AWS Certificate Manager
사용 설명서 (버전 1.0)

DNS를 사용하여 도메인 소유권 확인

Amazon 인증 기관(CA)에서 사용자 사이트에 대한 인증서를 발급하려면 AWS Certificate Manager(ACM)에서 요청에 지정한 모든 도메인 이름에 대한 소유권 또는 제어권이 사용자에게 있는지 확인해야 합니다. 인증서를 요청할 때 이메일 검증이나 DNS 검증 중 하나를 선택할 수 있습니다. 이 주제에서는 DNS 검증에 대해 설명합니다. 이메일 검증에 대한 자세한 내용은 이메일을 사용하여 도메인 소유권 확인 단원을 참조하십시오.

참고

검증은 AWS Certificate Manager(ACM)에서 제공되는 인증서에만 적용됩니다. ACM은 가져온 인증서에 대한 도메인 소유권을 확인하지 않습니다.

DNS(Domain Name System)는 네트워크에 연결되는 리소스를 위한 디렉터리 서비스입니다. 인터넷 상에서 DNS 서버는 도메인 이름을 숫자 IP 주소로 변환하여 컴퓨터 및 기타 디바이스 같은 리소스를 확인하고 위치를 찾아내는 데 주로 사용됩니다. DNS 서버의 데이터베이스에는 이러한 변환을 수행하고 다른 기능을 활성화하는 데 사용되는 도메인 레코드가 포함되어 있습니다. 예를 들어 A 레코드는 도메인 이름을 IPV4 주소로 매핑하는 데 사용되는 DNS 레코드 유형입니다. MX 레코드는 이메일을 라우팅하는 데 사용됩니다. NS 레코드는 해당 도메인에 대한 모든 이름 서버를 나열합니다.

ACM은 CNAME(Canonical Name) 레코드를 사용하여 도메인에 대한 사용자의 소유권이나 제어 권한을 확인합니다. DNS 확인을 선택하면 ACM은 사용자에게 DNS 데이터베이스에 삽입할 하나 이상의 CNAME 레코드를 제공합니다. 예를 들면 추가 이름이 www.example.comexample.com 도메인에 대해 인증서를 요청할 경우 ACM은 CNAME 레코드 두 개를 자동으로 생성합니다. 사용자의 도메인 및 계정용으로 특별히 생성된 각 레코드에는 이름과 값이 포함되어 있습니다. 값은 ACM에 소유권이 있고 ACM이 인증서를 자동 갱신하는 데 사용하는 도메인을 가리키는 별칭입니다. DNS 데이터베이스에 CNAME 레코드를 한 번만 추가합니다. 인증서가 사용 중이고 CNAME 레코드가 여전히 존재하는 경우에 한해 ACM은 인증서를 자동으로 갱신합니다. 또한 Amazon Route 53을 사용하여 도메인을 생성하는 경우에는 ACM이 사용자를 위해 CNAME 레코드를 작성할 수 있습니다.

DNS 공급자가 앞에 밑줄이 붙은 CNAME 값을 지원하지 않을 경우 DNS 검증 문제 해결을 참조하십시오.

다음 테이블에는 5개 도메인 이름에 대한 CNAME 레코드의 예제가 나와 있습니다. _x 값은 ACM에서 무작위로 생성된 긴 문자열입니다. 예를 들어 _3639ac514e785e898d2646601fa951d5.example.com은 생성된 이름을 대표합니다. 해당 테이블의 처음 두 _x 값은 동일합니다. 즉, 와일드카드 이름 *.example.com에 대해 ACM에서 무작위로 생성된 문자열은 기본 도메인 이름 example.com에 대해 생성된 문자열과 동일합니다. 또한 ACM은 example.comwww.example.com에 대해서도 서로 다른 CNAME 레코드를 생성합니다.

표의 오른쪽 위 모서리에 확장 화살표()가 보이는 경우 새 창에서 표를 열 수 있습니다. 창을 닫으려면 오른쪽 아래 모서리에 있는 닫기 버튼(X)을 선택합니다.

도메인 이름 DNS 영역 이름 유형
*.example.com example.com _x1.example.com CNAME _x2.acm-validations.aws
example.com example.com _x1.example.com CNAME _x2.acm-validations.aws
www.example.com example.com _x3.www.example.com CNAME _x4.acm-validations.aws
host.example.com example.com _x5.host.example.com CNAME _x6.acm-validations.aws
subdomain.example.com subdomain.example.com _x7.subdomain.example.com CNAME _x8.acm-validations.aws
host.subdomain.example.com subdomain.example.com _x9.host.subdomain.example.com CNAME _x10.acm-validations.aws

DNS 검증은 이메일 검증에 비해 다양한 이점이 있습니다.

