# 대체 도메인 이름과 HTTPS 사용
파일의 URL에 자체 도메인 이름(예: `https://www.example.com/image.jpg`)을 사용하고 최종 사용자가 HTTPS를 사용하게 하려면 다음 주제에 나온 단계를 수행해야 합니다. (기본 CloudFront 배포 도메인 이름을 URL에 사용하는 경우에는(예: `https://d111111abcdef8.cloudfront.net/image.jpg`) [뷰어와 CloudFront 간의 통신에 HTTPS 요구](using-https-viewers-to-cloudfront.md) 주제의 지침을 따르세요.)
**중요**
인증서를 배포에 추가하는 경우 CloudFront는 인증서를 모든 엣지 로케이션으로 즉시 전파합니다. 새 엣지 로케이션을 사용할 수 있게 되면 CloudFront에서는 인증서를 그러한 새 위치로도 전파합니다. CloudFront에서 인증서를 전파하는 엣지 로케이션을 제한할 수는 없습니다.
**Topics**
+ [
# CloudFront에서 HTTPS 요청을 제공하는 방식 선택
](cnames-https-dedicated-ip-or-sni.md)
+ [
# CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항
](cnames-and-https-requirements.md)
+ [
# CloudFront에서 SSL/TLS 인증서 사용 시의 할당량(뷰어와 CloudFront 간의 HTTPS만 해당)
](cnames-and-https-limits.md)
+ [
# 대체 도메인 이름과 HTTPS 구성
](cnames-and-https-procedures.md)
+ [
# SSL/TLS RSA 인증서에서 퍼블릭 키 크기 확인
](cnames-and-https-size-of-public-key.md)
+ [
# SSL/TLS 인증서에 대한 할당량 증가
](increasing-the-limit-for-ssl-tls-certificates.md)
+ [
# SSL/TLS 인증서 교체
](cnames-and-https-rotate-certificates.md)
+ [
# 사용자 지정 SSL/TLS 인증서에서 기본 CloudFront 인증서로 되돌리기
](cnames-and-https-revert-to-cf-certificate.md)
+ [
# 사용자 지정 SSL/TLS 인증서를 전용 IP 주소 사용에서 SNI 사용으로 전환
](cnames-and-https-switch-dedicated-to-sni.md)
# CloudFront에서 HTTPS 요청을 제공하는 방식 선택
최종 사용자가 HTTPS를 사용하고 파일에 대체 도메인 이름을 사용하게 하려면 CloudFront에서 HTTPS 요청을 제공하는 방식에 대해 다음 옵션 중 하나를 선택합니다.
+ [서버 이름 표시(SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) 사용 – 권장
+ 각 엣지 로케이션에서 전용 IP 주소 사용
이 단원에서는 각 옵션이 어떻게 작동하는지를 설명합니다.
## SNI를 사용하여 HTTPS 요청 제공(대부분 클라이언트에 적용)
[서버 이름 표시(SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication)는 2010년 이후 출시된 브라우저와 클라이언트에서 지원되는 TLS 프로토콜의 확장 기능입니다. SNI를 사용하여 HTTPS 요청을 제공하도록 CloudFront를 구성한 경우, CloudFront에서는 대체 도메인 이름을 각 엣지 로케이션의 IP 주소와 연결합니다. 최종 사용자가 HTTPS 콘텐츠 요청을 제출하면 DNS는 이 요청을 올바른 엣지 로케이션의 IP 주소로 라우팅합니다. 도메인 이름의 IP 주소는 SSL/TLS 핸드셰이크 협상 중에 결정됩니다(IP 주소는 배포 전용이 아님).
HTTPS 연결 설정 과정 초기에 SSL/TLS 협상이 발생합니다. CloudFront에서 요청과 관련된 도메인을 즉시 확인할 수 없으면 연결이 끊어집니다. SNI를 지원하는 최종 사용자가 콘텐츠에 대해 HTTPS 요청을 전송할 경우 다음과 같은 작업이 수행됩니다.
1. 최종 사용자는 요청 URL에서 도메인 이름을 자동으로 가져와서 SNI 확장 또는 TLS 클라이언트 hello 메시지에 추가합니다.
1. CloudFront가 TLS 클라이언트 hello를 수신하면 SNI 확장의 도메인 이름을 사용하여 일치하는 CloudFront 배포를 찾고 연결된 TLS 인증서를 다시 보냅니다.
1. 최종 사용자와 CloudFront는 SSL/TLS 협상을 수행합니다.
1. CloudFront;가 요청된 콘텐츠를 최종 사용자에 반환합니다.
SNI를 지원하는 최신 브라우저 목록은 Wikipedia 항목인 [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication)을 참조하세요.
SNI를 사용하고자 하지만 사용자 브라우저 중 일부에서 SNI가 지원되지 않는 경우 몇 가지 옵션 중 하나를 사용할 수 있습니다.
+ SNI 대신에 전용 IP 주소를 사용하여 HTTPS 요청을 제공하도록 CloudFront;를 구성합니다. 자세한 내용은 [전용 IP 주소를 사용하여 HTTPS 요청 제공(모든 클라이언트에 적용)](#cnames-https-dedicated-ip) 단원을 참조하세요.
+ 사용자 지정 인증서 대신에 CloudFront SSL/TLS 인증서를 사용합니다. 그러기 위해서는 파일에 대한 URL에서 배포의 CloudFront 도메인 이름을 사용해야 합니다. 예: `https://d111111abcdef8.cloudfront.net/logo.png`.
기본 CloudFront 인증서를 사용할 경우 최종 사용자가 SSL 프로토콜 TLSv1 또는 그 이상 버전을 지원해야 합니다. CloudFront는 기본 CloudFront 인증서로 SSLv3를 지원하지 않습니다.
