Q: AWS Certificate Manager(ACM)란 무엇입니까?

AWS Certificate Manager(ACM)는 AWS 서비스에 사용할 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있게 해주는 서비스입니다. SSL/TLS 인증서는 네트워크 통신을 보안하고 인터넷상에서 웹 사이트 자격 증명을 설정하는 데 사용됩니다. ACM은 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해줍니다. ACM에서는 사용자가 인증서를 요청하고, 탄력적 로드 밸런서, Amazon CloudFront 배포 또는 Amazon API Gateway 기반 API와 같은 AWS 리소스에 배포한 후, AWS Certificate Manager가 인증서 갱신을 처리하도록 할 수 있습니다. 타사 인증서를 ACM으로 가져오기 하여 지원되는 AWS 서비스에 연결할 수도 있습니다. ACM을 통해 프로비저닝되는 SSL/TLS 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대한 비용만 지불하면 됩니다.

Q: SSL/TLS 인증서란 무엇입니까?

SSL/TLS 인증서는 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 프로토콜을 사용하여 웹 브라우저가 웹 사이트에 대해 암호화된 네트워크 연결을 확인하고 설정할 수 있게 해줍니다. 인증서는 퍼블릭 키 인프라(PKI)로 알려진 암호화 시스템 내에서 사용됩니다. 양쪽 모두가 인증 기관으로 알려진 타사를 신뢰하는 경우, PKI는 한쪽에서 인증서를 사용하여 다른 쪽의 자격 증명을 설정할 수 있는 방법을 제공합니다. ACM 사용 설명서개념에서 추가 배경 정보와 정의를 제공합니다.

Q: AWS Certificate Manager를 사용하여 수행할 수 있는 작업은 무엇입니까?

SSL/TLS 인증서를 요청 및 프로비저닝하고, Elastic Load Balancing, Amazon CloudFront 또는 Amazon API Gateway와 같이 ACM과 통합되는 서비스를 사용하여 인증서를 웹 사이트 또는 애플리케이션에 배포할 수 있습니다. 요청한 도메인의 소유권을 확인하고 인증서가 발행되면, AWS Management Console의 드롭다운 목록에서 SSL/TLS 인증서를 선택하여 배포할 수 있습니다. 또는 AWS 명령줄 인터페이스(CLI) 명령 또는 API 호출을 사용하여 ACM 제공 인증서를 AWS 리소스에 배포할 수도 있습니다. ACM에서 인증서 갱신과 인증서 배포를 대신 관리합니다.

Q: AWS Certificate Manager를 사용하면 어떤 이점이 있습니까?

ACM을 사용하면 AWS 플랫폼의 웹 사이트나 애플리케이션에 대해 SSL/TLS를 손쉽게 활성화할 수 있습니다. ACM은 사용 및 SSL/TLS 인증서 관리와 관련된 많은 수동 프로세스를 대신 처리해줍니다. 또한, ACM에서 갱신을 관리하므로 잘못 구성되거나, 취소되거나 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. SSL/TLS 보호와 손쉬운 인증서 관리를 활용할 수 있습니다. SSL/TLS를 활성화함으로써 사이트의 검색 순위를 높이고, 전송 데이터 암호화에 대한 규제 준수 요구 사항을 충족할 수 있습니다.

사용자가 인증서의 도메인 이름을 소유 또는 제어하는 것을 확인하기 위해 ACM은 인증서 요청 시 사용자의 선택에 따라 DNS 검증 또는 이메일 검증을 사용합니다. 사용자는 DNS 검증을 통해 간단하게 CNAME 레코드를 DNS 구성에 작성하여 도메인 이름의 제어를 설정합니다. Amazon Route 53으로 DNS 레코드를 관리하는 경우, DNS 검증 과정을 더욱 간소화하기 위해 ACM 관리 콘솔이 사용자에 대한 DNS 레코드를 구성할 수 있습니다. 이를 통해 몇 번의 마우스 클릭으로 쉽게 도메인 이름을 제어할 수 있습니다. CNAME 레코드가 구성되면 DNS 레코드가 그대로 유지되고 인증서가 사용되고 있는 한, DNS 검증 인증서가 만료되기 전에 ACM이 자동으로 이를 갱신합니다. 갱신은 완전 자동이며 손을 댈 필요가 없습니다. 또한 ACM은 도메인의 DNS 구성을 업데이트할 수 없는 고객을 위해 이메일 검증을 지원합니다.

ACM을 사용하면, 강력한 암호화 및 키 관리 모범 사례에 따라 인증서 프라이빗 키가 안전하게 보호 및 저장됩니다. ACM을 통해 사용자는 AWS Management Console, AWS CLI 또는 AWS Certificate Manager API를 사용하여 AWS 리전에서 ACM이 제공하는 모든 SSL/TLS 인증서를 중앙에서 관리할 수 있습니다. ACM은 다른 AWS 서비스와 통합됩니다. 따라서 AWS Management Console, AWS CLI 명령 또는 API 호출을 통해 SSL/TLS 인증서를 요청하고, Elastic Load Balancing 로드 밸런서나 Amazon CloudFront 배포와 함께 인증서를 프로비저닝할 수 있습니다.

Q: ACM을 시작하려면 어떻게 해야 합니까?

