클라이언트에서 "신뢰할 수 없는 인증서" 오류가 발생하지 않도록 Classic Load Balancer에 사용할 SSL 인증서를 업로드하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2020년 12월 3일

Classic Load Balancer에 대한 클라이언트 SSL/TLS 연결이 실패하고 다음과 비슷한 오류 메시지가 표시됩니다.

  • “이 웹 사이트에서 제공하는 보안 인증서는 신뢰할 수 있는 인증 기관에서 발급하지 않았습니다.“
  • “example.com은 잘못된 보안 인증서를 사용합니다. 발행자 인증서를 알 수 없으므로 인증서를 신뢰할 수 없습니다.“
  • “example.com은 잘못된 보안 인증서를 사용합니다. 인증서는 자체 서명되어 있기 때문에 신뢰할 수 없습니다.“

SSL/TLS 인증서를 Classic Load Balancer에 업로드하려고 할 때도 오류가 발생합니다. 이 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

Classic Load Balancer에 HTTPS/SSL 리스너를 사용하는 경우 SSL 인증서를 설치해야 합니다. SSL 인증서를 설치하면 Classic Load Balancer가 SSL/TLS 클라이언트 연결을 종료할 수 있습니다.

SSL 인증서의 유효 기간이 있습니다. 유효 기간이 끝나기 전에 인증서를 교체해야 합니다. 인증서를 교체하려면 새 인증서를 만들어서 업로드해야 합니다.

로드 밸런서에서 사용할 중간 인증서 체인이 업로드되지 않은 경우 웹 클라이언트가 인증서를 확인하지 못할 수 있습니다. openssl s_client 명령을 사용하여 중간 인증서 체인이 AWS Identity and Access Management(IAM) 서비스에 업로드되는지 확인할 수 있습니다. s_client 명령은 SSL/TLS를 사용하여 원격 호스트에 연결하는 일반 SSL/TLS 클라이언트를 구현합니다. openssl s_client -showcerts -connect www.domain.com:443 명령이 [“반환 코드 확인: 21(첫 번째 인증서를 확인할 수 없음)(Verify return code: 21 (unable to verify the first certificate))"]을 반환하면 중간 인증서 체인이 누락됩니다.

openssl s_client -showcerts -connect www.domain.com:443 명령이 [“반환 코드 확인: 0(양호)(Verify return code: 0 (ok))"]을 반환하면 인증서 업로드가 성공적으로 수행됩니다.

SSL 인증서를 업로드할 때 발생할 수 있는 오류는 일반적으로 다음 범주 중 하나에 해당됩니다.

  • 인증서 파일 업로드 또는 추가 공백이 포함된 인증서 복사 및 붙여넣기
  • 인증서 파일 업로드 또는 " -----BEGIN CERTIFICATE----- "로 시작하고 " -----END CERTIFICATE----- "로 끝나지 않는 인증서 복사 및 붙여넣기
  • 잘못된 퍼블릭 키 오류
  • 잘못된 프라이빗 키 오류
  • 암호 그룹 또는 키 문제

해결 방법

신뢰할 수 없는 인증서 오류를 해결하려면 로드 밸런서에 대한 SSL 인증서를 업로드합니다. 또한 유효 기간이 끝나기 전에 인증서를 바꿔야 합니다.

AWS Certificate Manager(ACM)를 사용하면 SSL/TLS 인증서를 생성하고, 가져오고, 관리할 수 있습니다. IAM은 서버 인증서 가져오기 및 배포를 지원합니다. ACM은 서버 인증서를 프로비저닝, 관리 및 배포하는 데 권장되는 도구입니다.

SSL 인증서를 업로드할 때 발생하는 오류를 해결하려면 다음 지침을 따르세요.

  • 인증서 가져오기를 위한 사전 조건을 완수합니다.
  • IAM을 사용하여 인증서를 업로드하는 경우 서버 인증서(AWS API) 업로드 단계를 수행합니다.
  • ACM을 사용하여 인증서를 가져오는 경우 인증서 가져오기 단계를 수행합니다.
  • 인증서에 추가 공백이 포함되어 있지 않은지 확인합니다.
  • 인증서가 "-----BEGIN CERTIFICATE-----"로 시작하고 "-----END CERTIFICATE-----"로 끝나는지 확인합니다.
  • 공개 키 인증서가 유효하지 않다는 오류 메시지가 표시되면 퍼블릭 키 인증서 또는 인증서 체인이 유효하지 않은 것일 수 있습니다. 인증서 체인 없이 인증서가 성공적으로 업로드되면 인증서 체인이 유효하지 않습니다. 그렇지 않으면 퍼블릭 키 인증서가 유효하지 않습니다.

퍼블릭 키 인증서가 유효하지 않은 경우:

  • 퍼블릭 키 인증서가 X.509 PEM 형식인지 확인합니다.
  • 유효한 인증서 형식의 예는 문제 해결을 참조하세요.

인증서 체인이 유효하지 않은 경우:

  • 인증서 체인에 퍼블릭 키 인증서가 포함되어 있지 않은지 확인합니다.
  • 인증서 체인이 올바른 순서를 사용하는지 확인합니다. 인증서 체인에 루트 인증서로 연결되는 인증 기관(CA)의 모든 중간 인증서가 포함되어야 합니다. 인증서 체인은 CA에서 생성한 인증서로 시작하고 CA의 루트 인증서로 끝납니다. 일반적으로 중간 인증서와 루트 인증서는 모두 CA에서 적절한 연결 순서에 따라 번들 파일로 제공합니다. CA에서 제공하는 중간 인증서를 사용합니다. 신뢰 경로 체인과 관련이 없는 중간 인증서는 포함하지 않습니다.
  • 오류가 프라이빗 키 인증서가 유효하지 않음을 나타내는 경우 프라이빗 키 인증서가 올바른 형식이 아니거나 암호화되었을 수 있습니다. 프라이빗 키 인증서가 문제 해결의 프라이빗 키 예의 형식을 따르는지 확인합니다. 또한 프라이빗 키 인증서가 암호로 보호되지 않았는지 확인합니다. 자세한 내용은 다음을 참조하세요.

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?