또한 CloudFront에서 사용 중인 SSL/TLS 인증서를 사용자 지정 인증서에서 기본 CloudFront 인증서로 다음과 같이 변경해야 합니다.
+ 배포를 사용하여 콘텐츠를 배포하지 않은 경우에는 구성을 변경하면 됩니다. 자세한 내용은 [배포 업데이트](HowToUpdateDistribution.md) 단원을 참조하세요.
+ 배포를 사용하여 콘텐츠를 배포한 경우에는 새 CloudFront 배포를 생성하고 파일에 대한 URL을 변경하여 콘텐츠를 사용할 수 없는 시간을 줄이거나 없애야 합니다. 자세한 내용은 [사용자 지정 SSL/TLS 인증서에서 기본 CloudFront 인증서로 되돌리기](cnames-and-https-revert-to-cf-certificate.md) 단원을 참조하세요.
+ 사용자가 사용하는 브라우저를 개발자가 제어할 수 있는 경우 사용자가 해당 브라우저를 SNI가 지원되는 브라우저로 업그레이드하게 합니다.
+ HTTPS 대신에 HTTP를 사용합니다.
## 전용 IP 주소를 사용하여 HTTPS 요청 제공(모든 클라이언트에 적용)
서버 이름 표시(SNI)는 요청을 도메인과 연결하는 한 가지 방법입니다. 또 다른 방법으로는 전용 IP 주소 사용을 들 수 있습니다. 2010년 이후 출시 브라우저나 클라이언트로 업그레이드가 불가한 사용자가 있다면 전용 IP 주소를 사용하여 HTTPS 요청을 제공할 수 있습니다. SNI를 지원하는 최신 브라우저 목록은 Wikipedia 항목인 [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication)을 참조하세요.
**중요**
전용 IP 주소를 사용하여 HTTPS 요청을 제공하도록 CloudFront를 구성하면 추가 월별 요금이 발생합니다. 요금 발생은 SSL/TLS 인증서를 배포와 연결하고 배포를 활성화할 때 시작됩니다. CloudFront 요금에 대한 자세한 내용은 [Amazon CloudFront 요금](https://aws.amazon.com/cloudfront/pricing)을 참조하세요. 또한 [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions) 단원을 참조하세요.
전용 IP 주소를 사용하여 HTTPS 요청을 제공하도록 CloudFront를 구성한 경우 CloudFront에서는 인증서를 각 CloudFront 엣지 로케이션의 전용 IP 주소와 연결합니다. 최종 사용자가 콘텐츠에 대해 HTTPS 요청을 전송할 경우 다음과 같은 작업이 수행됩니다.
1. DNS에서 배포의 해당 엣지 로케이션에 대한 IP 주소로 요청을 라우팅합니다.
1. 클라이언트 요청이 `ClientHello` 메시지에 SNI 확장을 제공하는 경우 CloudFront는 해당 SNI와 연결된 배포를 검색합니다.
+ 일치하는 항목이 있는 경우 CloudFront는 SSL/TLS 인증서를 사용하여 요청에 응답합니다.
+ 일치하는 항목이 없는 경우, CloudFront에서는 대신 이 IP 주소를 사용하여 배포를 식별하고 최종 사용자에게 반환할 SSL/TLS 인증서를 결정합니다.
1. 최종 사용자와 CloudFront가 SSL/TLS 인증서를 사용하여 SSL/TLS 협상을 수행합니다.
1. CloudFront;가 요청된 콘텐츠를 최종 사용자에 반환합니다.
이 방법은 사용자가 사용 중인 브라우저나 기타 최종 사용자와 상관없이 모든 HTTPS 요청에 작동합니다.
**참고**
전용 IP는 고정 IP가 아니며 시간이 지남에 따라 변경될 수 있습니다. 엣지 로케이션에 대해 반환되는 IP 주소는 [CloudFront 엣지 서버 목록](LocationsOfEdgeServers.md)의 IP 주소 범위에서 동적으로 할당됩니다.
CloudFront 엣지 서버의 IP 주소 범위는 변경될 수 있습니다. IP 주소 변경 사항에 대한 알림을 받으려면 [Amazon SNS를 통해 AWS 퍼블릭 IP 주소 변경 사항을 구독](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/)하세요.
## 3개 이상의 전용 IP SSL/TLS 인증서를 사용할 수 있는 권한 요청
CloudFront에 3개 이상의 SSL/TLS 전용 IP 인증서를 영구적으로 연결할 수 있는 권한이 필요할 경우 다음과 같이 합니다. HTTPS 요청에 대한 자세한 내용은 [CloudFront에서 HTTPS 요청을 제공하는 방식 선택](#cnames-https-dedicated-ip-or-sni) 단원을 참조하세요.
**참고**
이 절차는 CloudFront 배포에 3개 이상의 전용 IP 인증서를 사용하는 경우에 사용됩니다. 기본값은 2입니다. 배포에 2개 이상의 SSL 인증서를 바인딩할 수 없다는 점에 유의하세요.
한 번에 하나의 SSL/TLS 인증서만 CloudFront 배포에 연결할 수 있습니다. 이 수치는 모든 CloudFront 배포에서 사용할 수 있는 전용 IP SSL 인증서의 총 개수에 해당됩니다.
**CloudFront 배포에 3개 이상의 인증서를 사용할 수 있는 권한을 요청하려면**
1. [지원 센터](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions)로 이동하여 사례를 생성합니다.
1. 사용 권한이 필요한 인증서 수를 지정하고 요청 상황을 설명하세요. 그러고 나면 귀하의 계정을 가능한 빨리 업데이트하겠습니다.
1. 다음 절차로 진행합니다.
# CloudFront에서 SSL/TLS 인증서를 사용하기 위한 요구 사항
SSL/TLS 인증서에 대한 요구 사항은 이 주제에 설명되어 있습니다. 별도로 명시되지 않는 한, 다음 두 가지에 모두 적용됩니다.
