일반

Q: AWS Certificate Manager란 무엇인가요?

AWS Certificate Manager(ACM)는 AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스입니다. SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷상에서 웹 사이트의 ID와 프라이빗 네트워크에서 리소스의 자격 증명을 설정하는 데 사용됩니다. ACM은 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해줍니다. AWS Certificate Manager에서는 사용자가 신속하게 인증서를 요청하고, Elastic Load Balancer, Amazon CloudFront 배포, API Gateway 기반 API와 같은 AWS 리소스에 배포한 후, ACM을 통해 인증서 갱신을 처리하도록 할 수 있습니다. 또한 내부 리소스에 대한 사설 인증서를 생성하고 중앙에서 인증서 수명 주기를 관리할 수도 있습니다. ACM을 통해 프로비저닝되고 ACM 통합 서비스(Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway 등)에만 전용으로 사용되는 공인 및 사설 SSL/TLS 인증서는 무료입니다. 사용자는 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대한 비용을 지불합니다. 고객은 각 사설 CA의 운영에 대해 해당 CA를 삭제할 때까지 그리고 발급한 사설 인증서 중 ACM 통합 서비스 이외 다른 서비스에서도 사용된 인증서에 대해 월별 요금을 지불합니다.

Q: SSL/TLS 인증서란 무엇입니까?

SSL/TLS 인증서는 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 프로토콜을 사용하여 웹 브라우저가 웹 사이트에 대해 암호화된 네트워크 연결을 확인하고 설정할 수 있게 해줍니다. 인증서는 퍼블릭 키 인프라(PKI)로 알려진 암호화 시스템 내에서 사용됩니다. 양쪽 모두가 인증 기관이라고 하는 서드 파티를 신뢰하는 경우, PKI는 한쪽에서 인증서를 사용하여 다른 쪽의 ID를 설정할 수 있는 방법을 제공합니다. ACM 사용 설명서의 개념 주제에서 추가 정보와 정의를 확인할 수 있습니다.

Q: 사설 인증서란 무엇인가요?

사설 인증서는 애플리케이션, 서비스, 디바이스 및 사용자와 같은 조직 내 리소스를 식별합니다. 암호화된 보안 통신 채널을 구성할 때 각 엔드포인트가 인증서와 암호화 기법을 사용하여 다른 엔드포인트에 자격 증명을 제공합니다. 내부 API 엔드포인트, 웹 서버, VPN 사용자, IoT 디바이스 및 다른 많은 애플리케이션에서 사설 인증서를 사용하여 보안 작업에 필요한 암호화된 통신 채널을 구성합니다.

Q: 공인 인증서와 사설 인증서의 차이점은 무엇입니까?

공인 인증서와 사설 인증서 모두 고객이 네트워크상의 리소스를 식별하고 이러한 리소스 간 통신을 보호하는 데 도움이 됩니다. 공인 인증서는 퍼블릭 인터넷상의 리소스를 식별하고 사설 인증서는 프라이빗 네트워크상의 리소스를 식별합니다. 큰 차이점 하나는 기본적으로 애플리케이션과 브라우저에서는 공인 인증서를 자동으로 신뢰하는 반면, 사설 인증서의 경우 애플리케이션에서 신뢰하도록 관리자가 명시적으로 구성해야 합니다. 공인 인증서를 발급하는 엔터티인 공인 CA는 엄격한 규칙을 준수하고, 운영 가시성을 제공하고, 브라우저 및 운영 체제가 자동으로 신뢰할 CA를 결정하는 브라우저 및 운영 체제 공급업체가 도입한 보안 표준을 충족해야 합니다. 사설 CA는 사설 조직에서 관리하며, 사설 CA 관리자는 인증서 발생에 대한 사례, 인증서에 포함할 수 있는 정보를 비롯하여 사설 인증서 발급에 대한 자체 규칙을 생성할 수 있습니다. 

Q: AWS Certificate Manager(ACM)를 사용하면 어떤 이점이 있나요?

ACM을 사용하면 AWS 플랫폼의 웹 사이트나 애플리케이션에 대해 SSL/TLS를 손쉽게 활성화할 수 있습니다. ACM은 사용 및 SSL/TLS 인증서 관리와 관련된 많은 수동 프로세스를 대신 처리해줍니다. 또한, ACM에서 갱신을 관리하므로 잘못 구성되거나, 취소되거나 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. SSL/TLS 보호와 손쉬운 인증서 관리를 활용할 수 있습니다. 인터넷 사이트에 대해 SSL/TLS를 활성화함으로써 사이트의 검색 순위를 높이고, 전송 데이터 암호화에 대한 규제 준수 요구 사항을 충족할 수 있습니다.

ACM을 사용하여 인증서를 관리하면, 강력한 암호화 및 키 관리 모범 사례에 따라 인증서 프라이빗 키가 안전하게 보호 및 저장됩니다. ACM을 통해 사용자는 AWS Management Console, AWS CLI 또는 ACM API를 사용하여 AWS 리전의 모든 SSL/TLS ACM 인증서를 중앙에서 관리할 수 있습니다. ACM은 다른 AWS 서비스와 통합됩니다. 따라서 AWS Management Console, AWS CLI 명령 또는 API 호출을 통해 SSL/TLS 인증서를 요청하고, Elastic Load Balancing 로드 밸런서나 Amazon CloudFront 배포와 함께 인증서를 프로비저닝할 수 있습니다.

Q: ACM으로 관리할 수 있는 인증서 유형은 무엇인가요?

ACM을 사용하면 공인 인증서와 사설 인증서의 수명 주기를 관리할 수 있습니다. ACM의 기능은 인증서가 공인 또는 사설인지, 인증서를 받는 방법, 배포하는 장소에 따라 달라집니다.

공인 인증서 - ACM에서 Amazon 발급 공인 인증서를 요청할 수 있습니다. ACM은 ACM 통합 서비스(Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway 등)에 사용되는 공인 인증서의 갱신 및 배포를 관리합니다.