AWS Certificate Manager를 시작하려면, AWS Management Console에서 Certificate Manager로 이동한 후, 마법사를 통해 사이트의 이름을 입력하여 SSL/TLS 인증서를 요청합니다. 또한, AWS CLI 또는 API를 사용하여 인증서를 요청할 수도 있습니다. ACM이 도메인 소유자로부터 승인을 받고 SSL/TLS 인증서가 발행되면, ACM과 통합된 다른 AWS 서비스에서 이를 사용할 수 있습니다. 각 통합 서비스에 대해 AWS Management Console의 드롭다운 목록에서 원하는 SSL/TLS 인증서를 선택하기만 하면 됩니다. 또는 AWS CLI 명령을 실행하거나 AWS API를 호출하여 인증서를 리소스에 연결할 수도 있습니다. 그런 다음 통합 서비스에서 선택한 리소스에 인증서를 배포합니다. AWS Certificate Manager가 제공하는 인증서를 요청하고 사용하는 방법에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서의 시작하기를 참조하십시오.

Q: ACM이 도메인 소유권을 검증하는 이유는 무엇입니까?

인증서는 사이트의 자격 증명을 설정하고 브라우저 및 애플리케이션과 사이트 간의 연결을 보안합니다. 공개적으로 신뢰할 수 있는 인증서를 발급하기 위해 Amazon은 인증서 요청자가 인증서 요청의 도메인 이름을 제어하는 것을 확인해야 합니다.

Q: 도메인에 대한 인증서를 발급하기 전 ACM이 도메인 소유권을 어떻게 검증합니까?

인증서를 발급하기 전, ACM은 사용자가 인증서 요청의 도메인 이름을 소유 또는 제어하는 것을 확인합니다. 인증서 요청 시 DNS 검증 또는 이메일 검증을 선택할 수 있습니다. DNS 검증을 통해 CNAME 레코드를 DNS 구성에 추가하여 도메인 소유권을 검증할 수 있습니다. 자세한 내용은 DNS 검증을 참조하십시오. 도메인의 퍼블릭 DNS 구성에 레코드를 작성할 수 없는 경우, DNS 검증 대신 이메일 검증을 사용할 수 있습니다. 이메일 검증을 사용해 ACM이 등록된 도메인 소유자에게 이메일을 전송하면 소유자 또는 권한을 부여받은 대리인이 인증서 요청서의 각 도메인 이름에 대한 발급을 승인할 수 있습니다. 자세한 내용은 이메일 검증을 참조하십시오.

Q: DNS나 이메일 중 내가 사용해야 하는 검증 방법은 무엇입니까?

도메인에 대한 DNS 구성을 변경할 수 있다면 DNS 검증을 사용할 것을 권장합니다. ACM으로부터 검증 이메일을 수신할 수 없는 고객과 WHOIS에 도메인 소유자 이메일 연락처 정보를 공개하지 않은 고객은 DNS 검증을 사용해야 합니다. DNS 구성을 수정할 수 없다면 이메일 검증을 사용해야 합니다.

Q: 기존 인증서를 이메일 검증에서 DNS 검증으로 전환할 수 있습니까?

불가능합니다. 하지만 ACM에서 새 무료 인증서를 요청하고 새 인증서에 대해 DNS 검증을 선택할 수 있습니다.

Q: ACM에서는 어떤 유형의 인증서를 제공합니까?

ACM은 SSL/TLS를 종료하는 웹 사이트 및 애플리케이션에 사용하는 DV(Domain Validated) 인증서를 제공합니다. ACM에서 제공하는 인증서에 대한 자세한 내용은 인증서 특징을 참조하십시오.

Q: ACM에서 제공하는 인증서를 사용할 수 있는 AWS 서비스는 무엇입니까?

다음 AWS 서비스에서 ACM을 사용할 수 있습니다.
• Elastic Load Balancing – Elastic Load Balancing 설명서 참조
• Amazon CloudFront – CloudFront 설명서
참조 • Amazon API Gateway – API Gateway 설명서 참조
• AWS Elastic Beanstalk – AWS Elastic Beanstalk 설명서 참조
• AWS CloudFormation – AWS CloudFormation 설명서 참조

Q: 어느 리전에서 ACM을 사용할 수 있습니까?

AWS 서비스를 사용할 수 있는 현재 리전을 확인하려면 AWS 글로벌 인프라 페이지를 참조하십시오. Amazon CloudFront를 통해 ACM 인증서를 사용하려면 미국 동부(버지니아 북부) 리전에서 ACM 인증서를 요청하거나 가져와야 합니다. CloudFront 배포와 연동되어 있는 이 리전의 ACM 인증서는 해당 배포에 대해 구성된 모든 지리적 위치에 배포됩니다.

Q: 하나 이상의 AWS 리전에서 같은 인증서를 사용할 수 있습니까?

Elastic Load Balancing 또는 Amazon CloudFront의 사용 여부에 따라 다릅니다. Elastic Load Balancing을 통해 리전만 다른 같은 사이트(같은 FQDN, Fully Qualified Domain Name 또는 FQDN 세트)에 인증서를 사용하려면 사용할 리전마다 새로운 인증서를 각각 요청해야 합니다. Amazon CloudFront를 통해 ACM 인증서를 사용하려면 미국 동부(버지니아 북부) 리전에서 ACM 인증서를 요청해야 합니다. CloudFront 배포와 연동되어 있는 이 리전의 ACM 인증서는 해당 배포에 대해 구성된 모든 지리적 위치에 배포됩니다.

Q: 리전과 리전 사이에서 인증서를 복사할 수 있습니까?

현재는 지원되지 않습니다.

Q: 도메인 이름은 같지만 다른 공급자에게 인증서를 받은 경우에도 ACM으로 인증서를 프로비저닝할 수 있습니까?

예.

Q: 인증서를 Amazon EC2 인스턴스 또는 자체 서버에 사용할 수 있습니까?

아니요. 현재 ACM이 제공하는 인증서는 특정 AWS 서비스에서만 사용할 수 있습니다. ACM에서 제공하는 인증서를 사용할 수 있는 AWS 서비스는 무엇입니까?를 참조하십시오.

