니다. DNS 공급자는 도메인을 정의하는 레코드가 포함된 데이터베이스를 유지 관리합니다. DNS 검증을 선택하면 ACM은 이 데이터베이스에 추가해야 하는 하나 이상의 CNAME 레코드를 제공합니다. 이러한 레코드에는 도메인을 제어하는 증명 역할을 하는 고유한 키-값 쌍이 포함되어 있습니다.

예를 들어, 에 대한 인증서를 요청할 경우example.com의 도메인www.example.com추가 이름으로 ACM에서 CNAME 레코드 두 개를 자동으로 생성합니다. 사용자의 도메인 및 계정용으로 특별히 생성된 각 레코드에는 이름과 값이 포함되어 있습니다. 값을 가리키는 별칭은AWS도메인에 대해 ACM에서 인증서를 자동으로 갱신하는 데 사용합니다. CNAME 레코드는 DNS 데이터베이스에 한 번만 추가해야 합니다. ACM은 인증서가 사용 중이고 CNAME 레코드가 여전히 존재하는 경우에 한해 은 인증서를 자동으로 갱신합니다.

중요

Amazon Route53을 사용하여 퍼블릭 DNS 레코드를 관리하지 않는 경우 DNS 공급자에게 문의하여 레코드를 추가하는 방법을 확인하십시오. 도메인의 DNS 데이터베이스를 편집할 권한이 없는 경우이메일 검증대신.

유효성 검사를 반복할 필요 없이 CNAME 레코드가 유지되는 동안 FQDN (정규화된 도메인 이름) 에 대한 추가 ACM 인증서를 요청할 수 있습니다. 즉, 도메인 이름이 동일한 대체 인증서나 다른 하위 도메인에 대한 인증서를 생성할 수 있습니다. CNAME 유효성 검사 토큰은AWS지역에서는 여러 지역에서 동일한 인증서를 다시 만들 수 있습니다. 삭제된 인증서를 교체할 수도 있습니다.

에서 인증서를 제거하여 자동 갱신을 중지할 수 있습니다.AWS서비스가 연결되어 있거나 CNAME 레코드를 삭제하여 CNAME 레코드를 삭제합니다. Route53이 DNS 공급자가 아닌 경우 공급자에게 연락하여 레코드를 삭제하는 방법을 알아보십시오. Route53이 공급자인 경우리소스 레코드 세트 삭제Route53 개발자 안내서. 관리형 인증서 갱신에 대한 자세한 내용은 ACM 인증서에 대한 관리 갱신 단원을 참조하십시오.

참고

DNS 구성에서 CNAME 확인이 5개 이상의 CNAME 함께 연결되어 있으면 실패합니다. 더 긴 체인이 필요한 경우이메일 검증.

ACM 레코드의 작동

참고

이 단원은 DNS 공급자로 Route53을 사용하지 않는 고객을 위한 것입니다.

Route53을 DNS 공급자로 사용하지 않는 경우 일반적으로 웹 사이트를 통해 ACM에서 제공하는 CNAME 레코드를 공급자의 데이터베이스에 수동으로 입력해야 합니다. CNAME 레코드는 리디렉션 메커니즘 및 공급 업체별 메타데이터의 컨테이너 등 다양한 용도로 사용됩니다. ACM의 경우 이러한 레코드를 통해 초기 도메인 소유권 확인 및 지속적인 자동 인증서 갱신을 수행할 수 있습니다.

다음 표에는 6개의 도메인 이름에 대한 CNAME 레코드의 예제가 나와 있습니다. 각 레코드의레코드 이름-레코드 값쌍은 도메인 이름 소유권을 인증하는 역할을합니다.

이 표에서 처음 두레코드 이름-레코드 값쌍은 동일합니다. 이것은 와일드 카드 도메인 (예:*.example.com인 경우 ACM에서 만든 임의의 문자열은 기본 도메인에 대해 생성된 문자열과 동일합니다.example.com. 그렇지 않으면 쌍으로레코드 이름레코드 값도메인 이름마다 다릅니다.

CNAME 레코드 예
도메인 이름 레코드 이름 레코드 값 Comment
*.example.com _x1.example.com을 선택합니다. _2배속.acm-validations.aws. Identical
example.com을 선택합니다 _x1.example.com을 선택합니다. _2배속.acm-validations.aws.
www.example.com _3배속.www.example.com. _x4.acm-validations.aws. 고유
host.example.com _5배속.host.example.com. _x6.acm-validations.aws. 고유
subdomain.example.com _x7.subdomain.example.com. _x8.acm-validations.aws. 고유
host.subdomain.example.com _x9.host.subdomain.example.com. _x10.acm-validations.aws. 고유

x값은 ACM에서 무작위로 생성된 긴 문자열입니다. 예,

_3639ac514e785e898d2646601fa951d5.example.com

생성 된 결과를 대표합니다.레코드 이름. 관련레코드 값될 수 있습니다

_98d2646601fa951d53639ac514e785e8.acm-validation.aws.

같은 레코드에 대한.

참고

DNS 공급자가 앞에 밑줄이 붙는 CNAME 값을 지원하지 않는 경우DNS 검증 문제 해결.

인증서를 요청하고 DNS 유효성 검사를 지정하면 ACM에서 CNAME 정보를 다음 형식으로 제공합니다.

도메인 이름 레코드 이름 레코드 형식 레코드 값
example.com을 선택합니다 에 대한 자세한 내용은 다음과 같습니다. CNAME

액크-유효성 검사와 관련된 모든 정보를 얻을 수 있습니다.

도메인 이름은 인증서와 연결된 FQDN입니다. 레코드 이름키 - 값 페어의 키 역할을 고유하게 레코드를 식별합니다. 레코드 값키 - 값 페어의 값으로 사용됩니다.

