BLOG
AWS Certificate Manager(ACM)는 AWS 서비스 및 내부 연결된 리소스에 사용할 퍼블릭 및 프라이빗 SSL/TLS 인증서를 효율적으로 프로비저닝, 관리 및 배포할 수 있는 서비스입니다. 그런 다음 ACM에서 발급한 인증서를 사용하여 네트워크 통신을 보호하고 인터넷의 웹 사이트 또는 사설 네트워크의 리소스 ID를 설정할 수 있습니다.
그렇다면 ACM에서 발급한 인증서를 사용하는 대신 인증서를 ACM으로 가져와야 하는 이유는 무엇일까요? 오늘 포스팅에서는 특정 요구 사항을 포함하여 인증서를 ACM으로 가져와야 하는 10가지 이유를 알아보도록 하겠습니다.
1. 더 빠른 TLS 연결을 위해 ECDSA 인증서를 사용하려면
가져온 ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서는 ACM에서 발급한 공개 RSA 인증서보다 작은 키를 사용하므로 TLS 연결을 더 빠르게 설정할 수 있습니다. 이러한 이유로 ECDSA 인증서는 사물 인터넷(IoT) 장치와 같이 처리 리소스가 제한된 시스템에 특히 유용합니다. ACM은 256, 384 및 521비트 변형의 ECDSA를 사용하여 가져온 인증서를 지원합니다. 공개 웹 애플리케이션에 ECDSA 인증서를 사용하려면 타사 인증서를 가져와 ACM으로 가져와야 합니다. 가져온 인증서에 지원되는 암호화 알고리즘에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서의 인증서 가져오기를 위한 사전 조건을 참조하십시오.
2. 인증서의 갱신 주기를 제어하려면
인증서를 ACM으로 가져올 때 원하는 만큼 자주 인증서를 다시 가져올 수 있기 때문에 갱신 주기를 더 잘 제어할 수 있습니다. 또한 가져온 인증서의 개인 키를 교체할 수 있는 빈도를 제어할 수 있습니다. 가장 좋은 방법은 인증서의 사용 빈도에 따라 인증서의 개인 키를 교체하는 것입니다.
참고 : 인증서를 다시 가져올 때 갱신 중에 기존 연결을 유지하려면 기존 인증서의 Amazon 리소스 이름(ARN)을 지정해야 합니다. 자세한 내용과 단계별 지침은 AWS Certificate Manager 사용 설명서 의 인증서 다시 가져오기를 참조하십시오.
3. 인증서 고정을 사용하려면
인증 기관에서 관리하는 일반적인 계층적 신뢰 모델을 우회하는 방식인 인증서 고정이 필요한 애플리케이션이 있을 수 있습니다. 인증서 고정을 사용하면 특정 인증서 또는 공개 키를 기반으로 호스트의 ID를 신뢰할 수 있습니다. 인증서 고정 모범 사례로 AWS는 ACM이 다음 갱신 단계에서 새로운 공개/개인 키 쌍을 생성하기 때문에 ACM에서 발급한 공개 인증서를 고정 하지 말 것을 권장합니다. 인증서 고정을 사용하려는 경우 가져온 인증서는 관리형 갱신 대상이 아니므로 가져온 인증서를 고정할 수 있습니다.
4. 더 높은 보증 인증서를 사용하려면
OV(조직 유효성 검사) 또는 EV(확장 유효성 검사) 인증서와 같은 더 높은 보증의 인증서를 사용할 수 있습니다. ACM에서 발급한 인증서는 현재 DV(도메인 유효성 검사)만 지원합니다. 보호하려는 도메인이 OV 또는 EV가 필요한 애플리케이션인 경우 두 유형의 타사 인증서를 사용하여 OV 또는 EV 인증서를 ACM으로 가져올 수 있습니다. ACM API 작업 ImportCertificate 를 사용하여 OV 또는 EV 인증서를 ACM으로 가져올 수 있습니다.
5. 자체 서명 인증서를 사용하려면
개발자가 속도와 유연성을 원하는 내부 테스트 환경의 경우 자체 서명 인증서가 더 빠르고 쉽게 발급됩니다. 그러나 자체 서명된 인증서는 기본적으로 신뢰되지 않는다는 것을 아는 것이 중요합니다. 즉, 자체 서명된 인증서는 의도한 클라이언트의 신뢰 저장소 내부에 설치되어 사용자가 브라우저 경고를 무시하는 습관에 빠질 위험을 방지해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서의 인증서 가져오기를 위한 사전 조건에서 자체 서명된 인증서에 대한 추가 요구 사항을 참조하십시오.