Q: ACM으로 프로비저닝할 수 있는 인증서의 수에 제한이 있습니까?

기본적으로 각 리전에서 계정당 최대 100개의 인증서를 프로비저닝할 수 있습니다. ACM에서 프로비저닝한 인증서는 인증서별로 최대 10개의 FQDN 이름을 가질 수 있습니다. AWS Support 센터에서 한도 증가를 요청할 수 있습니다. 자세한 내용은 AWS 설명서를 참조하십시오.

맨 위로 이동

Q: ACM에서 인증서를 프로비저닝하려면 어떻게 해야 합니까?

AWS Management Console, AWS CLI 또는 ACM API/SDK를 사용하면 됩니다. AWS Management Console을 사용하려면, Certificate Manager로 이동하여 Request a certificate를 선택하고, 사이트용 도메인 이름을 입력한 후, 화면의 지침을 따라 요청을 완료합니다. 사용자가 다른 이름으로 사이트에 접속하는 경우, 요청에 해당 도메인 이름을 추가할 수 있습니다. ACM은 인증서를 발급하기 전, 사용자가 인증서 요청의 도메인 이름을 소유 또는 제어하는 것을 확인합니다. 인증서 요청 시 DNS 검증 또는 이메일 검증을 선택할 수 있습니다. DNS 검증을 통해 도메인에 대한 퍼블릭 DNS 구성에 레코드를 작성하여 도메인의 소유 또는 제어를 설정합니다. 도메인의 제어 설정을 위해 DNS 검증을 사용하면 추가 인증서를 확보할 수 있으며, 레코드가 그대로 유지되고 인증서가 사용되고 있는 한 ACM이 해당 도메인에 대한 기존 인증서를 갱신하도록 할 수 있습니다. 다시 도메인의 제어를 검증할 필요가 없습니다. DNS 검증 대신 이메일 검증을 선택하는 경우, 인증서 발급 승인을 요청하는 이메일이 도메인 소유자에게 전송됩니다. 요청에 기재한 각 도메인 이름의 소유 또는 제어를 검증한 후 인증서가 발급되고 Elastic Load Balancing이나 Amazon CloudFront와 같은 다른 AWS 서비스와 함께 프로비저닝할 준비가 됩니다. 자세한 내용은 ACM 설명서를 참조하십시오.

Q: 인증서가 발급되는데 시간이 얼마나 걸립니까?

인증서 요청에 기재한 모든 도메인 이름이 검증된 후 인증서가 발급되는 시간은 몇 시간 또는 그 이상이 될 수 있습니다.

Q: 인증서를 요청하면 어떤 일이 발생합니까?

요청 시 사용자가 선택한 검증 방법(DNS 또는 이메일)에 따라 ACM이 인증서 요청에 기재한 각 도메인 이름의 소유권 또는 제어를 검증하고자 시도합니다. ACM이 도메인의 소유 또는 제어를 검증하는 동안 인증서 요청 상태는 Pending validation입니다. 검증 과정에 대한 더 자세한 내용은 아래 DNS 검증이메일 검증 섹션을 참조하십시오. 인증서 요청에 기재한 모든 도메인 이름이 검증된 후 인증서가 발급되는 시간은 몇 시간 또는 그 이상이 될 수 있습니다. 인증서가 발급되면 인증서 요청 상태가 Issued로 변경되며 ACM과 통합되는 다른 AWS 서비스와 함께 인증서를 사용할 수 있습니다.

Q: 내 인증서 요청 상태가 "Pending validation"인 이유는 무엇입니까?

요청을 했지만 아직 검증되지 않은 인증서는 Pending validation 상태가 됩니다. 인증서 요청에 기재한 도메인은 인증서가 발급되기 전 확인되어야 합니다. 현재 요청 상태의 이유를 알아보려면 ACM 문제 해결 안내서를 참조하십시오.

Q: 내 인증서 요청 상태가 Failed로 표시되는 이유는 무엇입니까?

도메인 제어를 확인하는 프로세스가 실패하는 데는 몇 가지 이유가 있습니다. 웹 리소스에 대한 URL 목록에 포함된 도메인이 맬웨어 또는 피싱 콘텐츠를 포함하고 있는 것으로 여겨지는 경우가 이유에 포함되지만 이에 국한되지는 않습니다. 요청이 실패한 이유를 알아보려면 ACM 문제 해결 안내서를 참조하십시오.

Q: 내 인증서 요청 상태가 Validation timed out으로 표시되는 이유는 무엇입니까?

인증서 요청이 72시간 이내에 확인되지 않는 경우, ACM 인증서 요청에 대한 제한 시간이 초과됩니다. 문제 해결에 대한 제안은 ACM 사용 설명서를 참조하십시오.

Q: ACM이 DNS CAA(Certificate Authority Authorization) 레코드 검사를 지원합니까?

예. 도메인 소유자는 DNS CAA(Certificate Authority Authorization) 레코드를 통해 자신의 도메인 인증서를 발급할 인증 기관을 지정할 수 있습니다. ACM 인증서가 요청되면 AWS Certificate Manager가 도메인의 DNS 영역 구성에서 CAA 레코드를 찾습니다. CAA 레코드를 찾지 못하는 경우에는 Amazon이 도메인 인증서를 발급할 수 있습니다. 대부분 고객들이 여기에 속합니다.

DNS 구성에 CAA 레코드가 포함되어 있으면 Amazon이 도메인 인증서를 발급하기 전에 해당 레코드에서 amazon.com, amazontrust.com, awstrust.com 또는 amazonaws.com 중에서 CA를 하나 지정해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 CAA 레코드 구성 또는 CAA 문제 해결을 참조하십시오.