+ 최종 사용자와 CloudFront 간에 HTTPS를 사용하기 위한 인증서
+ CloudFront와 오리진 간에 HTTPS를 사용하기 위한 인증서
**Topics**
+ [
## 인증서 발행자
](#https-requirements-certificate-issuer)
+ [
## AWS 리전 for AWS Certificate Manager
](#https-requirements-aws-region)
+ [
## 인증서 형식
](#https-requirements-certificate-format)
+ [
## 중간 인증서
](#https-requirements-intermediate-certificates)
+ [
## 키 유형
](#https-requirements-key-type)
+ [
## 프라이빗 키
](#https-requirements-private-key)
+ [
## 권한
](#https-requirements-permissions)
+ [
## 인증서 키의 크기
](#https-requirements-size-of-public-key)
+ [
## 지원되는 인증서 유형
](#https-requirements-supported-types)
+ [
## 인증서 만료 날짜 및 갱신
](#https-requirements-cert-expiration)
+ [
## CloudFront 배포 및 인증서의 도메인 이름
](#https-requirements-domain-names-in-cert)
+ [
## 최소 SSL/TLS 프로토콜 버전
](#https-requirements-minimum-ssl-protocol-version)
+ [
## 지원되는 HTTP 버전
](#https-requirements-supported-http-versions)
## 인증서 발행자
[AWS Certificate Manager(ACM)](https://aws.amazon.com/certificate-manager/)에서 발급된 퍼블릭 인증서를 사용하는 것이 좋습니다. ACM에서 인증서를 받는 방법에 대한 자세한 내용은 *[AWS Certificate Manager 사용 설명서](https://docs.aws.amazon.com/acm/latest/userguide/)*를 참조하세요. CloudFront 배포에서 ACM 인증서를 사용하려면 미국 동부(버지니아 북부) 리전(`us-east-1`)에서 인증서를 요청하거나 가져와야 합니다.
CloudFront는 Mozilla와 동일한 인증 기관(CA)를 지원하므로 ACM을 사용하지 않는 경우[Mozilla Included CA Certificate List](https://wiki.mozilla.org/CA/Included_Certificates)에 등록된 CA에서 발행한 인증서를 사용하세요.
CloudFront 배포에 지정한 오리진에서 사용하는 TLS 인증서도 Mozilla 포함 CA 인증서 목록의 CA에서 발급해야 합니다.
인증서 가져오기 및 설치에 대한 자세한 내용은 HTTP 서버 소프트웨어 설명서와 CA 설명서를 참조하세요.
## AWS 리전 for AWS Certificate Manager
최종 사용자와 CloudFront 간에 HTTPS를 요구하기 위해 AWS Certificate Manager(ACM) 인증서를 사용하려면 미국 동부(버지니아 북부) 리전(`us-east-1`)에서 인증서를 요청하거나 가져와야 합니다.
CloudFront와 오리진 간에 HTTPS가 필요하고 오리진으로 Elastic Load Balancing 로드 밸런서를 사용하는 경우 모든 AWS 리전에서 인증서를 요청하거나 가져올 수 있습니다.
## 인증서 형식
인증서는 X.509 PEM 형식이어야 합니다. AWS Certificate Manager를 사용할 경우 이 형식이 기본 형식입니다.
## 중간 인증서
서드 파티 인증 기관(CA)을 사용할 경우, 도메인 인증서에 서명한 CA 관련 인증서부터, `.pem` 파일에 있는 인증서 체인의 모든 중간 인증서를 나열합니다. 일반적으로 올바른 체인 순서대로 중간 및 루트 인증서를 나열하는 파일이 CA 웹 사이트에 있습니다.
**중요**
루트 인증서, 신뢰 경로에 없는 중간 인증서 또는 CA의 퍼블릭 키 인증서는 포함하지 마세요.
다음은 그 예입니다:
```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```
## 키 유형
CloudFront는 RSA 및 ECDSA 퍼블릭/프라이빗 키 페어를 지원합니다.
CloudFront는 RSA 및 ECDSA 인증서를 사용하여 최종 사용자와 오리진 모두에 대한 HTTPS 연결을 지원합니다. [AWS Certificate Manager(ACM)](https://console.aws.amazon.com/acm)을 사용하면 RSA 인증서 및 ECDSA 인증서를 요청하고 가져올 수 있으며 그 다음 CloudFront 배포와 연결할 수 있습니다.
HTTPS 연결에서 협상할 수 있는 RSA 및 ECDSA 암호 목록(CloudFront 지원)은 [최종 사용자와 CloudFront 간에 지원되는 프로토콜 및 암호](secure-connections-supported-viewer-protocols-ciphers.md) 및 [CloudFront와 오리진 간에 지원되는 프로토콜 및 암호](secure-connections-supported-ciphers-cloudfront-to-origin.md) 단원을 참조하세요.
## 프라이빗 키
다른 인증 기관(CA)의 인증서를 사용할 경우 다음 사항에 유의하세요.
+ 프라이빗 키는 인증서에 있는 퍼블릭 키와 일치해야 합니다.
+ 프라이빗 키는 PEM 형식이어야 합니다.
+ 프라이빗 키는 암호로 암호화할 수 없습니다.
AWS Certificate Manager(ACM)에서 인증서를 제공할 경우 ACM은 프라이빗 키를 공개하지 않습니다. 이 프라이빗 키는 ACM과 통합된 AWS 서비스에서 사용하기 위해 ACM에 저장됩니다.
