BLOG
NOTE :이 글은 AWS IoT Core에 대한 브라우저 및 모바일 애플리케이션 연결과 관련된 중요한 공용 키 인프라 (PKI) 문제를 설명합니다. 공용 키 인증서 및 TLS에 대한 자세한 내용은 고성능 브라우저 네트워킹의 트러스트 체인 및 인증 기관을 참조하십시오.
개요
Google, Apple, Mozilla는 2018년 10월부터 AWS IoT Core 서버 인증서에 서명하는 데 사용되는 VeriSign Class 3 Public Primary G5 Root CA를 비롯한 모든 Symantec root 인증 기관 (CA)에 대한 신뢰를 중단한다고 발표했습니다. 자세한 내용은 Google 공지 사항, Apple 공지 사항 및 Mozilla 공지 사항을 참조하십시오.
더 이상 이러한 CA 인증서를 포함하지 않기로 결정하면 모바일 운영 체제 또는 브라우저에서 제공하는 인증서 트러스트 스토어에 의존하는 모바일 및 웹 응용 프로그램이 중단됩니다. 또한 사용자는 브라우저에서 경고 알림을 볼 수 있습니다. 모바일 응용 AWS IoT Core 엔드포인트에 연결할 수 없습니다.
CA에 대한 Trust를 비판하는 것은 인터넷에서의 일반적인 프로세스입니다. 일반적으로 웹 서버는 다른 신뢰할 수 있는 CA로 전환하여 서버 인증서에 서명함으로써 이 문제를 해결합니다. 브라우저는 많은 CA가 있는 대규모 트러스트 스토어를 포함하므로 프로세스는 최종 사용자에게 투명합니다. IoT 공간에서 이야기는 조금 더 복잡합니다. 메모리 제약으로 인해 디바이스는 하나의 CA만 신뢰하므로 새로운 CA 인증서를 추가하기 위해 해당 디바이스의 펌웨어를 업데이트하기 어려울 수 있습니다. 엔드포인트의 서버 인증에 대한 서명 CA를 변경하면 해당 디바이스가 해당 엔드포인트에 연결되지 않습니다.
AWS IoT Core 솔루션
이제 AWS IoT는 Amazon Trust Services (ATS) 서명 서버 인증서를 제공하는 추가 고객 엔드포인트를 제공합니다. ATS CA는 iOS, Android, Chrome, Firefox, Windows 및 가장 일반적인 Linux 배포판을 비롯한 널리 사용되는 브라우저 및 운영체제에서 기본적으로 신뢰됩니다. 올해 초 AWS 보안 팀은 AWS 서비스를 ATS 서명 서버 인증서로 마이그레이션하려는 노력을 요약한 블로그 게시물을 게시했습니다. Amazon DynamoDB 및 Amazon EC2를 비롯한 많은 AWS 서비스가 고객이 API 호출시 이미 이러한 서버 인증서를 제공하고 있습니다.
VeriSign Class 3 Public Primary G5 root CA가 서명한 서버 인증서만 신뢰하는 디바이스와의 역호환성을 유지하기 위해 AWS IoT Core는 해당 CA가 서명한 서버 인증서로 인증하는 엔드포인트를 계속 제공합니다. 이 인증서는 정기적으로 갱신될 것입니다.
모든 고객은 다음 지침을 사용하여 새로운 Amazon Trust Service 엔드포인트를 가져와 AWS IoT Core에 연결되는 모바일 및 브라우저 응용 프로그램에 사용하는 것이 좋습니다. 또한 고객이 디바이스 fleet을 마이그레이션하여 Amazon Trust Services root CA를 신뢰하고 Amazon Trust Services 엔드포인트에 연결할 것을 권장합니다.
모바일 또는 브라우저 앱을 업데이트하거나 fleet을 마이그레이션할 때 다음 사항을 명심하십시오.