사설 인증서 - 사설 인증서 관리를 ACM에 위임하도록 선택할 수 있습니다. 이 방식으로 사용하면 ACM 통합 서비스(Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway 등)에 사용되는 사설 인증서를 ACM을 통해 자동으로 갱신 및 배포할 수 있습니다. AWS Management Console, API 및 명령줄 인터페이스(CLI)를 사용해 이러한 사설 인증서를 손쉽게 배포할 수 있습니다. ACM에서 사설 인증서를 내보내어 EC2 인스턴스, 컨테이너, 온프레미스 서버 및 IoT 디바이스에서 사용할 수 있습니다. AWS Private CA는 이러한 인증서를 자동으로 갱신하고 갱신이 완료되면 Amazon CloudWatch로 알림을 전송합니다. 갱신된 인증서와 프라이빗 키를 다운로드하여 애플리케이션에 배포하도록 클라이언트 측 코드를 작성할 수 있습니다.

가져온 인증서 – Amazon CloudFront, Elastic Load Balancing 또는 Amazon API Gateway에서 서드 파티 인증서를 사용하려면, AWS Management Console, AWS CLI 또는 ACM API를 사용하여 해당 인증서를 ACM으로 가져와야 할 수 있습니다. 가져온 인증서는 ACM을 통해 갱신할 수 없지만 갱신 프로세스를 관리하는 데 도움이 될 수 있습니다. 가져온 인증서의 만료 날짜를 모니터링하여 만료되기 이전에 갱신하는 것은 고객의 책임입니다. ACM CloudWatch 지표를 사용하여 가져온 인증서의 만료 날짜를 모니터링하고 만료되는 인증서를 대체할 새로운 서드 파티 인증서를 가져올 수 있습니다.

Q: ACM을 시작하려면 어떻게 해야 하나요?

ACM을 시작하려면, AWS Management Console에서 Certificate Manager(인증서 관리자)로 이동한 후, 마법사를 사용해 SSL/TLS 인증서를 요청하면 됩니다. Private CA를 이미 생성한 경우, 공인 인증서와 사설 인증서 중에서 선택한 후 사이트 이름을 입력합니다. 또한 AWS CLI 또는 API를 사용하여 인증서를 요청할 수도 있습니다. 인증서가 발급되면, ACM과 통합되는 다른 AWS 서비스에서 이를 사용할 수 있습니다. 각 통합 서비스에 대해 AWS Management Console의 드롭다운 목록에서 원하는 SSL/TLS 인증서를 선택하기만 하면 됩니다. 또는 AWS CLI 명령을 실행하거나 AWS API를 호출하여 인증서를 리소스에 연결할 수도 있습니다. 그러면 통합 서비스가 선택된 리소스에 인증서를 배포합니다.  ACM을 통해 제공되는 인증서 요청 및 사용에 대한 자세한 내용은 ACM 사용 설명서에서 자세히 알아보세요. ACM 통합 서비스에서 사설 인증서를 사용하는 것 외에도, 사설 인증서를 내보내 EC2 인스턴스, ECS 컨테이너 또는 모든 위치에서 사용할 수 있습니다.

Q: ACM 인증서를 사용할 수 있는 AWS 서비스는 무엇인가요?

• 다음 AWS 서비스에서 공인 및 사설 ACM 인증서를 사용할 수 있습니다.
• Elastic Load Balancing - Elastic Load Balancing 설명서 참조
• Amazon CloudFront – CloudFront 설명서
• Amazon API Gateway - API Gateway 설명서 참조
• AWS CloudFormation - 지원은 현재 ACM 발급 공인 및 사설 인증서로 제한되어 있습니다. AWS CloudFormation 설명서 참조
• AWS Elastic Beanstalk - AWS Elastic Beanstalk 설명서 참조
• AWS Nitro Enclaves - AWS Nitro Enclaves 설명서 참조

Q: 어느 리전에서 ACM을 사용할 수 있나요?

AWS 서비스를 사용할 수 있는 현재 리전을 확인하려면 AWS 글로벌 인프라 페이지를 참조하세요. Amazon CloudFront에서 ACM 인증서를 사용하려면 미국 동부(버지니아 북부) 리전에서 ACM 인증서를 요청하거나 가져와야 합니다. CloudFront 배포와 연동되어 있는 이 리전의 ACM 인증서는 해당 배포에 대해 구성된 모든 지리적 위치에 배포됩니다.

ACM 인증서

Q: ACM에서는 어떤 유형의 인증서를 관리합니까?

ACM은 공인 인증서, 사설 인증서 및 가져온 인증서를 관리합니다. 인증서 발급 및 관리 설명서에서 ACM의 기능에 대해 자세히 알아보세요.

Q: ACM은 여러 도메인 이름이 포함된 인증서를 제공하나요?

예. 각 인증서는 하나 이상의 도메인 이름을 포함해야 하며, 원하는 경우 이름을 추가할 수 있습니다. 예를 들어 사용자가 "www.example.net"이라는 이름으로도 사이트에 접속할 수 있는 경우, 이를 "www.example.com"용 인증서에 추가할 수 있습니다. 인증서 요청에 포함된 모든 이름을 소유하거나 제어해야 합니다. 

Q: 와일드카드 도메인 이름이란 무엇입니까?

와일드카드 도메인 이름은 도메인의 첫째 단계 하위 도메인 또는 호스트 이름과 일치합니다. 첫째 단계 하위 도메인은 점을 포함하지 않는 단일 도메인 이름 레이블입니다. 예를 들어 *.example.com이라는 이름을 사용하여 www.example.com, images.example.com, 그리고 .example.com으로 끝나는 다른 호스트 이름이나 첫째 단계 하위 도메인을 보호할 수 있습니다. ACM 사용 설명서에서 자세히 알아보세요.

Q: ACM에서 와일드카드 도메인 이름이 포함된 인증서를 제공할 수 있나요?

예.

Q: ACM은 SSL/TLS 외의 인증서를 제공하나요?

아니요.

Q: ACM 인증서를 코드 서명 또는 이메일 암호화에 사용할 수 있나요?

아니요.

Q: ACM에서 이메일에 서명하고 이메일을 암호화하는 데 사용하는 인증서(S/MIME 인증서)를 제공하나요?

아니요.

Q: ACM 인증서의 유효 기간은 어떻게 되나요?