DNS 레코드를 추가하려면 이러한 세 가지 값을 모두 DNS 공급자 웹 인터페이스의 해당 필드에 입력해야 합니다. 공급자는 레코드 이름 (또는 “이름”) 필드를 처리하는 데 일관성이 없습니다. 경우에 따라 위에 표시된 것처럼 전체 문자열을 제공해야 합니다. 다른 공급자는 사용자가 입력한 문자열에 도메인 이름을 자동으로 추가합니다. 즉, 이 예에서는

_a79865eb4cd1a6ab990a45779b4e0b96

를 이름 필드에 입력합니다. 이 문제를 잘못 추측하고 도메인 이름을 포함하는 레코드 이름 (예:.example.com) 를 생성하면 다음과 같이 끝날 수 있습니다.

_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com

이 경우 유효성 검사가 실패합니다. 따라서 공급자가 기대하는 입력 유형을 미리 결정해야 합니다.

DNS validation하기

콘솔에서 DNS 유효성 검사를 설정하려면

  1. 에 로그인합니다.AWS관리형 콘솔에서 에서 ACM 콘솔을 엽니다.https://console.aws.amazon.com/acm/home. 소개 페이지가 나타나면 [Get Started]를 선택합니다. 그렇지 않다면, [Request a certificate]를 선택합니다.

  2. [Request a certificate] 페이지에서 도메인 이름을 입력합니다. 도메인 이름 입력에 대한 자세한 내용은 공인 인증서 요청 단원을 참조하십시오.

  3. ACM 인증서에 더 많은 도메인 이름을 추가하려면 방금 입력한 이름 아래에 열린 텍스트 상자에 다른 이름을 입력합니다.

  4. [Next]를 선택합니다.

  5. 선택DNS 검증다음.

  6. 태그 추가페이지에서 선택적으로 메타데이터로 인증서에 태그를 지정할 수 있습니다. 선택검토완료되면.

  7. 검토페이지에서 도메인 이름과 검증 방법이 올바른지 확인하고확인 및 요청.

  8. 검증페이지에서 다음 두 절차 중 하나를 완료합니다.

    1. (선택 사항) Route53을 사용하여 유효성을 검사합니다.

      검증페이지에서 도메인 이름 옆에 있는 아래쪽 화살표를 클릭합니다. 활성 상태Route 53 레코드 만들기단추가 다음 조건에 해당할 경우 나타납니다.

      • Route53 을 DNS 공급자로 사용합니다.

      • Route53에서 호스팅한 영역에 대한 쓰기 권한이 있습니다.

      • FQDN이 아직 검증되지 않았습니다.

      참고

      실제로 Route53을 사용하고 있지만Route 53 레코드 만들기버튼이 누락되거나 비활성화된 경우,ACM 콘솔에 “Route53" 레코드 만들기” 단추가 표시되지 않습니다..

      선택 시Route 53 레코드 만들기단추 를 선택한 다음생성. 이검증페이지에 상태 알림이 표시되어야 합니다.성공하단에.

      선택계속를 보려면인증서목록 페이지에서 새 인증서의 상태가 계속 표시될 수 있습니다.검증 보류최대 30 분 동안.

      작은 정보

      프로그래밍 방식으로 Route53에서 레코드를 자동으로 생성하도록 요청할 수 없습니다. 그러나 다음을 만들 수는 있습니다.AWS CLI또는 API 호출을 사용하여 Route53 DNS 데이터베이스에 레코드를 만들 수 있습니다. Route53 레코드 세트에 대한 자세한 내용은리소스 레코드 세트 작업.

    2. (선택 사항) Route53을 DNS 공급자로 사용하지 않는 경우검증페이지로 이동하여 DNS 데이터베이스에 추가하십시오. 이 작업을 두 가지 방법으로 수행할 수 있습니다.

      • 에서도메인섹션에서 도메인 정보를 확장하고 CNAME 구성 요소를 기록합니다. 이 정보는 DNS 데이터베이스에 수동으로 추가해야 합니다.

      • 또는DNS 구성을 파일로 내보내기맨 아래에 있는검증페이지로 이동합니다. 파일의 정보는 DNS 데이터베이스에 수동으로 추가해야 합니다.

      중요

      유효성 검사 문제를 방지하려면ACM 레코드의 작동DNS 공급자의 데이터베이스에 정보를 추가하기 전에 문제가 발생하면DNS 검증 문제 해결.

      DNS 공급자의 구성 페이지에서 CNAME을 추가한 후 ACM 콘솔이 열려 있으면 ACM 콘솔로 돌아가서계속. 콘솔을 이미 닫은 경우 나중에 콘솔로 돌아가서 인증서 요청 상태를 확인할 수 있습니다.

      인증서페이지에는 모든 인증서가 포함된 테이블 보기가 표시됩니다. DNS 공급자가 레코드 업데이트를 전파한 후 ACM에서 도메인 이름을 검증하고 인증서를 발급할 때까지 몇 시간이 소요될 수 있습니다. 이 시간 동안 ACM은 검증 상태를검증 보류. 도메인 이름을 검증한 후 ACM은 검증 상태를성공. 이후AWS에서 인증서를 발급하면 ACM에서 인증서 상태를발급 완료.

    참고

    ACM이 사용자를 위해 CNAME 값을 생성한 시각으로부터 72시간 내에 도메인 이름을 검증할 수 없는 경우 ACM은 인증서 상태를검증 시간 초과. 이러한 결과가 발생하는 가장 큰 이유는 ACM이 생성한 값을 사용하여 DNS 구성을 성공적으로 업데이트하지 않았기 때문입니다. 이 문제를 해결하려면 CNAME 지침을 검토한 후 새 인증서를 요청해야 합니다.