와일드카드 및 하위 도메인을 사용하는 이메일 검증 인증서를 통한 ACM 관리형 갱신 프로세스는 어떻게 작동합니까?

최종 업데이트 날짜: 2019년 7월 8일

이메일을 사용하여 도메인 소유권을 확인하며, 와일드카드 및 하위 도메인을 사용하는 AWS Certificate Manager(ACM) 인증서도 있습니다. 와일드카드 및 하위 도메인을 사용하는 인증서를 통한 ACM 관리형 갱신은 어떻게 작동합니까?

간략한 설명

AWS Certificate Manager에 통합된 서비스에 연결된 경우 ACM에서 발급하는 와일드카드 인증서가 만기되면 ACM은 인증서를 자동으로 갱신하려고 합니다. 둘 이상의 AWS 리소스에 연결된 ACM에서 발급한 인증서의 갱신 프로세스를 설명하려면 다음 시나리오를 고려합니다.

이러한 시나리오에서는 다음을 가정합니다.

  • 도메인이 2개의 Elastic Load Balancing(ELB) 로드 밸런서(로드 밸런서 A 및 로드 밸런서 B)에 배포되었습니다.
  • 2개의 로드 밸런서 사이에 Amazon Route 53 능동적-수동적 장애 조치를 구성했습니다.
  • 기본 리소스로 로드 밸런서 A를 구성하고 보조 리소스로 로드 밸런서 B를 구성했습니다. 이때 로드 밸런서 B는 기본 리소스를 사용할 수 없는 경우에 대비해 대기 상태입니다.
  • 각 로드 밸런서에 ACM 인증서(인증서 1 및 인증서 2)를 연결했으며, 인증서는 만기까지 60일이 남았습니다.

참고: 이러한 시나리오는 DNS를 사용하여 도메인 소유권을 확인하는 경우에 적용되지 않습니다.  

해결 방법

시나리오 1

  • 도메인, test.example.com이 2개의 로드 밸런서(로드 밸런서 A: test.example.com - 로드 밸런서 B: test.example.com) 모두에 배포됩니다.
  • 인증서 1의 도메인 이름은 test.example.com이며, 인증서는 로드 밸런서 A에 연결됩니다.
  • 인증서 2의 도메인 이름은 test.example.com이며, 인증서는 로드 밸런서 B에 연결됩니다.

ACM 인증서가 만기되기 전에 ACM은 각 인증서에서 도메인 이름을 검증하려고 합니다. 도메인, test.example.com을 검증하기 위해 ACM은 www.test.example.com 및 test.example.com에 정기적으로 HTTPS 요청을 전송합니다. 자세한 내용은 자동 도메인 검증 이해하기를 참조하십시오. ACM이 HTTPS 연결에 성공하고 인증서 1이 응답에서 반환되면 도메인, test.example.com이 검증됩니다. 도메인, test.example.com이 검증되고 인증서가 갱신됩니다. 인증서 1은 ACM의 HTTPS 요청에 대한 응답으로 반환되어 도메인을 검증합니다. 로드 밸런서 A가 활성 상태이기 때문입니다. 인증서 2의 자동 검증이 실패합니다. 인증서 2의 만기일로부터 45일 전에 ACM은 인증서 2를 검증하기 위해

시나리오 2

  • 도메인, www.example.com이 2개의 로드 밸런서(로드 밸런서 A: www.example.com - 로드 밸런서 B: www.example.com)에 배포됩니다.
  • 인증서 1의 도메인 이름은 www.example.com이며, 인증서는 로드 밸런서 A에 연결됩니다.
  • 인증서 2의 도메인 이름은 *.example.com이며, 인증서는 로드 밸런서 B에 연결됩니다.

각 인증서의 도메인 이름이 서로 달라도 정기적인 HTTPS 연결 요청은 www.example.com 및 example.com으로 전송됩니다. HTTPS 연결 요청이 성공하면 도메인이 검증됩니다. ACM은 로드 밸런서 A: www.example.com에 연결된 인증서 1을 갱신합니다. 인증서 2의 갱신이 실패하고, 인증서 2를 수동으로 갱신해야 합니다. 자세한 내용은 자동 인증서 갱신이 실패할 경우를 참조하십시오.

시나리오 3

  • 도메인, test.example.com이 2개의 로드 밸런서(로드 밸런서 A: test.example.com 및 로드 밸런서 B: test.example.com)에 배포됩니다.
  • 인증서 1의 도메인 이름은 *.example.com이며, 인증서는 로드 밸런서 A에 연결됩니다.
  • 인증서 2의 도메인 이름은 *.example.com이며, 인증서는 로드 밸런서 B에 연결됩니다.

ACM은 example.com 및 www.example.com에 HTTPS 요청을 정기적으로 전송합니다. 이 도메인은 로드 밸런서를 통해 호스팅된 도메인과 다릅니다(로드 밸런서 A: test.example.com 및 로드 밸런서 B: test.example.com). 자동 도메인 검증이 실패하고, 두 인증서 모두 갱신되지 않습니다. 인증서를 갱신하려면 두 도메인을 수동으로 검증해야 합니다.