Q: ACM이 지원하는 다른 도메인 검증 방법이 있습니까?

현재는 지원되지 않습니다.

                                                                 맨 위로 이동 >>

Q: DNS 검증이란 무엇입니까?

DNS 검증을 통해 CNAME 레코드를 DNS 구성에 추가하여 도메인 소유권을 검증할 수 있습니다. DNS 검증을 사용하면 ACM에서 SSL/TLS를 요청할 때 도메인 소유 설정이 용이합니다.

Q: DNS 검증의 장점은 무엇입니까?

DNS 검증을 사용하면 SSL/TLS 인증서를 확보할 수 있도록 도메인의 소유 또는 제어를 쉽게 검증할 수 있습니다. 사용자는 DNS 검증을 통해 간단하게 CNAME 레코드를 DNS 구성에 작성하여 도메인 이름의 제어를 설정합니다. Amazon Route 53으로 DNS 레코드를 관리하는 경우, DNS 검증 과정을 간소화하기 위해 ACM 관리 콘솔이 사용자에 대한 DNS 레코드를 구성할 수 있습니다. 이를 통해 몇 번의 마우스 클릭으로 쉽게 도메인 이름을 제어할 수 있습니다. CNAME 레코드가 구성되면 DNS 검증 레코드가 그대로 유지되는 한, ACM이 사용 중인 인증서를 자동으로 갱신합니다(다른 AWS 리소스와 연결). 갱신은 완전 자동이며 손을 댈 필요가 없습니다.

Q: 누가 DNS 검증을 사용해야 합니까?

ACM을 통해 인증서를 요청하였으며 요청한 도메인에 대한 DNS 구성을 변경할 수 있다면 DNS 검증을 고려해야 합니다.

Q: ACM이 여전히 이메일 검증을 지원합니까?

예. ACM은 DNS 구성을 변경할 수 없는 고객을 위해 계속 이메일 검증을 지원합니다.

Q: 도메인을 검증하기 위해 DNS 구성에 추가해야 하는 레코드는 무엇입니까?

검증하고자 하는 도메인에 대한 CNAME 레코드를 추가해야 합니다. 예를 들어 이름 www.example.com을 검증하려면 example.com에 대한 영역에 CNAME 레코드를 추가합니다. 추가하는 레코드에는 ACM이 도메인에 대해 특별히 생성하는 무작위 토큰과 AWS 계정이 포함됩니다. ACM으로부터 CNAME 레코드의 두 부분(이름 및 레이블)을 획득할 수 있습니다. 더 자세한 지침은 ACM 사용 설명서를 참조하십시오.

Q: 도메인에 대한 DNS 레코드를 어떻게 추가 또는 수정할 수 있습니까?

DNS 레코드를 추가 또는 수정하는 방법에 대한 자세한 정보는 DNS 공급자에게 문의하십시오. Amazon Route 53 DNS 설명서는 Amazon Route 53 DNS를 사용하는 고객에게 추가 정보를 제공합니다.

Q: ACM이 Amazon Route 53 DNS 고객을 위해 DNS 검증을 간소화할 수 있습니까?

예. Amazon Route 53 DNS를 사용하여 DNS 레코드를 관리하고 있는 고객의 경우, 인증서를 요청할 때 ACM 콘솔이 레코드를 DNS 구성에 추가할 수 있습니다. 도메인에 대한 Route 53 DNS 호스팅 영역이 요청하고 있는 계정과 동일한 AWS 계정에 구성되어야 하며, Amazon Route 53 구성을 변경할 수 있는 충분한 권한이 있어야 합니다. 더 자세한 지침은 ACM 사용 설명서를 참조하십시오.

Q: DNS 검증을 위해 특정 DNS 공급자를 사용해야 합니까?

아니요. 사용자가 DNS 구성에 CNAME 기록을 추가하도록 허용하는 모든 DNS 공급자로 DNS 검증을 사용할 수 있습니다.

Q: 동일 도메인에 1개 이상의 인증서를 원하는 경우 몇 개의 DNS 레코드가 필요합니까?

1개입니다. 1개의 CNAME 레코드를 사용하여 동일 AWS 계정에 동일 도메인 이름에 대한 여러 인증서를 획득할 수 있습니다. 예를 들어 동일 도메인 이름에 대해 동일 AWS 계정에서 2개의 인증서를 요청하는 경우, 1개의 DNS CNAME 레코드만이 필요합니다.

Q: 동일 CNAME 레코드로 여러 도메인 이름을 검증할 수 있습니까?

아니요. 각 도메인 이름에는 고유 CNAME 레코드가 있어야 합니다.

Q: DNS 검증을 사용하여 와일드카드 도메인 이름을 확인할 수 있습니까?

예.

Q: ACM이 어떻게 CNAME 레코드를 구성합니까?

DNS CNAME 레코드에는 이름과 레이블, 2개의 구성 요소가 있습니다. ACM이 생성한 CNAME의 이름은 밑줄 문자(_) 뒤 토큰으로 구성되며, AWS 계정 및 도메인 이름에 연결되는 고유 문자열입니다. ACM이 도메인 이름에 밑줄과 토큰을 추가하여 이름 구성 요소를 구성합니다. ACM은 AWS 계정 및 도메인 이름에 연결되는 다른 토큰에 밑줄 문자를 추가하여 레이블을 구성합니다. ACM은 acm-validations.aws과 같이 검증을 위해 AWS가 사용하는 DNS 도메인 이름에 밑줄과 토큰을 추가합니다. 다음은 www.example.com, subdomain.example.com, *.example.com에 대한 CNAME 형식의 예입니다.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

와일드카드 이름에 대한 CNAME 레코드를 생성할 때 ACM이 와일드카드 레이블(*)을 삭제합니다. 결과적으로 와일드카드 이름에 대해 ACM이 생성한 CNAME 레코드(*.example.com 등)는 와일드카드 레이블이 없는 도메인 이름에 대해 반환된 동일 레코드입니다(example.com).

