AWS에서 실행 중인 애플리케이션을 AWS Certificate Manager(ACM)에서 발행한 인증서에 고정할 수 있습니까?

최종 업데이트 날짜: 2020년 9월 10일

AWS에서 실행 중인 애플리케이션이 있는 경우, 해당 애플리케이션을 AWS Certificate Manager(ACM)에서 발행한 인증서에 고정할 수 있습니까?

간략한 설명

AWS는 애플리케이션을 ACM에서 발행한 SSL/TLS 인증서에 고정하는 것을 권장하지 않습니다. 애플리케이션을 고정할 경우 웹사이트에서 사용되는 퍼블릭 키 ID를 브라우저에 입력해야 합니다. 사용자가 웹 사이트 방문할 경우 브라우저를 통해 핀이 캐시됩니다. 그리고 이 핀은 향후 웹 사이트 방문 시 퍼블릭 키를 확인하기 위해서도 사용됩니다. 핀 정보는 일반적으로 HTTP 응답의 헤더와 핀의 TTL(Time To Live)에 포함되어 있습니다. 인증서가 갱신되는 경우처럼 인증서가 변경될 경우 이로 인해 웹 사이트 방문자가 오류를 수신할 수 있습니다. 이 오류는 웹 사이트에 대한 보안 연결을 구축할 수 없기 때문에 발생합니다. 자세한 내용은 인증서 고정을 참조하십시오.

해결 방법

인증서에 애플리케이션을 고정해야 하는 경우 개인 인증서보다 인증 기관(CA)에 고정하는 것이 좋습니다. Amazon Trust Services CA에 애플리케이션을 고정할 경우, Amazon Trust Services 테이블의 모든 CA에 동일한 애플리케이션을 고정하십시오.

참고: 애플리케이션을 고정하는 CA를 모두 선택해야 합니다. 인증서를 요청할 경우, ACM이 인증서의 출처를 명시하지 않기 때문입니다.

인증서를 고정하려면 다음 옵션 중 하나를 사용하여 애플리케이션이 도메인에 연결되도록 하십시오.

애플리케이션을 Amazon 루트 인증서에 고정

애플리케이션을 루트 인증서 수준에 고정하면 ACM의 Amazon 발행 인증서에 대한 관리형 갱신이 인증서를 발행한 CA와 동일한 CA에서 인증서를 갱신합니다. 인증서 Amazon 리소스 이름(ARN)은 동일하게 유지됩니다. 또한 애플리케이션을 백업 핀으로 여러 CA에 고정할 수도 있습니다. 인증서가 만료되는 경우 새 인증서를 요청하고 로드 밸런서에 인증서를 적용하여 애플리케이션 다운타임을 줄일 수 있습니다.

자체 인증서를 ACM으로 가져온 다음 애플리케이션을 가져온 인증서에 고정

가져온 인증서는 ACM 관리형 갱신 프로세스로 갱신되지 않습니다. 사용자가 인증서 및 키 갱신을 관리해야 합니다. 자세한 내용은 AWS Certificate Manager로 인증서 가져오기를 참조하십시오.


이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?