- 계정의 각 리전에 대해 Amazon Trust Services 엔드포인트를 명시적으로 요청해야 합니다. 기존 고객 엔드포인트는 VeriSign 엔드포인트일 가능성이 큽니다. 엔드포인트에 첫 번째 하위 도메인의 끝에 “-ats”가 있으면 Amazon Trust Service 엔드포인트입니다. 예를 들어, ‘asdfasdf-ats.iot.us-east-2.amazonaws.com’은 ATS 엔드포인트입니다.
- 작업 및 자격 증명 공급자의 IoT 엔드포인트는 영향을 받지 않습니다. 이미 Amazon Trust Service에서 서명한 인증서를 제공하고 있습니다.
- 같은 계정과 리전에 있는 VeriSign과 Amazon Trust Services 엔드포인트는 상호 운용이 가능합니다. 엔드포인트 간의 유일한 차이점은 제공하는 인증서의 루트 CA입니다. 디바이스는 두 인증서가 있는 경우 앞뒤로 전환 할 수 있으며 추가 변경이나 등록 없이 서로 통신 할 수 있습니다. 즉, 단계적 전환이 가능하고 권장됩니다.
- 2018년 5월 이후에 출시된 새로운 리전에서는 Amazon Trust Service가 인증서에만 서명했습니다.
| 리전 이름 | 리전 | Available root CAs* |
| US East (Ohio) | us-east-2 | VeriSign, ATS |
| US East (N. Virginia) | us-east-1 | VeriSign, ATS |
| US West (Oregon) | us-west-2 | VeriSign, ATS |
| Asia Pacific (Singapore) | ap-southeast-1 | VeriSign, ATS |
| Asia Pacific (Sydney) | ap-southeast-2 | VeriSign, ATS |
| Asia Pacific (Tokyo) | ap-northeast-1 | VeriSign, ATS |
| Asia Pacific (Seoul) | ap-northeast-2 | VeriSign, ATS |
| EU (Frankfurt) | eu-central-1 | VeriSign, ATS |
| EU (Ireland) | eu-west-1 | VeriSign, ATS |
| EU (London) | eu-west-2 | VeriSign, ATS |
| China (Beijing) | cn-north-1 | VeriSign (ATS Coming in September) |
| Asia Pacific (Mumbai) | ap-south-1 | ATS |
| AWS GovCloud (US) | us-gov-west-1 | ATS |
*향후 추가되는 AWS IoT Core 리전은 Amazon Trust Services root CA 만 지원합니다.
Amazon Trust Services 엔드포인트를 설정하는 방법
- ATS 엔드포인트 만들기
- endpointType 매개 변수를 iot : Data-ATS로 설정하여 설명 엔드포인트 API를 호출하십시오. AWS CLI에서 다음 명령을 사용할 수 있습니다.
aws iot describe–endpoint —endpoint–type iot:Data–ATS.
- 성공할 경우, prefix-ats.iot.region.amazonaws.com 양식으로 엔드포인트를 수신해야 합니다. 이 API 호출은 첫 번째 호출이 엔드포인트를 만들고 이후 호출이 같은 엔드포인트를 반환한다는 점에서 idempotent (멱등:연산을 여러 번 적용하더라도 결과가 달라지지 않는 성질)의 성질을 띱니다.
2. ATS 루트 CA를 디바이스에 다운로드 하십시오.
- AWS IoT Core의 서버 인증에 대한 설명서를 참조하고 원하는 Amazon Trust Services CA 인증서 (예 : RSA 또는 ECC)에 대한 링크를 따르십시오.
- 이 인증서를 .pem 파일로 저장하고 디바이스에 복사하십시오.
3. 이제 연결하십시오!
- 새로운 엔드포인트로 모바일 및 브라우저 앱과 디바이스의 펌웨어를 업데이트하십시오.
- 테스트 및 배포하세요.
원문 URL: https://aws.amazon.com/ko/blogs/iot/aws-iot-core-ats-endpoints/
** 메가존클라우드 TechBlog는 AWS BLOG 영문 게재글중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.