Q: CNAME 레코드를 사용하여 도메인의 모든 하위 도메인을 검증할 수 있습니까?

아니요. 호스트 이름 및 하위 도메인 이름을 포함한 각 도메인 이름은 각각 검증되어야 하며 각각 고유 CNAME 레코드를 갖습니다.

Q: ACM이 DNS 검증을 위해 TXT 레코드 대신 CNAME 레코드를 사용하는 이유는 무엇입니까?

CNAME 레코드를 사용하면 CNAME 레코드가 존재하는 한 ACM이 인증서를 갱신할 수 있습니다. CNAME 레코드는 사용자가 어떠한 행동을 취하지 않아도 도메인 이름을 검증 또는 재검증하기 위해 필요에 따라 ACM이 업데이트할 수 있는 AWS 도메인(acm-validations.aws)에 TXT 레코드를 안내합니다.

Q: DNS 검증은 AWS 리전에 적용됩니까?

예. 1개의 DNS CNAME 레코드를 생성하고 이것을 사용하여 ACM이 제공되는 AWS 리전의 동일 AWS 계정에 인증서를 획득할 수 있습니다. CNAME 레코드를 구성하면 다른 레코드를 생성할 필요 없이 해당 이름에 대해 ACM으로부터 인증서를 발급 및 갱신 받을 수 있습니다.

Q: 동일 인증서에 다른 검증 방법을 선택할 수 있습니까?

아니요. 각 인증서에는 1개의 검증 방법만 사용할 수 있습니다.

Q: DNS 검증으로 검증된 인증서는 어떻게 갱신합니까?

DNS 검증 레코드가 그대로 유지되는 한, ACM이 사용 중인 인증서를 자동으로 갱신합니다(다른 AWS 리소스와 연결).

Q: 도메인에 대한 인증서 발급 허가를 취소할 수 있습니까?

예. 간단히 CNAME 레코드를 삭제하십시오. CNAME 레코드를 취소하고 변경 사항이 DNS를 통해 배포된 후에는 ACM이 DNS 검증을 사용해 도메인에 대한 인증서를 발급 또는 갱신하지 않습니다. 레코드를 삭제하는 전달 시간은 DNS 공급자에 따라 다릅니다.

Q: CNAME 레코드를 삭제하면 어떤 일이 발생합니까?

CNAME 레코드를 삭제하면 ACM이 DNS 검증을 사용하여 도메인에 대한 인증서를 발급 또는 갱신할 수 없습니다.

맨 위로 이동 >>

Q: 이메일 검증은 무엇입니까?

이메일 검증을 사용하면 인증서 요청에 기재된 각 도메인 이름에 대해 등록된 도메인 소유자에게 승인 요청 이메일이 전송됩니다. 도메인 소유자 또는 권한을 부여받은 대리인(승인자)은 이메일에 있는 지침에 따라 인증서 요청을 승인할 수 있습니다. 지침은 승인자가 승인 웹 사이트로 이동하도록 안내합니다. 이메일에 있는 링크를 클릭하거나 이메일의 링크를 브라우저로 복사하여 승인 웹 사이트로 이동합니다. 승인자는 도메인 이름, 인증서 ID(ARN), 요청을 시작하는 AWS 계정 ID 등과 같은 인증서 요청과 관련된 정보를 확인하고, 정보가 정확하면 해당 요청을 승인합니다.

Q: 인증서를 요청하고 이메일 검증을 선택하는 경우, 인증서 승인 요청은 어느 이메일 주소로 발송됩니까?

이메일 검증을 사용하여 인증서를 요청하면, WHOIS 검색을 사용하여 인증서 요청에 있는 각 도메인 이름의 연락처 정보를 검색합니다. 해당 도메인에 기록된 도메인 등록자, 관리 담당자 및 기술 담당자에게 이메일이 전송됩니다. 또한 이메일이 특별한 이메일 주소 5곳으로도 전송됩니다. 이 주소는 요청 도메인 이름 앞에 admin@, administrator@, hostmaster@, webmaster@ 및 postmaster@이 붙어있습니다. 예를 들어 server.example.com에 대한 인증서를 요청하는 경우, example.com 도메인에 대한 WHOIS 쿼리에 의해 반환된 연락처 정보에 따라 도메인 등록자, 기술 담당자 및 관리 담당자에게 이메일이 전송되고, 더불어 admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com 및 webmaster@server.example.com에 이메일이 전송됩니다.

다섯 개의 특별 이메일 주소는 "www"로 시작하는 도메인 이름이나 별표(*)로 시작하는 와일드카드 이름과는 다르게 구성됩니다. ACM에서는 앞부분의 "www" 또는 별표를 삭제하고 도메인의 나머지 부분에 admin@, administrator@, hostmaster@, postmaster@ 및 webmaster@이라는 접두어를 붙인 관리자 주소로 이메일을 전송합니다. 예를 들어 www.example.com에 대한 인증서를 요청하는 경우, 이메일은 앞에서 설명한 대로 admin@www.example.com이 아니라 admin@example.com의 WHOIS 연락처로 전송됩니다. 나머지 4개의 특별 이메일 주소로 이와 같은 형태로 구성됩니다.

인증서를 요청한 후, ACM 콘솔, AWS CLI 또는 API를 사용하여 AWS에서 각 도메인에 대해 이메일을 전송한 이메일 주소 목록을 표시할 수 있습니다.

