CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항
SSL/TLS 인증서에 대한 요구 사항은 이 주제에 설명되어 있습니다. 별도로 명시되지 않는 한, 다음 두 가지에 모두 적용됩니다.
-
최종 사용자와 CloudFront 간에 HTTPS를 사용하기 위한 인증서
-
CloudFront와 오리진 간에 HTTPS를 사용하기 위한 인증서
주제
인증서 발행자
AWS Certificate Manager(ACM)us-east-1)에서 인증서를 요청하거나 가져와야 합니다.
CloudFront는 Mozilla와 동일한 인증 기관(CA)를 지원하므로 ACM을 사용하지 않는 경우Mozilla Included CA Certificate List
AWS Certificate Manager용 AWS 리전
최종 사용자와 CloudFront 간에 HTTPS를 요구하기 위해 AWS Certificate Manager(ACM) 인증서를 사용하려면 미국 동부(버지니아 북부) 리전(us-east-1)에서 인증서를 요청하거나 가져와야 합니다.
CloudFront와 오리진 간에 HTTPS가 필요하고 오리진으로 Elastic Load Balancing 로드 밸런서를 사용하는 경우 모든 AWS 리전에서 인증서를 요청하거나 가져올 수 있습니다.
인증서 형식
인증서는 X.509 PEM 형식이어야 합니다. AWS Certificate Manager를 사용할 경우 이 형식이 기본 형식입니다.
중간 인증서
서드 파티 인증 기관(CA)을 사용할 경우, 도메인 인증서에 서명한 CA 관련 인증서부터, .pem 파일에 있는 인증서 체인의 모든 중간 인증서를 나열합니다. 일반적으로 올바른 체인 순서대로 중간 및 루트 인증서를 나열하는 파일이 CA 웹 사이트에 있습니다.
중요
루트 인증서, 신뢰 경로에 없는 중간 인증서 또는 CA의 퍼블릭 키 인증서는 포함하지 마세요.
다음은 그 예입니다:
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE-----
키 유형
CloudFront는 RSA 및 ECDSA 퍼블릭/프라이빗 키 페어를 지원합니다.
CloudFront는 RSA 및 ECDSA 인증서를 사용하여 최종 사용자와 오리진 모두에 대한 HTTPS 연결을 지원합니다. AWS Certificate Manager(ACM)
HTTPS 연결에서 협상할 수 있는 RSA 및 ECDSA 암호 목록(CloudFront 지원)은 최종 사용자와 CloudFront 간에 지원되는 프로토콜 및 암호 및 CloudFront와 오리진 간에 지원되는 프로토콜 및 암호 단원을 참조하세요.
프라이빗 키
다른 인증 기관(CA)의 인증서를 사용할 경우 다음 사항에 유의하세요.
-
프라이빗 키는 인증서에 있는 퍼블릭 키와 일치해야 합니다.
-
프라이빗 키는 PEM 형식이어야 합니다.
-
프라이빗 키는 암호로 암호화할 수 없습니다.
AWS Certificate Manager(ACM)에서 인증서를 제공할 경우 ACM은 프라이빗 키를 공개하지 않습니다. 이 프라이빗 키는 ACM과 통합된 AWS 서비스에서 사용하기 위해 ACM에 저장됩니다.
권한
SSL/TLS 인증서를 사용하고 가져올 수 있는 권한이 있어야 합니다. AWS Certificate Manager(ACM)를 사용하는 경우, AWS Identity and Access Management 권한을 사용하여 인증서에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 자격 증명 및 액세스 관리를 참조하세요.
인증서 키의 크기
CloudFront에서 지원하는 인증서 키 크기는 키 및 인증서 유형에 따라 다릅니다.
- RSA 인증서의 경우:
-
CloudFront가 1,024비트, 2,048비트, 3,072비트, 4,096비트 RSA 키를 지원합니다. CloudFront에서 사용하는 RSA 인증서의 최대 키 길이는 4,096비트입니다.
참고로 ACM은 최대 2048비트 키로 RSA 인증서를 발급합니다. 3,072비트 또는 4,096비트 RSA 인증서를 사용하려면 인증서를 외부에서 얻어 ACM으로 가져와야 합니다. 그러면 CloudFront에서 사용할 수 있습니다.
RSA 키의 크기를 확인하는 방법에 대한 자세한 내용은 SSL/TLS RSA 인증서에서 퍼블릭 키 크기 확인 단원을 참조하세요.
- ECDSA 인증서의 경우:
-
CloudFront는 256비트 키를 지원합니다. 최종 사용자와 CloudFront 간에 HTTPS를 요구하기 위해 ACM의 ECDSA 인증서를 사용하려면 prime256v1 타원 곡선을 사용합니다.
지원되는 인증서 유형
CloudFront는 신뢰할 수 있는 인증 기관에서 발급한 모든 유형의 인증서를 지원합니다.
인증서 만료 날짜 및 갱신
서드 파티 인증 기관(CA)에서 받은 인증서를 사용할 경우, 인증서 만료 날짜를 직접 모니터링하여 인증서가 만료되기 전에 AWS Certificate Manager(ACM)에 가져온 인증서를 갱신하거나 AWS Identity and Access Management 인증서 스토어에 업로드해야 합니다.
ACM에서 제공한 인증서를 사용할 경우 ACM에서 인증서 갱신을 관리해 줍니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.
CloudFront 배포 및 인증서의 도메인 이름
사용자 지정 오리진을 사용하는 경우 오리진의 SSL/TLS 인증서에는 일반 이름(Common Name) 필드에 도메인 이름이 포함되며 대체 도메인 이름(Subject Alternative Names) 필드에도 몇 번 더 포함될 수 있습니다. CloudFront는 인증서 도메인 이름 내 와일드카드 문자 사용을 지원합니다.
인증서의 도메인 이름 중 하나는 오리진 도메인 이름으로 지정하는 도메인 이름과 일치해야 합니다. 일치하는 도메인 이름이 없는 경우 CloudFront는 최종 사용자에게 HTTP 상태 코드 502 (Bad Gateway)를 반환합니다.
중요
배포에 대체 도메인 이름을 추가하면, CloudFront는 해당 대체 도메인 이름이 연결한 인증서에 포함되어 있는지 확인합니다. 인증서의 SAN(주체 대체 이름) 필드에 대체 도메인 이름이 있어야 합니다. 즉, SAN 필드에는 대체 도메인 이름과 정확히 일치하는 항목이 포함되거나 추가할 대체 도메인 이름과 동일한 수준에서 와일드카드가 포함되어야 합니다.
자세한 내용은 대체 도메인 이름 사용과 관련된 요구 사항 단원을 참조하십시오.
최소 SSL/TLS 프로토콜 버전
전용 IP 주소를 사용할 경우 보안 정책을 선택하여 최종 사용자와 CloudFront 간의 연결을 위한 최소 SSL/TLS 프로토콜 버전을 설정합니다.
자세한 내용은 보안 정책(최소 SSL/TLS 버전) 주제에서 배포 설정 참조 단원을 참조하십시오.
지원되는 HTTP 버전
한 인증서를 둘 이상의 CloudFront 배포와 연결하는 경우, 인증서와 연결된 모든 배포에서 지원되는 HTTP 버전에 대해 동일한 옵션을 사용해야 합니다. CloudFront 배포를 생성 또는 업데이트할 때 이 옵션을 지정합니다.