## 권한
SSL/TLS 인증서를 사용하고 가져올 수 있는 권한이 있어야 합니다. AWS Certificate Manager(ACM)를 사용하는 경우, AWS Identity and Access Management 권한을 사용하여 인증서에 대한 액세스를 제한하는 것이 좋습니다. 자세한 내용은 *AWS Certificate Manager 사용 설명서*에서 [자격 증명 및 액세스 관리](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html)를 참조하세요.
## 인증서 키의 크기
CloudFront에서 지원하는 인증서 키 크기는 키 및 인증서 유형에 따라 다릅니다.
**RSA 인증서의 경우:**
CloudFront가 1,024비트, 2,048비트, 3,072비트, 4,096비트 RSA 키를 지원합니다. CloudFront에서 사용하는 RSA 인증서의 최대 키 길이는 4,096비트입니다.
참고로 ACM은 최대 2048비트 키로 RSA 인증서를 발급합니다. 3,072비트 또는 4,096비트 RSA 인증서를 사용하려면 인증서를 외부에서 얻어 ACM으로 가져와야 합니다. 그러면 CloudFront에서 사용할 수 있습니다.
RSA 키의 크기를 확인하는 방법에 대한 자세한 내용은 [SSL/TLS RSA 인증서에서 퍼블릭 키 크기 확인](cnames-and-https-size-of-public-key.md) 단원을 참조하세요.
**ECDSA 인증서의 경우:**
CloudFront는 256비트 키를 지원합니다. 최종 사용자와 CloudFront 간에 HTTPS를 요구하기 위해 ACM의 ECDSA 인증서를 사용하려면 prime256v1 타원 곡선을 사용합니다.
## 지원되는 인증서 유형
CloudFront는 신뢰할 수 있는 인증 기관에서 발급한 모든 유형의 인증서를 지원합니다.
## 인증서 만료 날짜 및 갱신
서드 파티 인증 기관(CA)에서 받은 인증서를 사용할 경우, 인증서 만료 날짜를 직접 모니터링하여 인증서가 만료되기 전에 AWS Certificate Manager(ACM)에 가져온 인증서를 갱신하거나 AWS Identity and Access Management 인증서 스토어에 업로드해야 합니다.
**중요**
인증서 만료 문제를 방지하려면 현재 인증서의 `NotAfter` 값보다 최소 24시간 전에 인증서를 갱신하거나 다시 가져옵니다. 인증서가 24시간 이내에 만료되는 경우 ACM에서 새 인증서를 요청하거나 ACM으로 새 인증서를 가져옵니다. 그런 다음 새 인증서를 CloudFront 배포에 연결합니다.
인증서 갱신 또는 다시 가져오기가 진행되는 동안 CloudFront에서 이전 인증서를 계속 사용할 수 있습니다. 이는 CloudFront에서 변경 사항을 표시하기까지 최대 24시간이 걸릴 수 있는 비동기 프로세스입니다.
ACM에서 제공한 인증서를 사용할 경우 ACM에서 인증서 갱신을 관리해 줍니다. 자세한 내용은 *AWS Certificate Manager 사용 설명서*에서 [관리형 갱신](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html)을 참조하세요.
## CloudFront 배포 및 인증서의 도메인 이름
사용자 지정 오리진을 사용하는 경우 오리진의 SSL/TLS 인증서에는 **일반 이름(Common Name)** 필드에 도메인 이름이 포함되며 **대체 도메인 이름(Subject Alternative Names)** 필드에도 몇 번 더 포함될 수 있습니다. CloudFront는 인증서 도메인 이름 내 와일드카드 문자 사용을 지원합니다.
인증서의 도메인 이름 중 하나는 오리진 도메인 이름으로 지정하는 도메인 이름과 일치해야 합니다. 일치하는 도메인 이름이 없는 경우 CloudFront는 최종 사용자에게 HTTP 상태 코드 `502 (Bad Gateway)`를 반환합니다.
**중요**
배포에 대체 도메인 이름을 추가하면, CloudFront는 해당 대체 도메인 이름이 연결한 인증서에 포함되어 있는지 확인합니다. 인증서의 SAN(주체 대체 이름) 필드에 대체 도메인 이름이 있어야 합니다. 즉, SAN 필드에는 대체 도메인 이름과 정확히 일치하는 항목이 포함되거나 추가할 대체 도메인 이름과 동일한 수준에서 와일드카드가 포함되어야 합니다.
자세한 내용은 [대체 도메인 이름 사용과 관련된 요구 사항](CNAMEs.md#alternate-domain-names-requirements) 섹션을 참조하세요.
## 최소 SSL/TLS 프로토콜 버전
전용 IP 주소를 사용할 경우 보안 정책을 선택하여 최종 사용자와 CloudFront 간의 연결을 위한 최소 SSL/TLS 프로토콜 버전을 설정합니다.
자세한 내용은 [모든 배포 설정 참조](distribution-web-values-specify.md) 주제에서 [보안 정책(최소 SSL/TLS 버전)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) 단원을 참조하세요.
## 지원되는 HTTP 버전
한 인증서를 둘 이상의 CloudFront 배포와 연결하는 경우, 인증서와 연결된 모든 배포에서 [지원되는 HTTP 버전](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions)에 대해 동일한 옵션을 사용해야 합니다. CloudFront 배포를 생성 또는 업데이트할 때 이 옵션을 지정합니다.
# CloudFront에서 SSL/TLS 인증서 사용 시의 할당량(뷰어와 CloudFront 간의 HTTPS만 해당)
CloudFront에서 SSL/TLS 인증서 사용 시 다음 할당량에 유의하시기 바랍니다. 이러한 할당량은 AWS Certificate Manager(ACM)를 사용하여 프로비저닝하거나, ACM으로 가져오거나, 뷰어와 CloudFront 간의 HTTPS 통신을 위해 IAM 인증서 스토어에 업로드하는 SSL/TLS 인증서에만 적용됩니다.