ACM을 통해 발급한 인증서는 13개월(395일) 동안 유효합니다. 인증서 관리에 ACM을 사용하지 않고 Private CA에서 직접 사설 인증서를 발급하고 키와 인증서를 관리하는 경우, 절대적 종료 날짜 또는 상대적 시간(지금부터 며칠, 몇 달 또는 몇 년)을 비롯하여 원하는 유효 기간을 선택할 수 있습니다.

Q: ACM 발급 인증서에 사용되는 알고리즘은 무엇인가요?

기본적으로 ACM 발급 인증서에는 2048-비트 모듈러스 및 SHA-256이 적용된 RSA 키가 사용됩니다. 또는 P-256 또는 P-384를 사용하는 Elliptic Curve Digital Signature Algorithm(ECDSA) 인증서를 요청할 수 있습니다. ACM 사용 설명서에서 알고리즘에 대해 자세히 알아보세요.

Q: 인증서를 폐기하려면 어떻게 해야 하나요?

AWS Support 센터에서 사례를 생성하여 ACM에 공인 인증서 폐기를 요청할 수 있습니다. AWS Private CA에서 발급한 사설 인증서를 폐기하려면 AWS Private CA 사용 설명서를 참조하세요. 

Q: 복수의 AWS 리전에서 같은 ACM 인증서를 사용할 수 있나요?

아니요. ACM 인증서는 인증서가 사용되는 리소스와 동일한 리전에 있어야 합니다. 유일한 예외는 미국 동부(버지니아 북부) 리전의 인증서를 필요로 하는 글로벌 서비스인 Amazon CloudFront입니다. CloudFront 배포와 연동되어 있는 이 리전의 ACM 인증서는 해당 배포에 대해 구성된 모든 지리적 위치에 배포됩니다.

Q: 같은 도메인 이름에 대해 다른 제공업체로부터 이미 인증서를 받은 경우에도 ACM으로 인증서를 프로비저닝할 수 있습니까?

예.

Q: 인증서를 Amazon EC2 인스턴스 또는 자체 서버에 사용할 수 있나요?

Private CA에서 발급한 사설 인증서를 EC2 인스턴스, 컨테이너 및 자체 서버에서 사용할 수 있습니다. 현재는 공인 ACM 인증서를 AWS Nitro Enclaves를 포함한 특정 AWS 서비스에만 사용할 수 있습니다. ACM 서비스 통합을 참조하세요.

Q: ACM에서는 Internationalized Domain Name(IDN) 외에 현지 언어 문자를 도메인 이름에 사용할 수 있나요?

ACM에서는 유니코드로 인코딩된 현지 언어 글자를 지원하지 않습니다. 하지만 ACM에서는 도메인 이름에 ASCII로 인코딩된 현지 언어 글자를 사용할 수 있습니다.

Q: ACM에서 사용할 수 있는 도메인 이름 레이블 형식은 무엇입니까?

ACM에서는 "xn–"을 포함하는 레이블을 비롯하여 일반적으로 퓨니코드로 알려진 UTF-8 인코딩된 ASCII만을 도메인 이름에 사용할 수 있습니다. ACM에서는 도메인 이름에 유니코드 입력(u–레이블)을 사용할 수 없습니다.

Q: 서드 파티 인증서를 가져와서 AWS 서비스에 사용할 수 있나요?

예. Amazon CloudFront, Elastic Load Balancing 또는 Amazon API Gateway를 통해 타사 인증서를 사용하려면, AWS Management Console, AWS CLI 또는 ACM API를 사용하여 해당 인증서를 ACM으로 가져와야 할 수도 있습니다. ACM은 가져온 인증서에 대한 갱신 프로세스를 관리하지 않습니다. AWS Management Console을 사용하여 가져온 인증서의 만료 날짜를 모니터링하고 만료되는 인증서를 대체할 새로운 서드 파티 인증서를 가져올 수 있습니다.

ACM 공인 인증서

Q: 공인 인증서란 무엇입니까?

공인 인증서와 사설 인증서 모두 고객이 네트워크상의 리소스를 식별하고 이러한 리소스 간 통신을 보호하는 데 도움이 됩니다. 공인 인증서는 인터넷상의 리소스를 식별합니다.

Q: ACM에서는 어떤 유형의 공인 인증서를 제공합니까?

ACM은 SSL/TLS를 종료하는 웹 사이트 및 애플리케이션에서 사용하는 DV(Domain Validated) 공인 인증서를 제공합니다. ACM 인증서에 대한 자세한 내용은 인증서 특성을 참조하세요.

Q: 브라우저, 운영 체제 및 모바일 디바이스에서 ACM 공인 인증서를 신뢰합니까?

거의 모든 최신 브라우저, 운영 체제 및 모바일 디바이스에서 ACM 공인 인증서를 신뢰합니다. ACM 제공 인증서는 Windows XP SP3와 Java 6 이상을 비롯하여 브라우저 및 운영 체제의 99%에 편재되어 있습니다.

Q: 내 브라우저가 ACM 공인 인증서를 신뢰하는지 확인하려면 어떻게 해야 하나요?

ACM 인증서를 신뢰하는 일부 브라우저에는 자물쇠 아이콘이 표시되고, SSL/TLS를 통해(예를 들어 HTTPS를 사용하여) ACM 인증서를 사용하는 사이트로 연결되었을 때 인증서 경고가 표시되지 않습니다.

공인 ACM 인증서는 Amazon의 인증 기관(CA)에서 검증합니다. Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority - G2를 비롯한 모든 브라우저, 애플리케이션 또는 OS에서 ACM 인증서를 신뢰합니다. 루트 CA에 대한 자세한 내용은 Amazon Trust Services 리포지토리를 참조하세요.

Q: ACM은 공인 Organizational Validation(OV) 또는 Extended Validation(EV) 인증서를 제공하나요?

아니요.

Q: 인증서 발급에 대한 Amazon의 정책 및 사례는 어디에 설명되어 있나요?

Amazon Trust Services Certificate Policies와 Amazon Trust Services Certification Practices Statement 문서에 설명되어 있습니다. 최신 버전은 Amazon Trust Services 리포지토리를 참조하세요.

