Anath 씨가 로드 밸런서의
SSL 인증서를 업로드하는
방법을 보여줍니다.

load-balancer-certificate-ananth

Classic Load Balancer에 대한 클라이언트 SSL/TLS 연결이 실패하고 다음과 유사한 오류 메시지가 표시됩니다.

  • "이 웹 사이트에서 제공하는 보안 인증서는 신뢰할 수 있는 인증 기관에서 발급한 것이 아닙니다."
  • "example.com에서 유효하지 않은 보안 인증서를 사용합니다. 발급자 인증서를 알 수 없으므로 이 인증서를 신뢰할 수 없습니다."
  • "example.com에서 유효하지 않은 보안 인증서를 사용합니다. 자체 서명된 인증서이므로 이 인증서를 신뢰할 수 없습니다."

또한 SSL/TLS 인증서를 Classic Load Balancer에 업로드하려고 할 때 오류가 발생할 수 있습니다.

Classic Load Balancer에 HTTPS/SSL 리스너를 사용하는 경우 Classic Load Balancer가 SSL/TLS 클라이언트 연결을 종료할 수 있도록 SSL 인증서를 설치해야 합니다.

SSL 인증서에는 유효 기간이 있습니다. 유효 기간이 끝나기 전에 인증서를 교체해야 합니다. 인증서를 교체하려면 새 인증서를 생성하여 업로드해야 합니다.

로드 밸런서에서 사용할 중간 인증서 체인을 업로드하지 않은 경우 웹 클라이언트가 인증서의 유효성을 검사하지 못할 수 있습니다. openssl s_client 명령을 사용하면 중간 인증서 체인이 이 ELB의 IAM 서비스에 올바르게 업로드되었는지 확인할 수 있습니다. s_client 명령은 SSL/TLS를 사용하여 원격 호스트에 연결하는 제네릭 SSL/TLS 클라이언트를 구현합니다. openssl s_client -showcerts -connect www.domain.com:443 명령이 "Verify return code: 21 (unable to verify the first certificate)(반환 코드 확인: 21(첫 번째 인증서를 확인할 수 없음))"을 반환하는 경우 이는 중간 인증서 체인이 누락되었음을 나타냅니다.

openssl s_client -showcerts -connect www.domain.com:443 명령이 "Verify return code: 0 (ok)(반환 코드 확인: 0(확인))"를 반환하는 경우 이는 인증서 업로드가 성공했음을 나타냅니다.

SSL 인증서를 업로드할 때 발생할 수 있는 오류는 일반적으로 다음 범주 중 하나에 해당합니다.

  • 추가 공백이 포함된 인증서 파일 업로드 또는 인증서 복사 및 붙여넣기
  • " -----BEGIN CERTIFICATE----- "로 시작하지 않고 " -----END CERTIFICATE----- "로 끝나지 않는 인증서 파일 업로드 또는 인증서 복사 및 붙여넣기
  • 잘못된 퍼블릭 키 오류
  • 잘못된 프라이빗 키 오류
  • 암호 스위트/키 문제

로드 밸런서에 대한 SSL/TLS 연결을 시작하는 클라이언트에서 "신뢰할 수 없는 인증서" 오류를 해결하려면 Elastic Load Balancing을 위한 SSL 인증서에 설명된 대로 로드 밸런서에서 사용할 SSL 인증서를 업로드합니다. 또한 로드 밸런서를 위한 SSL 인증서 업데이트에서 설명한 대로 인증서의 유효 기간이 끝나기 전에 인증서를 교체해야 합니다.

AWS Certificate Manager(ACM)를 통해 SSL/TLS 인증서를 생성하고 가져오고 관리할 수 있습니다. AWS Identity and Access Management(IAM)는 서버 인증서 가져오기 및 배포를 지원합니다. ACM은 서버 인증서를 프로비저닝, 관리 및 배포하기 위한 기본 설정 도구입니다.

서명된 서버 인증서를 ACM 또는 IAM으로 업로드할 때 발생하는 문제를 해결하려면

SSL 인증서를 업로드할 때 발생하는 오류를 해결하려면 다음 지침을 따르십시오.

  • IAM에 서명된 서버 인증서 업로드인증서를 가져오기 위한 사전 조건에 설명된 대로, 서명된 서버 인증서를 업로드하기 위한 모든 요구 사항을 따랐는지 확인합니다.
  • 인증서에 추가 공백이 포함되어 있지 않은지 확인합니다.
  • 인증서가 " -----BEGIN CERTIFICATE----- "로 시작하고 " -----END CERTIFICATE----- "로 끝나는지 확인합니다.
  • 퍼블릭 키 인증서가 유효하지 않다는 오류 메시지가 표시되면 퍼블릭 키 인증서 또는 인증서 체인이 유효하지 않을 가능성이 큽니다. 인증서가 인증서 체인 없이 성공적으로 업로드되면 인증서 체인이 유효하지 않은 것입니다. 그렇지 않으면 퍼블릭 키 인증서가 유효하지 않은 것입니다.

퍼블릭 키 인증서가 유효하지 않은 경우

  • 퍼블릭 키 인증서가 X.509 PEM 형식인지 확인합니다. 유효한 인증서 형식의 예는 샘플 인증서를 참조하십시오.

인증서 체인이 유효하지 않은 경우

  • 인증서 체인에 퍼블릭 키 인증서가 포함되어 있지 않은지 확인합니다.
  • 인증서 체인이 올바른 순서를 따르는지 확인합니다. 인증서 체인에는 루트 인증서로 이어지는, CA(인증 기관)의 모든 중간 인증서들이 포함되어 있어야 합니다. 인증서 체인은 CA에서 생성한 인증서로 시작하여 CA의 루트 인증서로 끝납니다. 일반적으로 중간 인증서와 루트 인증서는 모두 CA에 의해 하나의 번들 파일로 제공되며 적절한 순서로 연결되어 있습니다. 또한 CA에서 제공한 중간 인증서를 사용해야 하며, 트러스트 경로 체인에 포함되지 않은 중간 인증서를 포함해서는 안 됩니다.
  • 프라이빗 키 인증서가 유효하지 않다는 오류가 반환되면 프라이빗 키 인증서의 형식이 잘못되었거나 프라이빗 키 인증서가 암호화되었을 가능성이 큽니다. 프라이빗 키 인증서가 샘플 인증서의 프라이빗 키 예제 형식을 따르는지 확인하고, 프라이빗 키 인증서가 암호로 보호되어 있지 않은지도 확인합니다. 서명된 서버 인증서에 대한 요구 사항은 IAM에 서명된 서버 인증서 업로드인증서를 가져오기 위한 사전 조건에 설명되어 있습니다.

페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시된 날짜: 2015년 5월 18일

업데이트된 날짜: 2018년 2월 22일