AWS에서 실행 중인 애플리케이션을 ACM에서 발급한 인증서에 고정할 수 있나요?

간략한 설명

애플리케이션을 ACM에서 발급한 SSL/TLS 인증서에 고정하는 것은 모범 사례가 아닙니다. 인증서를 고정하는 경우 웹 사이트에 사용되는 공개 키의 ID가 브라우저에 제공됩니다. 사용자가 웹사이트를 방문하면 브라우저에서 핀을 캐시합니다. 이 핀은 이후 방문 시 공개 키를 확인하는 데도 사용됩니다. 핀 정보는 일반적으로 HTTP 응답의 헤더와 핀의 TTL(Time To Live)에 포함됩니다. 예를 들어 인증서를 갱신할 때 인증서가 변경되면 이러한 변경으로 인해 웹사이트 방문자에게 오류가 발생할 수 있습니다. 이러한 오류는 웹사이트에 대한 보안 연결을 설정할 수 없기 때문에 발생합니다. 자세한 내용은 인증서 고정을 참조하세요.

중요: 2022년 10월 11일 오전 9시(태평양 표준시)부터 ACM을 통해 획득한 일반 인증서는 Amazon이 관리하는 중간 CA 중 하나에서 발급됩니다. 여러 중간 CA가 기존 Amazon Trust Services 루트 CA에 연결됩니다. 이 변경으로 사용자에게 발급된 리프 인증서는 다른 중간 CA에서 서명합니다. 이 변경 전에는 Amazon은 제한된 수의 중간 CA를 유지했으며 동일한 중간 CA에서 인증서를 발급 및 갱신했습니다. 자세한 내용은 Amazon에서 동적 중간 인증 기관 도입을 참조하세요.

해결 방법

애플리케이션을 개별 인증서 또는 중간 CA 인증서가 아닌 루트 CA(인증 기관)에 고정하는 것이 가장 좋습니다. 애플리케이션을 Amazon Trust Services CA에 고정하는 경우 Amazon Trust Services 테이블에 있는 모든 CA에 동일한 애플리케이션을 고정합니다.

참고: 인증서를 요청할 때 ACM은 인증서의 출처를 지정하지 않으므로 애플리케이션을 고정할 모든 CA를 선택해야 합니다.

인증서를 고정하려면 다음 옵션 중 하나를 사용하여 애플리케이션이 도메인에 연결할 수 있는지 확인합니다.

애플리케이션을 Amazon 루트 인증서에 고정

루트 인증서 수준에서 애플리케이션을 고정하면 ACM 관리 갱신은 인증서를 발급한 동일한 CA에서 인증서를 갱신합니다. 인증서 Amazon 리소스 이름(ARN)은 동일하게 유지됩니다. 애플리케이션을 백업 핀으로 여러 CA에 고정할 수도 있습니다. 인증서가 만료되면 새 인증서를 요청하고 로드 밸런서에 인증서를 적용하여 애플리케이션 다운타임을 줄일 수 있습니다.

자체 인증서를 ACM으로 가져온 다음 애플리케이션을 가져온 인증서에 고정합니다.

가져온 인증서는 ACM에서 관리하는 갱신 프로세스로 갱신되지 않습니다. 인증서 및 키의 갱신을 관리해야 합니다. 자세한 내용은 인증서를 AWS 인증서 관리자로 가져오기를 참조하세요.

관련 정보

ACM 모범 사례

인증서 고정 문제