Q: 인증서 승인 요청이 전송될 이메일 주소를 구성할 수 있습니까?

아니요. 하지만 확인 이메일이 전송될 기본 도메인 이름은 구성할 수 있습니다. 기본 도메인 이름은 인증서 요청에 있는 도메인 이름의 슈퍼 도메인이어야 합니다. 예를 들어 server.domain.example.com에 대한 인증서를 요청하되 승인 이메일이 admin@domain.example.com으로 전송되길 원하는 경우, AWS CLI 또는 API를 사용해 이를 처리할 수 있습니다. 자세한 내용은 ACM CLI 참조ACM API 참조를 확인하십시오.

Q: 프록시 연락처 정보가 있는 도메인(Privacy Guard, WhoisGuard 등)을 사용할 수 있습니까?

예. 하지만 프록시로 인해 이메일 전송이 지연될 수 있습니다. 프록시를 통해 전송된 이메일은 스팸 폴더로 전달될 수 있습니다. 문제 해결에 대한 제안은 ACM 사용 설명서를 참조하십시오.

Q: ACM에서 내 AWS 계정의 기술 담당자를 통해 내 자격 증명을 확인할 수 있습니까?

아니요. 도메인 소유자의 자격 증명을 확인하는 절차와 정책은 매우 엄격하며, 공개적으로 신뢰할 수 있는 인증 기관을 위해 정책 표준을 설정하는 CA/Browser Forum에서 결정합니다. 자세히 알아보려면 Amazon Trust Services 리포지토리에서 최신 Amazon Trust Services Certification Practices Statement를 참조하십시오.

Q: 승인 이메일을 수신하지 못한 경우 어떻게 해야 합니까?

문제 해결에 대한 제안은 ACM 사용 설명서를 참조하십시오.

맨 위로 이동 >>

Q: 브라우저, 운영 체제 및 모바일 디바이스에서 ACM이 제공하는 인증서를 신뢰합니까?

대부분 최신 브라우저, 운영 체제 및 모바일 디바이스에서 ACM이 제공하는 인증서를 신뢰합니다. ACM 제공 인증서는 Windows XP SP3와 Java 6 이상을 비롯하여 99%의 운영 체제 및 브라우저 유비퀴티를 지원합니다.

Q: 내 브라우저가 ACM이 제공하는 인증서를 신뢰하는지 확인하려면 어떻게 해야 합니까?

ACM이 제공하는 인증서를 신뢰하는 브라우저에는 자물쇠 아이콘이 표시되고, 예를 들어 HTTPS를 사용하여 SSL/TLS를 통해 ACM이 제공하는 인증서를 사용하는 사이트로 연결되었을 때 인증서 경고가 표시되지 않습니다.

ACM이 제공하는 인증서는 Amazon의 인증 기관(CA)에서 확인합니다. Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 또는 Starfield Class 2 Certification Authority가 포함된 모든 브라우저, 애플리케이션 또는 OS에서는 ACM이 제공하는 인증서를 신뢰합니다.

Q: ACM에서 여러 도메인 이름이 포함된 인증서를 제공할 수 있습니까?

예. 각 인증서는 하나 이상의 도메인 이름을 포함해야 하며, 원하는 경우 이름을 추가할 수 있습니다. 예를 들어 사용자가 "www.example.net"이라는 이름으로도 사이트에 접속할 수 있는 경우, 이를 "www.example.com"용 인증서에 추가할 수 있습니다. 인증서 요청에 포함된 모든 이름을 소유하거나 제어해야 합니다.

Q: 와일드카드 도메인 이름이란 무엇입니까?

와일드카드 도메인 이름은 도메인의 첫째 단계 하위 도메인 또는 호스트 이름과 일치합니다. 첫째 단계 하위 도메인은 점을 포함하지 않는 단일 도메인 이름 레이블입니다. 예를 들어 *.example.com이라는 이름을 사용하여 www.example.com, images.example.com, 그리고 .example.com으로 끝나는 다른 호스트 이름이나 첫째 단계 하위 도메인을 보호할 수 있습니다. 자세한 내용은 ACM 사용 설명서를 참조하십시오.

Q: ACM에서 와일드카드 도메인 이름이 포함된 인증서를 제공할 수 있습니까?

예.

Q: ACM에서 OV(Organizational Validation) 또는 EV(Extended Validation) 인증서를 제공합니까?

현재는 지원되지 않습니다.

Q: ACM에서 웹 사이트에 대해 SSL/TLS 이외에 다른 인증서를 제공합니까?

현재는 지원되지 않습니다.

Q: ACM에서 제공하는 인증서를 코드 서명이나 이메일 암호화에 사용할 수 있습니까?

아니요.

Q: ACM에서 이메일에 서명하고 이메일을 암호화하는 데 사용하는 인증서(S/MIME 인증서)를 제공합니까?

현재는 지원되지 않습니다.

Q: ACM에서 제공하는 인증서는 어떤 알고리즘을 사용합니까?

ACM 인증서는 2,048비트 모듈러스와 SHA-256을 지원하는 RSA 키를 사용합니다.

Q: ACM에서는 ECDSA(Elliptic Curve) 인증서를 지원합니까?

현재는 지원되지 않습니다.

Q: Amazon의 인증서 발행에 대한 정책 및 사례는 어디에 설명되어 있습니까?

Amazon Trust Services Certificate Policies와 Amazon Trust Services Certification Practices Statement 문서에 설명되어 있습니다. 최신 버전은 Amazon Trust Services 리포지토리를 참조하십시오.

Q: 인증서를 취소하려면 어떻게 해야 합니까?