Q: www.example.com용 인증서를 example.com에도 사용할 수 있나요?

아니요. 사이트에서 두 개의 도메인 이름(www.example.com 및 example.com)을 모두 사용하려면, 두 이름을 모두 포함하는 인증서를 요청해야 합니다.

Q: 조직에서 규정 준수 요구 사항을 충족하는 데 ACM이 어떻게 도움을 줄 수 있나요?

ACM은 PCI, FedRAMP, HIPAA 등과 같은 많은 규정 준수 프로그램의 일반적인 요구 사항인 보안 연결을 손쉽게 지원함으로써 규제 요구 사항을 준수하는 데 도움이 됩니다. 규정 준수에 관한 자세한 내용은 http://aws.amazon.com/compliance를 참조하십시오.

Q: ACM은 서비스 수준 계약(SLA)을 지원하나요?

아니요. ACM에는 SLA가 없습니다. 

Q: ACM에서는 내 웹 사이트에 표시할 수 있는 안전한 사이트 씰 또는 트러스트 로고를 제공하나요?

아니요. 사이트 씰을 사용하려는 경우 타사 공급업체에서 가져올 수 있습니다. 사이트 보안과 비즈니스 사례 중 하나 또는 둘 다를 평가하고 확인할 수 있는 공급업체를 선택하는 것이 좋습니다.

Q: Amazon에서는 Amazon 상표 또는 로고를 인증서 배지, 사이트 씰 또는 트러스트 로고로 사용하는 것을 허용합니까?

아니요. 이러한 유형의 씰과 배지는 ACM 서비스를 사용하지 않는 사이트로 복사되어 허위로 신뢰 관계를 설정하는 데 부적절하게 사용될 수 있습니다. Amazon의 고객과 평판을 보호하기 위해 Amazon에서는 로고를 이러한 방식으로 사용하는 것을 허용하지 않습니다.

 

공인 인증서 프로비저닝

Q: ACM에서 공인 인증서를 프로비저닝하려면 어떻게 해야 하나요?

AWS Management Console, AWS CLI 또는 ACM API/SDK를 사용하면 됩니다. AWS Management Console을 사용하려면, [Certificate Manager]로 이동하여 [Request a certificate]를 선택하고, 사이트용 도메인 이름을 입력한 후, 화면의 지침을 따라 요청을 완료합니다. 사용자가 다른 이름으로 사이트에 접속하는 경우, 요청에 해당 도메인 이름을 추가할 수 있습니다. ACM은 인증서를 발급하기 전, 사용자가 인증서 요청의 도메인 이름을 소유 또는 제어하는 것을 확인합니다. 인증서 요청 시 DNS 검증 또는 이메일 검증을 선택할 수 있습니다. DNS 검증을 통해 도메인에 대한 퍼블릭 DNS 구성에 레코드를 작성하여 도메인의 소유 또는 제어를 설정합니다. 도메인의 제어 설정을 위해 DNS 검증을 사용하면 추가 인증서를 확보할 수 있으며, 레코드가 그대로 유지되고 인증서가 사용되고 있는 한 ACM이 해당 도메인에 대한 기존 인증서를 갱신하도록 할 수 있습니다. 다시 도메인의 제어를 검증할 필요가 없습니다. DNS 검증 대신 이메일 검증을 선택하는 경우, 인증서 발급 승인을 요청하는 이메일이 도메인 소유자에게 전송됩니다. 요청에 기재한 각 도메인 이름의 소유 또는 제어를 검증한 후 인증서가 발급되고 Elastic Load Balancing이나 Amazon CloudFront와 같은 다른 AWS 서비스와 함께 프로비저닝할 준비가 됩니다. 자세한 내용은 ACM 설명서를 참조하세요.

Q: ACM에서 공인 인증서용 도메인 소유권을 검증하는 이유는 무엇입니까?

인증서는 사이트의 ID를 설정하고 브라우저 및 애플리케이션과 사이트 간의 연결에 보안을 적용합니다. 공개적으로 신뢰할 수 있는 인증서를 발급하기 위해 Amazon은 인증서 요청자가 인증서 요청의 도메인 이름을 제어하는 것을 확인해야 합니다.

Q: 도메인에 대한 공인 인증서를 발급하기 전에 ACM이 도메인 소유권을 어떻게 검증하나요?

인증서를 발급하기 전, ACM은 사용자가 인증서 요청의 도메인 이름을 소유 또는 제어하는 것을 확인합니다. 인증서 요청 시 DNS 검증 또는 이메일 검증을 선택할 수 있습니다. DNS 검증을 통해 CNAME 레코드를 DNS 구성에 추가하여 도메인 소유권을 검증할 수 있습니다. 자세한 내용은 DNS 검증을 참조하십시오. 도메인의 퍼블릭 DNS 구성에 레코드를 작성할 수 없는 경우, DNS 검증 대신 이메일 검증을 사용할 수 있습니다. 이메일 검증을 사용해 ACM이 등록된 도메인 소유자에게 이메일을 전송하면 소유자 또는 권한을 부여받은 대리인이 인증서 요청서의 각 도메인 이름에 대한 발급을 승인할 수 있습니다. 자세한 내용은 이메일 검증을 참조하십시오.

Q: 내 공인 인증서에 대해 DNS 검증과 이메일 검증 중 어떤 방법을 사용해야 합니까?

도메인에 대한 DNS 구성을 변경할 수 있다면 DNS 검증을 사용할 것을 권장합니다. ACM으로부터 검증 이메일을 수신할 수 없는 고객과 WHOIS에 도메인 소유자 이메일 연락처 정보를 공개하지 않은 고객은 DNS 검증을 사용해야 합니다. DNS 구성을 수정할 수 없다면 이메일 검증을 사용해야 합니다.

Q: 기존 공인 인증서를 이메일 검증에서 DNS 검증으로 전환할 수 있습니까?

아니요. 하지만 ACM에서 무료인 새 인증서를 요청하고 새 인증서에 대해 DNS 검증을 선택할 수 있습니다.

Q: 공인 인증서를 발급하는데 시간이 얼마나 걸립니까?