  • DNS를 사용하려면 ACM 인증서 요청 시 도메인 이름별로 오직 하나의 CNAME 레코드를 생성해야 합니다. 이메일 검증은 도메인 이름별로 최대 8개의 이메일 메시지를 전송합니다.

  • DNS 레코드가 계속 존재하는 한 FQDN에 대해 추가 ACM 인증서를 요청할 수 있습니다. 즉, 도메인 이름이 동일한 여러 인증서를 생성할 수 있습니다. 새로운 CNAME 레코드를 다시 가져올 필요가 없습니다. 그 이유에는 여러 가지가 있습니다. 예를 들면 다양한 하위 도메인을 포함하는 새 인증서를 생성해야 할 때가 있습니다. 여러 리전에서 동일한 인증서를 생성해야 할 때도 있습니다(확인 토큰이 모든 레전에 대해 작동함). 삭제한 인증서를 교체해야 할 때도 있습니다.

  • ACM은 DNS를 사용하여 확인한 ACM 인증서를 자동으로 갱신합니다. 인증서가 사용 중이고 DNS 레코드가 여전히 존재하는 경우에 한해 ACM은 만료되기 전에 각 인증서를 갱신합니다.

  • Route 53을 사용하여 퍼블릭 DNS 레코드를 관리하는 경우에는 ACM이 사용자를 위해 CNAME 레코드를 추가할 수 있습니다. DNS 공급자로 Route 53을 사용하지 않는 경우 DNS 공급자에게 문의하여 레코드를 추가하는 방법을 확인하십시오.

  • DNS 검증 프로세스는 이메일 검증 프로세스보다 훨씬 손쉽게 자동화가 가능합니다.

  • 이메일 검증 인증서는 최초 검증일로부터 최대 825일까지만 갱신할 수 있습니다. 825일이 지나면 도메인 소유자나 공인 대리인이 새 인증서를 요청해야 합니다. DNS 검증 인증서는 무한으로 갱신할 수 있습니다.

한편, 도메인에 대한 DNS 레코드를 수정할 권한이 없는 경우에는 이메일 검증을 사용해야 합니다.

DNS 검증을 사용하려면

  1. https://console.aws.amazon.com/acm/home에서 AWS Management Console에 로그인하여 ACM 콘솔을 실행합니다. 소개 페이지가 나타나면 [Get Started]를 선택합니다. 그렇지 않다면, [Request a certificate]를 선택합니다.

  2. [Request a certificate] 페이지에서 도메인 이름을 입력합니다. 도메인 이름 입력에 대한 자세한 내용은 공인 인증서 요청 단원을 참조하십시오.

  3. ACM 인증서에 더 많은 도메인 이름을 추가하려면 방금 입력한 이름 아래의 텍스트 상자가 열릴 때 다른 이름을 입력합니다.

  4. [Next]를 선택합니다.

  5. [DNS validation]을 선택합니다.

  6. [Review and request]를 선택합니다. 도메인 이름과 검증 방법이 올바른지 확인합니다.

  7. [Confirm and request]를 선택합니다.

  8. [Validation] 페이지에서 도메인 정보를 펼치거나 [Export DNS configuration to a file]을 선택합니다. 도메인 정보를 펼치면 사용자의 도메인 제어 권한을 검증하기 위해 DNS 데이터베이스에 반드시 추가해야 하는 CNAME 레코드의 이름과 값이 ACM에 표시됩니다.

    
					콘솔에는 DNS 검증을 위한 CNAME가 표시됩니다.
  9. 다음 조건에 해당할 경우 [Create record in Route 53] 버튼이 나타납니다.

    • Route 53을 DNS 공급자로 사용합니다.

    • Route 53에서 호스팅한 영역에 대한 쓰기 권한이 있습니다.

    • FQDN이 아직 검증되지 않았습니다.

    Create record in Route 53(Route 53에 레코드 생성) 버튼이 누락되거나 비활성화된 경우, ACM 콘솔에서 "Route 53 에 레코드 생성" 버튼이 나타나지 않음를 참조하십시오. Route 53 레코드 세트에 대한 자세한 내용은 리소스 레코드 세트 관련 작업 단원을 참조하십시오.