자세한 내용은 [SSL/TLS 인증서에 대한 할당량 증가](increasing-the-limit-for-ssl-tls-certificates.md) 섹션을 참조하세요.
**CloudFront 배포당 최대 인증서 수**
각 CloudFront 배포에 최대 한 개의 SSL/TLS 인증서를 연결할 수 있습니다.
**ACM으로 가져오거나 IAM 인증서 스토어로 업로드할 수 있는 인증서의 최대 수**
서드 파티 인증 기관에서 SSL/TLS 인증서를 구입한 경우 다음 위치 중 하나에 인증서를 저장해야 합니다.
+ **AWS Certificate Manager** – ACM 인증서 수의 현재 할당량은 *AWS Certificate Manager 사용 설명서*의 [할당량](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html)을 참조하세요. 명시된 할당량은 ACM을 사용하여 프로비저닝한 인증서와 ACM으로 가져온 인증서를 모두 포함한 총 개수입니다.
+ **IAM 인증서 스토어** – 하나의 AWS 계정에서 IAM 인증서 스토어에 업로드할 수 있는 인증서 수의 현재 할당량(이전에는 제한이라고 함)은 *IAM 사용 설명서*의 [IAM 및 STS 제한](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)을 참조하세요. Service Quotas 콘솔을 사용하여 더 높은 할당량을 요청할 수 있습니다.
**AWS 계정당 인증서 최대 수(전용 IP 주소만 해당)**
전용 IP 주소를 사용하여 HTTPS 요청을 처리하려는 경우 다음 사항에 유의하세요.
+ 기본적으로 CloudFront는 AWS 계정에 두 인증서를 사용할 수 있는 권한(일일 사용을 위한 인증서와 여러 배포용으로 인증서를 교체해야 할 때 사용할 인증서)을 부여합니다.
+ AWS 계정에 사용자 지정 SSL/TLS 인증서가 두 개 이상 필요한 경우 Service Quotas 콘솔에서 더 높은 할당량을 요청할 수 있습니다.
**다른 AWS 계정을 사용하여 생성된 CloudFront 배포에 동일한 인증서 사용**
다른 인증 기관을 사용할 경우 그리고 서로 다른 AWS 계정으로 생성된 여러 CloudFront 배포에서 동일한 인증서를 사용하려면 각 AWS 계정마다 한 번씩 해당 인증서를 ACM으로 가져오거나 IAM 인증서 스토어로 업로드해야 합니다.
ACM에서 제공한 인증서를 사용하는 경우, 다른 AWS 계정이 생성한 인증서를 사용하도록 CloudFront를 구성할 수 없습니다.
**CloudFront 및 다른 AWS 서비스에 동일한 인증서 사용**
신뢰할 수 있는 인증 기관(예: Comodo, DigiCert, Symantec 등)에서 인증서를 구입한 경우, CloudFront 및 기타 AWS 서비스에서 동일한 인증서를 사용할 수 있습니다. ACM으로 인증서를 가져올 경우 한 번만 가져와서 여러 AWS 서비스에 사용해야 합니다.
ACM에서 제공한 인증서를 사용할 경우 인증서가 ACM에 저장됩니다.
**다중 CloudFront 배포에 동일한 인증서 사용**
HTTPS 요청을 처리하는 데 사용하는 임의의 또는 모든 CloudFront 배포에서 동일한 인증서를 사용할 수 있습니다. 다음을 참조하세요.
+ 전용 IP 주소를 사용한 요청 제공과 SNI를 사용한 요청 제공에 동일한 인증서를 사용할 수 있습니다.
+ 단 한 개의 인증서를 각각의 배포와 연결할 수 있습니다.
+ 각각의 배포에 하나 이상의 대체 도메인 이름이 포함되어야 하며, 이 이름은 인증서의 **Common Name(일반 이름)** 필드나 **Subject Alternative Names(주체 대체 이름)** 필드에도 표시됩니다.
+ 전용 IP 주소를 사용하여 HTTPS 요청을 제공하고 동일한 AWS 계정을 사용해 모든 배포를 생성한 경우, 모든 배포에 동일한 인증서를 사용함으로써 비용을 크게 절감할 수 있습니다. CloudFront는 배포가 아닌 인증서별로 요금을 청구합니다.
예를 들어, 동일한 AWS 계정을 사용하여 세 개의 배포를 생성하고, 이 세 개의 배포에 모두 동일한 인증서를 사용한다고 가정하겠습니다. 이 경우, 전용 IP 주소 사용에 대한 단 한 건의 수수료만 청구됩니다.
하지만 전용 IP 주소를 사용하여 HTTPS 요청을 제공하고 서로 다른 AWS 계정에서 동일한 인증서를 사용해 CloudFront 배포를 생성할 경우, 각각의 계정에 전용 IP 주소 사용에 대한 요금이 청구됩니다. 예를 들어, 세 개의 AWS 계정을 사용하여 세 개의 배포를 생성하고 이 세 배포에 동일한 인증서를 사용할 경우, 각 계정에 전용 IP 주소 사용에 대한 수수료 전액이 청구됩니다.
# 대체 도메인 이름과 HTTPS 구성
파일의 URL에 대체 도메인 이름을 사용하고, 최종 사용자와 CloudFront 간에 HTTPS를 사용하려면 해당 절차를 수행합니다.
**Topics**
+ [
## SSL/TLS 인증서 받기
](#cnames-and-https-getting-certificates)
+ [
## SSL/TLS 인증서 가져오기
](#cnames-and-https-uploading-certificates)
+ [
## CloudFront 배포 업데이트
](#cnames-and-https-updating-cloudfront)
## SSL/TLS 인증서 받기
SSL/TLS 인증서를 받습니다(아직 없는 경우). 자세한 내용은 다음과 같이 해당 문서를 참조하세요.