인증서 요청에 기재한 모든 도메인 이름이 검증된 후 인증서를 발급하는 데 몇 시간 또는 그 이상이 걸릴 수 있습니다.

Q: 공인 인증서를 요청하면 어떤 일이 발생합니까?

요청하면, 사용자가 선택한 검증 방법(DNS 또는 이메일)에 따라 ACM이 인증서 요청에 기재한 각 도메인 이름의 소유권 또는 제어를 검증하려고 시도합니다. ACM이 도메인의 소유 또는 제어를 검증하는 동안 인증서 요청 상태는 Pending validation입니다. 검증 과정에 대한 더 자세한 내용은 아래 DNS 검증이메일 검증 섹션을 참조하십시오. 인증서 요청에 기재한 모든 도메인 이름이 검증된 후 인증서가 발급되는 데 걸리는 시간은 몇 시간 또는 그 이상이 될 수 있습니다. 인증서가 발급되면 인증서 요청 상태가 Issued로 변경되며 ACM과 통합되는 다른 AWS 서비스에서 인증서를 사용할 수 있습니다.

Q: ACM은 공인 인증서를 발급하기 전에 DNS CAA(Certificate Authority Authorization) 기록을 확인합니까?

예. 도메인 소유자는 DNS CAA(Certificate Authority Authorization) 레코드를 통해 자신의 도메인 인증서를 발급할 인증 기관을 지정할 수 있습니다. ACM 인증서가 요청되면 AWS Certificate Manager가 도메인의 DNS 영역 구성에서 CAA 레코드를 찾습니다. CAA 레코드를 찾지 못하는 경우에는 Amazon이 도메인 인증서를 발급할 수 있습니다. 대부분 고객들이 여기에 속합니다.

DNS 구성에 CAA 레코드가 포함되어 있으면 Amazon이 도메인 인증서를 발급하기 전에 해당 레코드에서 amazon.com, amazontrust.com, awstrust.com 또는 amazonaws.com 중에서 CA를 하나 지정해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 CAA 레코드 구성 또는 CAA 문제 해결을 참조하세요.

Q: ACM이 지원하는 다른 도메인 검증 방법이 있습니까?

현재는 지원되지 않습니다.

DNS 검증

Q: DNS 검증이란 무엇입니까?

DNS 검증을 사용하면 CNAME 레코드를 DNS 구성에 추가하여 도메인 소유권을 검증할 수 있습니다. DNS 검증을 사용하면 ACM에서 공인 SSL/TLS 인증서를 요청할 때 도메인을 손쉽게 설정할 수 있습니다.

Q: DNS 검증의 장점은 무엇입니까?

DNS 검증을 사용하면 SSL/TLS 인증서를 확보할 수 있도록 도메인의 소유 또는 제어를 쉽게 검증할 수 있습니다. 사용자는 DNS 검증을 통해 간단하게 CNAME 레코드를 DNS 구성에 작성하여 도메인 이름의 제어를 설정합니다. Amazon Route 53으로 DNS 레코드를 관리하는 경우, DNS 검증 과정을 간소화하기 위해 ACM 관리 콘솔이 사용자에 대한 DNS 레코드를 구성할 수 있습니다. 이를 통해 몇 번의 마우스 클릭으로 쉽게 도메인 이름을 제어할 수 있습니다. CNAME 레코드가 구성되면 DNS 검증 레코드가 그대로 유지되는 한, ACM이 사용 중인 인증서를 자동으로 갱신합니다(다른 AWS 리소스와 연결). 갱신은 완전 자동이며 손을 댈 필요가 없습니다.

Q: 누가 DNS 검증을 사용해야 합니까?

ACM을 통해 인증서를 요청하였으며 요청한 도메인에 대한 DNS 구성을 변경할 수 있다면 DNS 검증을 고려해야 합니다.

Q: ACM이 여전히 이메일 검증을 지원합니까?

예. ACM은 DNS 구성을 변경할 수 없는 고객을 위해 계속 이메일 검증을 지원합니다.

Q: 도메인을 검증하기 위해 DNS 구성에 추가해야 하는 레코드는 무엇입니까?

검증하고자 하는 도메인에 대한 CNAME 레코드를 추가해야 합니다. 예를 들어 이름 www.example.com을 검증하려면 example.com에 대한 영역에 CNAME 레코드를 추가합니다. 추가하는 레코드에는 ACM이 도메인에 대해 특별히 생성하는 고유한 토큰과 AWS 계정이 포함됩니다. ACM으로부터 CNAME 레코드의 두 부분(이름 및 레이블)을 획득할 수 있습니다. 더 자세한 지침은 ACM 사용 설명서를 참조하세요.

Q: 도메인에 대한 DNS 레코드를 어떻게 추가 또는 수정할 수 있습니까?

DNS 레코드를 추가 또는 수정하는 방법에 대한 자세한 정보는 DNS 제공업체에 문의하십시오. Amazon Route 53 DNS 설명서는 Amazon Route 53 DNS를 사용하는 고객에게 추가 정보를 제공합니다.

Q: ACM이 Amazon Route 53 DNS 고객을 위해 DNS 검증을 간소화할 수 있습니까?

예. Amazon Route 53 DNS를 사용하여 DNS 레코드를 관리하고 있는 고객의 경우, 인증서를 요청할 때 ACM 콘솔이 레코드를 DNS 구성에 추가할 수 있습니다. 도메인에 대한 Route 53 DNS 호스팅 영역이 요청하고 있는 계정과 동일한 AWS 계정에 구성되어야 하며, Amazon Route 53 구성을 변경할 수 있는 충분한 권한이 있어야 합니다. 더 자세한 지침은 ACM 사용 설명서를 참조하십시오.

Q: DNS 검증을 위해 특정 DNS 공급자를 사용해야 합니까?

아닙니다. 사용자가 DNS 구성에 CNAME 기록을 추가하도록 허용하는 모든 DNS 공급자로 DNS 검증을 사용할 수 있습니다.

Q: 동일 도메인에 1개 이상의 인증서를 원하는 경우 몇 개의 DNS 레코드가 필요합니까?