AWS Support 센터로 이동하여 사례를 생성함으로써 인증서를 취소하도록 ACM에 요청할 수 있습니다. 

Q: 인증서에 있는 정보가 변경되는 경우, AWS에 알리려면 어떻게 해야 합니까?

validation-questions@amazon.com으로 이메일을 보내 AWS에 알리면 됩니다.

맨 위로 이동 >>

Q: ACM 제공 인증서의 프라이빗 키는 어떻게 관리됩니까?

ACM이 제공하는 인증서별로 키 페어가 생성됩니다. AWS Certificate Manager는 SSL/TLS 인증서에 사용되는 프라이빗 키를 보호하고 관리하도록 설계되었습니다. 강력한 암호화 및 키 관리 모범 사례를 사용하여 프라이빗 키를 보호하고 저장합니다.

Q: ACM에서는 AWS 리전 간에 인증서를 복사합니까

아니요. 각 ACM 인증서의 프라이빗 키는 인증서를 요청한 리전에 저장됩니다. 예를 들어 미국 동부(버지니아 북부) 리전에서 새로운 인증서를 취득한 경우, ACM은 버지니아 북부 리전에 프라이빗 키를 저장합니다. ACM 인증서가 CloudFront 배포와 연결되어 있을 때만 해당 인증서가 리전 간에 복사됩니다. 이 경우 CloudFront가 ACM 인증서를 배포에 구성된 지리적 위치에 배포합니다.

Q: 인증서 프라이빗 키의 사용을 감사할 수 있습니까?

예. AWS CloudTrail을 사용하면 인증서의 프라이빗 키가 언제 사용되었는지 알려주는 로그를 검토할 수 있습니다.

맨 위로 이동 >>

Q: ACM 인증서의 사용료는 어떻게 과금 및 청구됩니까?

AWS Certificate Manager를 통해 프로비저닝, 관리 및 배포되는 SSL/TLS 인증서는 무료입니다. Elastic Load Balancing 로드 밸런서 또는 Amazon CloudFront 배포와 같이 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대한 비용만 지불하면 됩니다.

맨 위로 이동 >>

Q: 같은 인증서를 여러 Elastic Load Balancing 로드 밸런서 및 여러 Amazon CloudFront 배포에 사용할 수 있습니까?

예.

Q: 인증서를 퍼블릭 인터넷 액세스가 없는 내부 Elastic Load Balancing 로드 밸런서에 사용할 수 있습니까?

예. ACM에서 퍼블릭 인터넷으로 접속할 수 없는 인증서를 갱신하는 방법에 대한 자세한 내용은 관리형 갱신 및 배포를 참조하십시오.

Q: www.example.com용 인증서를 example.com에도 사용할 수 있습니까?

아니요. 사이트에서 두 개의 도메인 이름(www.example.com 및 example.com)을 모두 사용하려면, 두 이름을 모두 포함하는 인증서를 요청해야 합니다.

Q: 타사 인증서를 가져와서 AWS 서비스에 사용할 수 있습니까?

예. Amazon CloudFront, Elastic Load Balancing 또는 Amazon API Gateway를 통해 타사 인증서를 사용하려면, AWS Management Console, AWS CLI 또는 ACM API를 사용하여 해당 인증서를 ACM으로 가져와야 할 수도 있습니다. ACM은 가져온 인증서에 대한 갱신 프로세스를 관리하지 않습니다. AWS Management Console을 사용하면 가져온 인증서의 만료 날짜를 모니터링하고 만료되는 인증서를 대체할 새로운 타사 인증서를 가져올 수 있습니다.

Q: ACM이 제공하는 인증서의 유효 기간은 어떻게 됩니까?

ACM이 제공하는 인증서는 현재 13개월 동안 유효합니다.

Q: ACM은 조직인 규정 준수 요구 사항을 충족하도록 어떻게 도와줄 수 있습니까?

ACM은 PCI, FedRAMP, HIPAA 등과 같은 많은 규정 준수 프로그램의 일반적인 요구 사항인 보안 연결을 손쉽게 지원함으로써 규제 요구 사항을 준수하도록 도와줍니다. 규정 준수에 관한 자세한 내용은 http://aws.amazon.com/compliance를 참조하십시오.

Q: ACM은 서비스 수준 계약(SLA)을 지원합니까?

현재는 지원되지 않습니다.

Q: ACM에서는 IDN(Internationalized Domain Names) 외에 현지 언어 글자를 도메인 이름에 사용할 수 있습니까?

ACM에서는 유니코드로 인코딩된 현지 언어 글자를 지원하지 않습니다. 하지만 ACM에서는 도메인 이름에 ASCII로 인코딩된 현지 언어 글자를 사용할 수 있습니다.

Q: ACM에서 사용할 수 있는 도메인 이름 레이블 형식은 무엇입니까?

ACM에서는 "xn–"을 포함하는 레이블을 비롯하여 일반적으로 퓨니코드로 알려진 UTF-8 인코딩된 ASCII만을 도메인 이름에 사용할 수 있습니다. ACM에서는 도메인 이름에 유니코드 입력(u–레이블)을 사용할 수 없습니다.

Q: ACM에서는 내 웹 사이트에 표시할 수 있는 안전한 사이트 씰 또는 트러스트 로고를 제공합니까?

아니요. 사이트 씰을 사용하려는 경우 타사 공급업체에서 가져올 수 있습니다. 사이트 보안과 비즈니스 사례 중 하나 또는 둘 다를 평가하고 확인할 수 있는 공급업체를 선택하는 것이 좋습니다.

Q: Amazon에서는 Amazon 상표 또는 로고를 인증서 배지, 사이트 씰 또는 트러스트 로고로 사용하는 것을 허용합니까?