+ AWS Certificate Manager(ACM)에서 제공하는 인증서를 사용하려면 [AWS Certificate Manager 사용 설명서](https://docs.aws.amazon.com/acm/latest/userguide/)를 참조하세요. [CloudFront 배포 업데이트](#cnames-and-https-updating-cloudfront) 단원을 참조하세요.
**참고**
AWS 관리형 리소스에 대해 SSL/TLS 인증서를 프로비저닝 및 관리하고 배포할 때 ACM을 사용하는 것이 좋습니다. 미국 동부(버지니아 북부) 리전에서 ACM 인증서를 요청해야 합니다.
+ 다른 인증 기관(CA)의 인증서를 받으려면 인증 기관에서 제공한 설명서를 참조하세요. 인증서가 있으면 다음 절차로 진행합니다.
## SSL/TLS 인증서 가져오기
다른 인증 기관의 인증서를 받았을 경우 ACM으로 가져오거나 IAM 인증서 스토어에 업로드합니다.
**ACM(권장)**
ACM에서 ACM 콘솔을 사용하거나 프로그래밍 방식으로 타사 인증서를 가져올 수 있습니다. 인증서를 ACM으로 가져오는 방법에 대한 자세한 내용은 *AWS Certificate Manager 사용 설명서*의 [AWS Certificate Manager로 인증서 가져오기](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) 섹션을 참조하세요. 미국 동부(버지니아 북부) 리전에서 인증서를 가져와야 합니다.
**IAM 인증서 스토어**
(권장하지 않음) 다음 AWS CLI 명령을 사용하여 서드 파티 인증서를 IAM 인증서 스토어에 업로드합니다.
```
aws iam upload-server-certificate \
--server-certificate-name CertificateName \
--certificate-body file://public_key_certificate_file \
--private-key file://privatekey.pem \
--certificate-chain file://certificate_chain_file \
--path /cloudfront/path/
```
다음을 참조하세요.
+ **AWS 계정** – CloudFront 배포를 생성하는 데 사용한 것과 동일한 AWS 계정을 사용하여 인증서를 IAM 인증서 스토어로 업로드해야 합니다.
+ **--path 파라미터** – 인증서를 IAM으로 업로드할 때 `--path` 파라미터(인증서 경로) 값은 `/cloudfront/`로 시작해야 합니다(예: `/cloudfront/production/` 또는 `/cloudfront/test/`). 경로는 /로 끝나야 합니다.
+ **기존 인증서** – `--server-certificate-name` 및 `--path` 파라미터에, 기존 인증서와 연결되어 있는 값과 다른 값을 지정해야 합니다.
+ **CloudFront 콘솔 사용** – AWS CLI에서 `--server-certificate-name` 파라미터에 지정하는 값(예: `myServerCertificate`)은 CloudFront 콘솔의 **SSL 인증서** 목록에 나타납니다.
+ **CloudFront API 사용** – AWS CLI에서 반환하는 영숫자 문자열(예:`AS1A2M3P4L5E67SIIXR3J`)을 메모해 둡니다. 이 문자열은 `IAMCertificateId` 요소에서 지정하는 값입니다. IAM ARN은 필요하지 않습니다. CLI에서도 반환되기 때문입니다.
AWS CLI에 대한 자세한 내용은 [AWS Command Line Interface 사용 설명서](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 및 [AWS CLI 명령 참조](https://docs.aws.amazon.com/cli/latest/reference/)를 참조하세요.
## CloudFront 배포 업데이트
배포의 설정을 업데이트하려면 다음과 같이 합니다.
**대체 도메인 이름을 사용하도록 CloudFront 배포를 구성하려면**
1. AWS Management Console에 로그인한 다음 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)에서 CloudFront 콘솔을 엽니다.
1. 업데이트하려는 배포의 ID를 선택합니다.
1. [**General**] 탭에서 [**Edit**]를 선택합니다.
1. 다음 값을 업데이트합니다.
**대체 도메인 이름(CNAME)(Alternate domain names(CNAME))**
**항목 추가**를 선택하여 해당 대체 도메인 이름을 추가합니다. 도메인 이름을 쉼표로 구분하거나 각각의 이름을 새 줄에 입력합니다.
**Custom SSL Certificate(사용자 정의 SSL 인증서)**
드롭다운 목록에서 인증서를 선택합니다.
최대 100개의 인증서가 여기에 나열됩니다. 100개 이상의 인증서가 있고 추가할 인증서가 보이지 않는 경우에는 해당 필드에 인증서 ARN을 입력하여 선택할 수 있습니다.
IAM 인증서 스토어에 인증서를 업로드했는데 목록에 나타나지 않아서 필드에 이름을 입력하는 방법으로 선택을 할 수 없는 경우에는 [SSL/TLS 인증서 가져오기](#cnames-and-https-uploading-certificates) 절차를 검토하여 인증서를 올바르게 업로드했는지 확인합니다.
SSL/TLS 인증서를 CloudFront 배포와 연결한 후에 모든 배포에서 인증서를 제거하고 모든 배포판이 배포될 때까지 ACM 또는 IAM 인증서 스토어에서 인증서를 삭제하지 않습니다.
1. **변경 사항 저장**을 선택합니다.
1. CloudFront에서 최종 사용자와 CloudFront 간에 HTTPS를 요구하도록 구성:
1. **동작** 탭에서 업데이트할 캐시 동작을 선택하고 **편집**을 선택합니다.
1. **Viewer Protocol Policy**(최종 사용자 프로토콜 정책)에 다음 값 중 하나를 지정합니다.
**Redirect HTTP to HTTPS**
최종 사용자가 두 프로토콜 모두 사용할 수 있지만, HTTP 요청은 자동으로 HTTPS 요청으로 리디렉션됩니다. CloudFront는 HTTP 상태 코드 `301 (Moved Permanently)`을 새로운 HTTPS URL과 함께 반환합니다. 그러면 최종 사용자는 HTTPS URL을 사용하여 이 요청을 CloudFront에 다시 제출합니다.