1개입니다. 1개의 CNAME 레코드를 사용하여 동일 AWS 계정에 동일 도메인 이름에 대한 여러 인증서를 획득할 수 있습니다. 예를 들어 동일 도메인 이름에 대해 동일 AWS 계정에서 2개의 인증서를 요청하는 경우, 1개의 DNS CNAME 레코드만이 필요합니다.

Q: 동일 CNAME 레코드로 여러 도메인 이름을 검증할 수 있습니까?

아닙니다. 각 도메인 이름에는 고유 CNAME 레코드가 있어야 합니다.

Q: DNS 검증을 사용하여 와일드카드 도메인 이름을 확인할 수 있습니까?

예.

Q: ACM이 어떻게 CNAME 레코드를 구성합니까?

DNS CNAME 레코드에는 이름과 레이블, 2개의 구성 요소가 있습니다. ACM이 생성한 CNAME의 이름은 밑줄 문자(_) 뒤 토큰으로 구성되며, AWS 계정 및 도메인 이름에 연결되는 고유 문자열입니다. ACM은 도메인 이름에 밑줄과 토큰을 추가하여 이름 구성 요소를 구성합니다. ACM은 AWS 계정 및 도메인 이름에 연결되는 다른 토큰에 밑줄 문자를 추가하여 레이블을 구성합니다. ACM은 acm-validations.aws과 같이 검증을 위해 AWS가 사용하는 DNS 도메인 이름에 밑줄과 토큰을 추가합니다. 다음은 www.example.com, subdomain.example.com, *.example.com에 대한 CNAME 형식의 예입니다.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

와일드카드 이름에 대한 CNAME 레코드를 생성할 때 ACM이 와일드카드 레이블(*)을 삭제합니다. 결과적으로 와일드카드 이름에 대해 ACM이 생성한 CNAME 레코드(*.example.com 등)는 와일드카드 레이블이 없는 도메인 이름에 대해 반환된 동일 레코드입니다(example.com).

Q: CNAME 레코드를 사용하여 도메인의 모든 하위 도메인을 검증할 수 있습니까?

아닙니다. 호스트 이름 및 하위 도메인 이름을 포함한 각 도메인 이름은 각각 검증되어야 하며 각각 고유 CNAME 레코드를 갖습니다.

Q: ACM이 DNS 검증을 위해 TXT 레코드 대신 CNAME 레코드를 사용하는 이유는 무엇입니까?

CNAME 레코드를 사용하면 CNAME 레코드가 존재하는 한 ACM이 인증서를 갱신할 수 있습니다. CNAME 레코드는 사용자가 어떠한 행동을 취하지 않아도 도메인 이름을 검증 또는 재검증하기 위해 필요에 따라 ACM이 업데이트할 수 있는 AWS 도메인(acm-validations.aws)에 TXT 레코드를 안내합니다.

Q: DNS 검증은 AWS 리전에 적용됩니까?

예. 1개의 DNS CNAME 레코드를 생성하고 이것을 사용하여 ACM이 제공되는 AWS 리전의 동일 AWS 계정에 인증서를 획득할 수 있습니다. CNAME 레코드를 구성하면 다른 레코드를 생성할 필요 없이 해당 이름에 대해 ACM으로부터 인증서를 발급 및 갱신 받을 수 있습니다.

Q: 동일 인증서에 다른 검증 방법을 선택할 수 있습니까?

아닙니다. 각 인증서에는 1개의 검증 방법만 사용할 수 있습니다.

Q: DNS 검증으로 검증된 인증서는 어떻게 갱신합니까?

DNS 검증 레코드가 그대로 유지되는 한, ACM이 사용 중인 인증서를 자동으로 갱신합니다(다른 AWS 리소스와 연결).

Q: 도메인에 대한 인증서 발급 허가를 취소할 수 있습니까?

예. 간단히 CNAME 레코드를 삭제하십시오. CNAME 레코드를 취소하고 변경 사항이 DNS를 통해 배포된 후에는 ACM이 DNS 검증을 사용해 도메인에 대한 인증서를 발급 또는 갱신하지 않습니다. 레코드를 삭제하는 전달 시간은 DNS 제공업체에 따라 다릅니다.

Q: CNAME 레코드를 삭제하면 어떤 일이 발생합니까?

CNAME 레코드를 삭제하면 ACM이 DNS 검증을 사용하여 도메인에 대한 인증서를 발급 또는 갱신할 수 없습니다.

이메일 검증

Q: 이메일 검증이란 무엇인가요?

이메일 검증을 사용하면 인증서 요청에 기재된 각 도메인 이름에 대해 등록된 도메인 소유자에게 승인 요청 이메일이 전송됩니다. 도메인 소유자 또는 권한을 부여받은 대리인(승인자)은 이메일에 있는 지침에 따라 인증서 요청을 승인할 수 있습니다. 지침은 승인자가 승인 웹 사이트로 이동하도록 안내합니다. 이메일에 있는 링크를 클릭하거나 이메일의 링크를 브라우저로 복사하여 승인 웹 사이트로 이동합니다. 승인자는 도메인 이름, 인증서 ID(ARN), 요청을 시작하는 AWS 계정 ID 등과 같은 인증서 요청과 관련된 정보를 확인하고, 정보가 정확하면 해당 요청을 승인합니다.

Q: 인증서를 요청하고 이메일 검증을 선택하는 경우, 인증서 승인 요청은 어느 이메일 주소로 발송됩니까?

이메일 검증을 사용하여 인증서를 요청하면, WHOIS 검색을 사용하여 인증서 요청에 있는 각 도메인 이름의 연락처 정보를 검색합니다. 해당 도메인에 기록된 도메인 등록자, 관리 담당자 및 기술 담당자에게 이메일이 전송됩니다. 또한 이메일이 특별한 이메일 주소 5곳으로도 전송됩니다. 이 주소는 요청 도메인 이름 앞에 admin@, administrator@, hostmaster@, webmaster@ 및 postmaster@이 붙어있습니다. 예를 들어 server.example.com에 대한 인증서를 요청하는 경우, example.com 도메인에 대한 WHOIS 쿼리에 의해 반환된 연락처 정보에 따라 도메인 등록자, 기술 담당자 및 관리 담당자에게 이메일이 전송되고, 더불어 admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com 및 webmaster@server.example.com에 이메일이 전송됩니다.