    참고

    ACM이 Route 53에서 레코드를 자동으로 생성하도록 프로그래밍 방식으로 요청할 수 없습니다. 그러나 Route 53에 대한 AWS CLI 또는 API 호출을 통해 레코드를 생성할 수 있습니다.

  10. 콘솔이나 내보낸 파일에서 나온 레코드를 데이터베이스에 추가합니다. DNS 레코드 추가에 대한 자세한 내용은 데이터베이스에 CNAME 추가 단원을 참조하십시오. [Continue]를 선택하면 이 단계를 건너뛸 수 있습니다. 추후에 이 단계로 돌아오려면 콘솔에서 인증서 요청을 엽니다.

    참고

    이전 인증서를 요청했을 때 FQDN가 검증이 된 경우나 같은 FQDN에 대해 다른 인증서를 요청 중인 경우에는 또 다른 DNS 레코드를 추가할 필요가 없습니다.

    참고

    도메인 이름(예: .example.com)을 이미 포함하고 있는 CNAME 레코드를 추가하면 도메인 이름이 중복될 수 있습니다(예: .example.com.example.com). 중복을 피하기 위해 필요한 CNAME의 일부분만 수동으로 복사할 수 있습니다. _3639ac514e785e898d2646601fa951d5의 형식입니다.

  11. DNS 구성을 업데이트한 후 계속을 선택하면 ACM에 모든 인증서가 포함된 테이블 보기가 표시됩니다. 요청한 인증서와 그 상태가 표시됩니다. DNS 공급자가 레코드 업데이트를 전파한 후 ACM이 도메인 이름을 검증하고 인증서를 발급할 때까지 최대 몇 시간이 소요될 수 있습니다. 이 시간 동안 ACM은 검증 보류로 검증 상태를 표시합니다. 도메인 이름을 검증한 후 ACM은 성공으로 검증 상태를 변경합니다. AWS가 인증서를 발급하고 나면 ACM은 인증 상태를 Issued로 변경합니다.

    참고

    ACM이 사용자를 위해 CNAME 값을 생성한 시각으로부터 72시간 내에 도메인 이름을 검증할 수 없는 경우, ACM은 인증서 상태를 Validation timed out으로 변경합니다. 이러한 결과가 발생하는 가장 큰 이유는 ACM이 생성한 값으로 DNS 구성을 업데이트하지 않았기 때문입니다. 이 문제를 해결하려면 새 인증서를 요청해야 합니다.

    
					콘솔에는 DNS 검증을 위한 CNAME가 표시됩니다.

데이터베이스에 CNAME 추가

DNS 검증을 사용하려면 도메인에 대한 DNS 구성에 CNAME 레코드를 추가할 수 있어야 합니다. Route 53이 DNS 공급자가 아닌 경우에는 공급자에게 연락하여 레코드를 추가하는 방법을 알아보십시오. Route 53이 공급자인 경우에는 앞의 9단계에서 설명한 바와 같이 ACM이 사용자를 위해 CNAME 레코드를 생성할 수 있습니다. 레코드를 직접 추가하고 싶은 경우에는 Route 53 개발자 안내서리소스 레코드 세트 편집을 참조하십시오.

DNS 공급자가 앞에 밑줄이 붙은 CNAME 값을 지원하지 않을 경우 DNS 검증 문제 해결을 참조하십시오.

참고

DNS 구성을 편집할 수 있는 권한이 없는 경우에는 이메일 검증을 사용해야 합니다.

데이터베이스에서 CNAME 삭제

인증서가 사용 중이고 ACM이 사용자를 위해 생성한 CNAME 레코드가 DNS 데이터베이스에 여전히 존재하는 경우에 한해 ACM은 인증서를 자동으로 갱신합니다. 연결된 AWS 서비스에서 인증서를 제거하거나 CNAME 레코드를 삭제하여 자동 갱신을 중지할 수 있습니다. Route 53이 DNS 공급자가 아닌 경우에는 공급자에게 연락하여 레코드를 삭제하는 방법을 알아보십시오. Route 53이 공급자인 경우에는 Route 53 개발자 안내서리소스 레코드 세트 삭제를 참조하십시오. 관리형 인증서 갱신에 대한 자세한 내용은 ACM의 Amazon 발행 인증서에 대한 관리형 갱신 단원을 참조하십시오.