아니요. 이러한 유형의 씰과 배지는 ACM 서비스를 사용하지 않는 사이트로 복사되어 허위로 신뢰 관계를 설정하는 데 부적절하게 사용될 수 있습니다. Amazon의 고객과 평판을 보호하기 위해 Amazon에서는 로고를 이러한 방식으로 사용하는 것을 허용하지 않습니다.

맨 위로 이동 >>

Q: AWS CloudTrail에서 제공되는 로깅 정보에는 어떤 것이 있습니까?

AWS CloudTrail을 지원하는 서비스에 대해 AWS API를 호출한 사용자와 계정, 호출이 이루어진 소스 IP 주소, 그리고 호출이 발생한 시간을 파악할 수 있습니다. 예를 들어 ACM이 제공하는 인증서를 탄력적 로드 밸런서와 연결하도록 API를 호출한 사용자가 누구인지와 Elastic Load Balancing 서비스가 KMS API 호출로 키를 복호화한 시간을 파악할 수 있습니다.

맨 위로 이동 >>

Q: ACM 관리형 갱신 및 배포란 무엇입니까?

ACM 관리형 갱신 및 배포는 ACM이 제공하는 SSL/TLS 인증서를 갱신하고 갱신한 후에 인증서를 배포하는 프로세스를 관리합니다.

Q: ACM 관리형 갱신 및 배포를 사용하면 어떤 이점이 있습니까?

ACM에서는 SSL/TLS 인증서의 갱신 및 배포를 대신 관리합니다. ACM은 안전한 웹 서비스 또는 애플리케이션을 위해 SSL/TLS를 구성하고 유지 관리하는 작업을 잠재적으로 오류가 발생하기 쉬운 수동 프로세스보다 운영적으로 견고하게 해줍니다. 관리형 갱신 및 배포를 사용하면 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. ACM 관리형 갱신 및 배포에서는 소프트웨어 클라이언트나 에이전트를 사이트에 설치하거나 유지 관리할 필요가 없습니다. 대신, ACM이 다른 AWS 서비스와 통합된 서비스로 작동합니다. 즉, AWS management console, AWS CLI 또는 API를 사용하여 중앙에서 AWS 플랫폼의 인증서를 관리하고 배포할 수 있습니다.

Q: 자동으로 갱신하고 배포할 수 있는 인증서에는 어떤 것이 있습니까?

ACM은 도메인 소유자의 추가 확인 없이 ACM이 제공하는 인증서를 갱신 및 배포할 수 있습니다. 추가 확인 없이는 인증서를 갱신할 수 없는 경우, ACM은 인증서에 있는 각 도메인 이름에 대한 도메인 소유권 또는 제어를 검증하여 갱신 프로세스를 관리합니다. 인증서에 있는 각 도메인 이름이 검증된 후에, ACM은 인증서를 갱신하고 이를 AWS 리소스에 자동으로 배포합니다. ACM이 도메인 소유권을 검증할 수 없는 경우 사용자(AWS 계정 소유자)에게 이를 알립니다.

인증서 요청에서 DNS 검증을 선택한 경우, 인증서가 사용 중에 있으며(다른 AWS 리소스에 연결) CNAME 레코드가 그대로 유지되는 한 ACM이 사용자의 추가 조치 없이 인증서를 무기한으로 갱신할 수 있습니다. 인증서 요청 시 이메일 검증을 선택한 경우, 인증서가 사용 중이며 인증서에 포함된 모든 도메인 이름이 사이트에 연결될 수 있고 인터넷에서 모든 도메인 이름에 접속할 수 있음을 보장함으로써 ACM이 제공한 인증서를 자동으로 갱신 및 배포할 수 있는 ACM 기능을 향상시킬 수 있습니다.

Q: ACM은 언제 인증서를 갱신합니까?

ACM은 인증서가 만료되기 최대 60일 이전에 갱신 프로세스를 시작합니다. ACM 제공 인증서의 유효 기간은 현재 13개월입니다. 관리형 갱신에 관한 자세한 내용은 ACM 사용 설명서를 참조하십시오.

Q: 내 인증서가 갱신되고 새로운 인증서가 배포되기 전에 알림을 받게 됩니까?

아니요. ACM은 사전 공지 없이 인증서를 갱신 또는 취소하고 이전 인증서를 교체할 수 있습니다.

Q: ACM은 "example.com"과 같은 베어 도메인(zone apex 또는 네이키드 도메인으로도 알려짐)을 포함하는 인증서를 갱신할 수 있습니까?

인증서 요청에서 DNS 검증을 선택하고 나면, 인증서가 사용 중에 있으며(다른 AWS 리소스에 연결) CNAME 레코드가 그대로 유지되는 한 ACM이 사용자의 추가 조치 없이 인증서를 갱신할 수 있습니다.

베어 도메인을 포함한 인증서를 요청할 때 이메일 검증을 선택한 경우, 베어 도메인의 DNS 검색이 인증서에 연결된 AWS 리소스에 연결되어야 합니다. 베어 도메인을 AWS 리소스에 매핑하기 위해 Route 53이나 별칭 리소스 레코드를 지원하는 다른 DNS 공급자를 사용하지 않는 한, 베어 도메인이 AWS 리소스로 연결되도록 하는 것이 어려울 수 있습니다. 자세한 내용은 Route 53 개발자 안내서를 참조하십시오.

Q: ACM이 갱신된 인증서를 배포하면 내 사이트에서 기존 연결을 끊습니까?

아니요. 새로운 인증서가 배포된 후에 설정된 연결은 새로운 인증서를 사용합니다. 기존 연결에는 영향을 주지 않습니다.

맨 위로 이동 >>