다섯 개의 특별 이메일 주소는 "www"로 시작하는 도메인 이름이나 별표(*)로 시작하는 와일드카드 이름과는 다르게 구성됩니다. ACM에서는 앞부분의 "www" 또는 별표를 삭제하고 도메인의 나머지 부분에 admin@, administrator@, hostmaster@, postmaster@ 및 webmaster@이라는 접두어를 붙인 관리자 주로로 이메일을 전송합니다. 예를 들어 www.example.com에 대한 인증서를 요청하는 경우, 이메일은 앞에서 설명한 대로 admin@www.example.com이 아니라 admin@example.com의 WHOIS 연락처로 전송됩니다. 나머지 4개의 특별 이메일 주소로 이와 같은 형태로 구성됩니다.

인증서를 요청한 후, ACM 콘솔, AWS CLI 또는 API를 사용하여 AWS에서 각 도메인에 대해 이메일을 전송한 이메일 주소 목록을 표시할 수 있습니다.

Q: 인증서 승인 요청이 전송될 이메일 주소를 구성할 수 있습니까?

아니요. 하지만 확인 이메일이 전송될 기본 도메인 이름은 구성할 수 있습니다. 기본 도메인 이름은 인증서 요청에 있는 도메인 이름의 슈퍼 도메인이어야 합니다. 예를 들어 server.domain.example.com에 대한 인증서를 요청하되 승인 이메일이 admin@domain.example.com으로 전송되길 원하는 경우, AWS CLI 또는 API를 사용해 이를 처리할 수 있습니다. 자세한 내용은 ACM CLI 참조ACM API 참조를 확인하십시오.

Q: 프록시 연락처 정보가 있는 도메인(Privacy Guard, WhoisGuard 등)을 사용할 수 있습니까?

예. 하지만 프록시로 인해 이메일 전송이 지연될 수 있습니다. 프록시를 통해 전송된 이메일은 스팸 폴더로 전달될 수 있습니다. 문제 해결에 대한 제안은 ACM 사용 설명서를 참조하십시오.

Q: ACM에서 내 AWS 계정의 기술 담당자를 통해 내 자격 증명을 확인할 수 있습니까?

아닙니다. 도메인 소유자의 자격 증명을 확인하는 절차와 정책은 매우 엄격하며, 공개적으로 신뢰할 수 있는 인증 기관을 위해 정책 표준을 설정하는 CA/Browser Forum에서 결정합니다. 자세히 알아보려면 Amazon Trust Services 리포지토리에서 최신 Amazon Trust Services Certification Practices Statement를 참조하십시오.

Q: 승인 이메일을 수신하지 못한 경우 어떻게 해야 합니까?

문제 해결에 대한 제안은 ACM 사용 설명서를 참조하십시오.

프라이빗 키 보호

Q: ACM 제공 인증서의 프라이빗 키는 어떻게 관리됩니까?

ACM이 제공하는 인증서별로 키 페어가 생성됩니다. ACM은 SSL/TLS 인증서에 사용되는 프라이빗 키를 보호하고 관리하도록 설계되었습니다. 강력한 암호화 및 키 관리 모범 사례를 사용하여 프라이빗 키를 보호하고 저장합니다.

Q: ACM에서는 AWS 리전 간에 인증서를 복사합니까?

아니요. 각 ACM 인증서의 프라이빗 키는 인증서를 요청한 리전에 저장됩니다. 예를 들어 미국 동부(버지니아 북부) 리전에서 새로운 인증서를 취득한 경우, ACM은 버지니아 북부 리전에 프라이빗 키를 저장합니다. ACM 인증서가 CloudFront 배포와 연결되어 있을 때만 해당 인증서가 리전 간에 복사됩니다. 이 경우 CloudFront가 ACM 인증서를 배포에 구성된 지리적 위치에 배포합니다.

관리형 갱신 및 배포

Q: ACM 관리형 갱신 및 배포란 무엇입니까?

ACM 관리형 갱신 및 배포는 SSL/TLS ACM 인증서를 갱신하는 프로세스와 갱신한 후에 인증서를 배포하는 프로세스를 관리합니다.

Q: ACM 관리형 갱신 및 배포를 사용하면 어떤 이점이 있습니까?

ACM에서는 SSL/TLS 인증서의 갱신 및 배포를 대신 관리할 수 있습니다. ACM은 안전한 웹 서비스 또는 애플리케이션을 위해 SSL/TLS를 구성하고 유지 관리하는 작업을 잠재적으로 오류가 발생하기 쉬운 수동 프로세스보다 운영적으로 견고하게 해줍니다. 관리형 갱신 및 배포를 사용하면 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. ACM이 다른 AWS 서비스와 통합된 서비스로 작동합니다. 즉, AWS Management Console, AWS CLI 또는 API를 사용하여 중앙에서 AWS 플랫폼의 인증서를 관리하고 배포할 수 있습니다. Private CA를 사용하면 사설 인증서를 생성하여 내보낼 수 있습니다. ACM은 내보낸 인증서를 갱신하므로 클라이언트 측 자동화 코드가 이를 다운로드하여 배포할 수 있습니다. 

Q: 자동으로 갱신하고 배포할 수 있는 ACM 인증서에는 어떤 것이 있습니까?

공인 인증서

ACM은 도메인 소유자의 추가 검증 없이 공인 ACM 인증서를 갱신 및 배포할 수 있습니다. 추가 확인 없이는 인증서를 갱신할 수 없는 경우, ACM은 인증서에 있는 각 도메인 이름에 대한 도메인 소유권 또는 제어를 검증하여 갱신 프로세스를 관리합니다. 인증서에 있는 각 도메인 이름이 검증된 후에, ACM은 인증서를 갱신하고 이를 AWS 리소스에 자동으로 배포합니다. ACM이 도메인 소유권을 검증할 수 없는 경우 사용자(AWS 계정 소유자)에게 이를 알립니다.