6. 인증서의 주체에 대한 IP 주소를 사용하려면
설계상 ACM 인증서의 제목 필드는 FQDN(정규화된 도메인 이름)만 식별할 수 있습니다. 인증서 제목에 IP 주소를 사용하려는 경우 인증서를 생성하여 ACM으로 가져올 수 있습니다.
7. ACM 할당량이 허용하는 도메인 수를 초과하는 경우
ACM에서 발급한 인증서에는 ACM 서비스 할당량이 적용됩니다 . ACM의 기본 할당량은 각 ACM 인증서에 대해 10개의 도메인 이름이며 각 인증서에 대해 최대 100개의 도메인 이름까지 할당량 증가를 요청할 수 있습니다. 그러나 인증서를 가져올 경우 할당량의 적용을 받지 않으며 제한 증가를 요청하는 프로세스를 거치지 않고도 도메인 범위에 100개 이상의 FQDN이 있는 공용 인증서를 사용할 수 있습니다.
8. ACM 사설 CA에서 발급한 사설 인증서를 IssueCertificate API 작업과 함께 사용하려면
IssueCertificate API 작업으로 프로비저닝된 인증서는 비공개 상태이며 내부 Application Load Balancer와 같은 AWS 통합 서비스와 직접 연결할 수 없습니다. 대신 IssueCertificate API 작업으로 AWS Certificate Manager 사설 인증 기관(ACM 사설 CA)에서 발급한 사설 인증서를 내보낸 다음 ACM으로 가져와야 연결이 가능합니다. 인증서 템플릿도 마찬가지입니다. 인증서 템플릿은 사설 인증서의 확장을 더 잘 제어할 수 있는 수단으로 IssueCertificate API 작업에 매개변수로 전달할 수 있는 구성 템플릿입니다.
9. 온프레미스 CA에서 발급한 사설 인증서를 사용하려면
ACM 사설 CA를 사용하는 대신 온프레미스 CA에서 발급한 사설 인증서를 사용할 수 있습니다. 내부 공개 키 인프라(PKI)를 관리하기 위해 AWS는 일반적으로 ACM 사설 CA를 사용할 것을 권장합니다. 그러나 온-프레미스 CA에서 서명한 인증서가 특정 요구 사항에 더 적합한 시나리오가 계속 발생할 수 있습니다. 예를 들어, 하이브리드 PKI 솔루션 전반에 걸쳐 일관성과 상호 운용성을 위해 공통 신뢰 루트를 원할 수 있습니다 . 또한 ACM 사설 CA와 함께 외부 상위 CA를 사용하면 CA 이름 제약 조건을 적용할 수도 있습니다. 자세한 내용 AWS Certificate Manager 사설 인증 기관 사용 설명서의 외부 CA로 사설 CA 인증서 서명을 참조하십시오.
10. 공인인증서를 공개사이트 보안 이외의 용도로 사용하는 경우
공개 웹 사이트를 보호하는 것 외에도 인증서를 다른 용도로 사용할 수 있습니다. 예를 들어 OpenVPN 설정의 일부로 클라이언트 및 서버 인증서를 가져올 수 있습니다. 이 예제에 대한 자세한 내용은 Windows 서버에서 서버 및 클라이언트 인증서와 해당 키를 생성하고 AWS Certificate Manager(ACM)에 업로드하려면 어떻게 해야 합니까?를 참조하십시오. 또한 AWS IoT Device Management 에서 사용할 코드 서명 인증서를 가져올 수 있습니다. 코드 서명 인증서를 가져오는 방법에 대한 자세한 내용은 AWS 서명자 개발자 안내서의 (IoT 전용) 코드 서명 인증서 가져오기 및 가져오기를 참조하십시오.
결론
오늘 포스팅에서는 인증서를 AWS Certificate Manager(ACM)로 가져와야 하는 10 가지 이유에 대해 말씀드렸습니다. ACM으로 인증서 가져오기 및 단계별 지침에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서의 AWS Certificate Manager로 인증서 가져오기를 참조하십시오. 최신 요금 정보는 AWS 웹 사이트의 AWS Certificate Manager 요금 페이지 및 AWS 요금 계산기를 사용하여 비용을 추정할 수도 있습니다.
메가존클라우드 TechBlog는 AWS BLOG 영문 게재 글이나 관련 기사 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.