CloudFront는 HTTP에서 HTTPS로 `DELETE`, `OPTIONS`, `PATCH`, `POST` 또는 `PUT` 요청을 리디렉션하지 않습니다. HTTPS에 리디렉션할 캐시 동작을 구성하는 경우, CloudFront는 해당 캐시 동작에 대한 HTTP `DELETE`, `OPTIONS`, `PATCH`, `POST`, 또는 `PUT` 요청에 HTTP 상태 코드 `403 (Forbidden)`으로 응답합니다.
최종 사용자가 HTTPS 요청으로 리디렉션되는 HTTP 요청을 만들 경우 CloudFront에서 두 요청 모두에 대해 요금을 부과합니다. HTTP 요청의 경우에는 CloudFront에서 최종 사용자에게 반환되는 요청 및 헤더에만 요금이 부과됩니다. HTTPS 요청의 경우에는 요청, 헤더, 그리고 오리진에 의해 반환된 파일을 모두 처리합니다.
**HTTPS Only**
최종 사용자가 HTTPS를 사용할 경우에만 콘텐츠에 액세스할 수 있습니다. 최종 사용자가 HTTPS 요청 대신에 HTTP 요청을 보내면 CloudFront는 HTTP 상태 코드 `403 (Forbidden)`을 반환하고 파일은 반환하지 않습니다.
1. **예, 편집합니다**를 선택합니다.
1. 최종 사용자와 CloudFront 간에 HTTPS를 요구하려는 추가적인 캐시 동작 각각에 대해 단계 a부터 c까지 반복합니다.
1. 업데이트한 구성을 프로덕션 환경에서 사용하기 전에 다음 사항을 확인합니다.
+ 각 캐시 동작의 경로 패턴이 최종 사용자에 HTTPS를 사용하도록 지정한 요청에만 적용되는가.
+ 캐시 동작이 CloudFront에서 평가하도록 할 순서대로 나열되었는가. 자세한 내용은 [경로 패턴](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern) 단원을 참조하세요.
+ 캐시 동작이 올바른 오리진에 요청을 라우팅하는가.
# SSL/TLS RSA 인증서에서 퍼블릭 키 크기 확인
CloudFront 대체 도메인 이름 및 HTTPS를 사용하는 경우, SSL/TLS RSA 인증서 퍼블릭 키의 최대 크기는 4,096비트입니다. (이는 퍼블릭 키의 문자 수가 아니라 키 크기입니다.) 인증서에서 AWS Certificate Manager를 사용하는 경우에는 ACM이 더 큰 RSA 키를 지원하더라도 CloudFront에서 더 큰 키를 사용할 수 없습니다.
다음 OpenSSL 명령을 실행하여 RSA 퍼블릭 키의 크기를 확인할 수 있습니다.
```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout
```
여기서 각 항목은 다음과 같습니다.
+ `-in`은 SSL/TLS RSA 인증서의 경로 및 파일 이름을 지정합니다.
+ `-text`를 지정하면 OpenSSL에서 RSA 퍼블릭 키 길이를 비트로 표시합니다.
+ `-noout`를 지정하면 OpenSSL에서 퍼블릭 키가 표시되지 않습니다.
출력 예:
```
Public-Key: (2048 bit)
```
# SSL/TLS 인증서에 대한 할당량 증가
AWS Certificate Manager(ACM)로 가져오거나 AWS Identity and Access Management(IAM)에 업로드할 수 있는 SSL/TLS 인증서 수에는 할당량이 있습니다. 또한 전용 IP 주소를 사용하여 HTTPS 요청을 제공하도록 CloudFront를 구성할 경우 AWS 계정에서 사용할 수 있는 SSL/TLS 인증서 개수에도 할당량이 있습니다. 하지만 더 높은 할당량을 요청할 수 있습니다.
**Topics**
+ [
## ACM으로 가져오는 인증서의 할당량 증가
](#certificates-to-import-into-acm)
+ [
## IAM에 업로드하는 인증서의 할당량 늘리기
](#certificates-to-upload-into-iam)
+ [
## 전용 IP 주소와 함께 사용되는 인증서의 할당량 증가
](#certificates-using-dedicated-ip-address)
## ACM으로 가져오는 인증서의 할당량 증가
ACM으로 가져올 수 있는 인증서 개수에 대한 할당량은 *AWS Certificate Manager 사용 설명서*의 [할당량](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html)을 참조하세요.
더 높은 할당량을 요청하려면 Service Quotas 콘솔을 사용하세요. 자세한 내용은* Service Quotas 사용 설명서*의 [할당량 증가 요청](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)을 참조하세요.
## IAM에 업로드하는 인증서의 할당량 늘리기
IAM에 업로드할 수 있는 인증서 개수에 대한 할당량(이전에는 제한이라고 함)은 *IAM 사용 설명서*의 [IAM 및 STS 제한](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html)을 참조하세요.
더 높은 할당량을 요청하려면 Service Quotas 콘솔을 사용하세요. 자세한 내용은* Service Quotas 사용 설명서*의 [할당량 증가 요청](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)을 참조하세요.
## 전용 IP 주소와 함께 사용되는 인증서의 할당량 증가
전용 IP 주소를 사용하여 HTTPS 요청을 제공할 경우 각 AWS 계정에서 사용할 수 있는 SSL 인증서 개수에 대한 할당량은 [SSL 인증서의 할당량](cloudfront-limits.md#limits-ssl-certificates) 섹션을 참조하세요.
더 높은 할당량을 요청하려면 Service Quotas 콘솔을 사용하세요. 자세한 내용은* Service Quotas 사용 설명서*의 [할당량 증가 요청](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)을 참조하세요.