인증서 요청에서 DNS 검증을 선택한 경우, 인증서가 사용 중에 있으며(다른 AWS 리소스에 연결) CNAME 레코드가 그대로 유지되는 한 ACM이 사용자의 추가 조치 없이 인증서를 무기한으로 갱신할 수 있습니다. 인증서 요청 시 이메일 검증을 선택한 경우, 인증서가 사용 중이고, 인증서에 포함된 모든 도메인 이름이 사이트에 연결될 수 있으며, 인터넷에서 모든 도메인 이름에 접속할 수 있음을 보장함으로써 ACM 인증서를 자동으로 갱신 및 배포할 수 있는 ACM 기능을 향상할 수 있습니다.

사설 인증서

ACM에서는 2가지 방법으로 AWS Private CA를 통해 발급된 사설 인증서를 관리할 수 있습니다. ACM은 사용자가 사설 인증서를 관리하는 방법에 따라 서로 다른 갱신 기능을 제공합니다. 발급하는 사설 인증서별로 가장 적합한 관리 옵션을 선택할 수 있습니다.

1) ACM은 AWS Private CA를 통해 발급되어 ACM 통합 서비스(Elastic Load Balancing, API Gateway 등)에 사용되는 사설 인증서의 갱신 및 배포를 완전히 자동화할 수 있습니다. 인증서를 발급한 Private CA가 활성 상태로 유지되는 한, ACM은 ACM을 통해 발급된 사설 인증서를 갱신하고 배포할 수 있습니다.
2) 온프레미스 리소스, EC2 인스턴스 및 IoT 디바이스에서 사용하기 위해 ACM에서 내보낸 사설 인증서의 경우, ACM을 통해 자동으로 인증서가 갱신됩니다. 새로운 인증서 및 프라이빗 키를 검색하여 애플리케이션에 배포할 책임은 고객에게 있습니다.

Q: ACM은 언제 인증서를 갱신하나요?

ACM은 인증서가 만료되기 최대 60일 이전에 갱신 프로세스를 시작합니다. ACM 인증서의 유효 기간은 현재 13개월(395일)입니다. 관리형 갱신에 관한 자세한 내용은 ACM 사용 설명서를 참조하세요.

Q: 내 인증서가 갱신되고 새로운 인증서가 배포되기 전에 알림을 받게 됩니까?

아닙니다. ACM은 사전 공지 없이 인증서를 갱신 또는 취소하고 이전 인증서를 교체할 수 있습니다.

Q: ACM은 "example.com"과 같은 베어 도메인(zone apex 또는 naked 도메인이라고도 함)을 포함하는 공인 인증서를 갱신할 수 있습니까?

인증서 요청에서 공인 인증서용으로 DNS 검증을 선택한 경우, 인증서가 사용 중에 있으며(다른 AWS 리소스에 연결) CNAME 레코드가 그대로 유지되는 한 ACM이 사용자의 추가 조치 없이 인증서를 갱신할 수 있습니다.

베어 도메인을 포함한 공인 인증서를 요청할 때 이메일 검증을 선택한 경우, 베어 도메인의 DNS 검색이 해당 인증서에 연결된 AWS 리소스에 연결되어야 합니다. 베어 도메인을 AWS 리소스에 매핑하기 위해 Route 53이나 별칭 리소스 레코드(또는 이에 상응하는)를 지원하는 다른 DNS 제공업체를 사용하지 않는 한, 베어 도메인이 AWS 리소스로 연결되도록 하는 것이 어려울 수 있습니다. 자세한 내용은 Route 53 개발자 안내서를 참조하십시오.

Q: ACM이 갱신된 인증서를 배포하면 내 사이트에서 기존 연결을 끊습니까?

아니요. 새로운 인증서가 배포된 후에 설정된 연결은 새로운 인증서를 사용합니다. 기존 연결에는 영향을 주지 않습니다.

Q: 같은 인증서를 여러 Elastic Load Balancing 로드 밸런서 및 여러 Amazon CloudFront 배포에 사용할 수 있나요?

예.

Q: 공인 인증서를 퍼블릭 인터넷 액세스가 없는 내부 Elastic Load Balancing 로드 밸런서에 사용할 수 있나요?

예. 하지만 AWS Private CA를 사용해 ACM을 통해 검증 없이 갱신할 수 있는 사설 인증서를 발급하는 것도 고려할 수 있습니다. ACM에서 사설 인증서와 인터넷으로 연결할 수 없는 공인 인증서를 갱신하는 방법에 대한 자세한 내용은 관리형 갱신 및 배포를 참조하세요.

로깅

Q: 인증서 프라이빗 키의 사용을 감사할 수 있나요?

예. AWS CloudTrail을 사용하면 인증서의 프라이빗 키가 언제 사용되었는지 알려주는 로그를 검토할 수 있습니다.

Q: AWS CloudTrail에서 제공되는 로깅 정보에는 어떤 것이 있나요?

AWS CloudTrail을 지원하는 서비스에 대해 AWS API를 호출한 사용자와 계정, 호출이 이루어진 소스 IP 주소, 그리고 호출이 발생한 시간을 파악할 수 있습니다. 예를 들어 ACM이 제공하는 인증서를 Elastic Load Balancer에 연결하기 위해 API를 호출한 사용자와 Elastic Load Balancing 서비스에서 KMS API 호출로 키를 복호화한 시간을 파악할 수 있습니다.

결제

Q: ACM 인증서의 사용료는 어떻게 과금 및 청구됩니까?

AWS Certificate Manager를 통해 프로비저닝되어 ACM 통합 서비스(Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway 등)에서 사용되는 공인 및 사설 인증서는 무료입니다. 사용자는 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대한 비용을 지불합니다. AWS Private CA는 사용량에 따른 요금제로 사용할 수 있습니다. 자세한 내용과 예제는 AWS Private CA 요금 페이지를 참조하세요.

AWS Private Certificate Authority

Q: AWS Private CA에 대한 정보는 어디에서 찾을 수 있나요?

AWS Private CA 사용에 대한 질문은 AWS Private CA FAQ를 참조하세요.

AWS Certificate Manager Private Certificate Authority에 대해 알아보기

이 페이지를 방문하세요.

자세히 알아보기 
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입 
AWS 콘솔에서 구축 시작

AWS Management Console에서 AWS Certificate Manager를 사용하여 구축을 시작하십시오.

로그인