# SSL/TLS 인증서 교체
SSL/TLS 인증서가 만료될 때 배포의 보안을 보장하고 뷰어의 서비스 중단을 방지하려면 인증서를 교체해야 합니다. 다음과 같은 방법으로 인증서를 교체할 수 있습니다.
+ AWS Certificate Manager(ACM)에서 제공하는 SSL/TLS 인증서의 경우 인증서를 교체할 필요가 없습니다. ACM에서 *자동으로* 인증서 갱신을 관리합니다. 자세한 내용은 *AWS Certificate Manager 사용 설명서*의 [Managed certificate renewal](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html)을 참조하시기 바랍니다.
+ 서드 파티 인증 기관을 사용하여 인증서를 ACM으로 가져오거나(권장) IAM 인증서 스토어에 업로드한 경우 필요에 따라 인증서를 교체해야 합니다.
**중요**
ACM은 서드 파티 인증 기관에서 확보하여 ACM으로 가져온 인증서에 대해서는 갱신을 관리하지 않습니다.
전용 IP 주소를 사용하여 HTTPS 요청을 제공하도록 CloudFront를 구성한 경우 인증서를 교체하는 동안은 하나 이상의 추가 인증서 사용에 대한 비례 할당으로 계산된 추가 요금이 발생할 수 있습니다. 추가 요금을 최소화하기 위해 배포를 업데이트할 것을 권장합니다.
## SSL/TLS 인증서 교체
인증서를 교체하려면 다음 절차를 수행합니다. 최종 사용자는 인증서를 교체하는 동안은 물론, 프로세스가 완료된 후에도 콘텐츠에 계속 액세스할 수 있습니다.
**SSL/TLS 인증서를 교체하려면**
1. [SSL/TLS 인증서에 대한 할당량 증가](increasing-the-limit-for-ssl-tls-certificates.md)는 추가 SSL 인증서를 사용하기 위한 권한이 필요한지 여부를 확인합니다. 권한이 필요한 경우 권한을 요청하고 기다렸다 권한이 부여되면 2단계로 넘어갑니다.
1. 새 인증서를 ACM으로 가져오거나 IAM에 업로드합니다. 자세한 내용은 *Amazon CloudFront 개발자 안내서*의 [SSL/TLS 인증서 가져오기](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates)를 참조하세요.
1. (IAM 인증서만 해당) 새 인증서를 사용하도록 한 번에 하나씩 배포를 업데이트합니다. 자세한 내용은 [배포 업데이트](HowToUpdateDistribution.md) 섹션을 참조하세요.
1. (선택 사항) ACM 또는 IAM에서 이전 인증서를 삭제합니다.
**중요**
모든 배포에서 해당 인증서가 제거되고 업데이트된 배포의 상태가 `Deployed`로 변경될 때까지는 SSL/TLS 인증서를 삭제하지 않습니다.
# 사용자 지정 SSL/TLS 인증서에서 기본 CloudFront 인증서로 되돌리기
CloudFront에서 최종 사용자와 CloudFront 간에 HTTPS를 사용하도록 구성했으며 CloudFront에서 사용자 지정 SSL/TLS 인증서를 사용하도록 구성한 경우, 기본 CloudFront SSL/TLS 인증서를 사용하도록 구성을 변경할 수 있습니다. 이 절차는 콘텐츠를 배포하는 데 배포를 사용했는지 여부에 따라 다릅니다.
+ 배포를 사용하여 콘텐츠를 배포하지 않은 경우에는 구성을 변경하면 됩니다. 자세한 내용은 [배포 업데이트](HowToUpdateDistribution.md) 단원을 참조하세요.
+ 배포를 사용하여 콘텐츠를 배포한 경우에는 새 CloudFront 배포를 생성하고 파일에 대한 URL을 변경하여 콘텐츠를 사용할 수 없는 시간을 줄이거나 없애야 합니다. 이렇게 하려면 다음과 같이 합니다.
## 기본 CloudFront 인증서로 되돌리기
다음 절차에서는 사용자 지정 SSL/TLS 인증서에서 기본 CloudFront 인증서로 되돌리는 방법을 보여줍니다.
**기본 CloudFront 인증서로 되돌리려면**
1. 원하는 구성을 사용하여 새 CloudFront 배포를 생성합니다. **SSL 인증서(SSL Certificate)**에서 **기본 CloudFront 인증서(Default CloudFront Certificate)(\$1.cloudfront.net)**를 선택합니다.
자세한 내용은 [배포 생성](distribution-web-creating-console.md) 섹션을 참조하세요.
1. CloudFront를 사용하여 배포하고 있는 파일의 경우에는 CloudFront에서 새 배포에 할당한 도메인 이름이 사용되도록 애플리케이션에서 URL을 업데이트합니다. 예를 들면 `https://www.example.com/images/logo.png`를 `https://d111111abcdef8.cloudfront.net/images/logo.png`로 변경합니다.
1. 사용자 지정 SSL/TLS 인증서와 연결된 배포를 삭제하거나, **SSL 인증서(SSL Certificate)** 값이 **기본 CloudFront 인증서(Default CloudFront Certificate)(\$1.cloudfront.net)**로 변경되도록 배포를 업데이트합니다. 자세한 내용은 [배포 업데이트](HowToUpdateDistribution.md) 단원을 참조하세요.
**중요**
이 단계를 완료하지 않으면 AWS에서 사용자 지정 SSL/TLS 인증서 사용에 요금을 계속 부과합니다.
1. (선택 사항) 사용자 지정 SSL/TLS 인증서를 삭제합니다.
1. AWS CLI 명령 `list-server-certificates`를 실행하여 삭제할 인증서의 인증서 ID를 확인합니다. 자세한 내용은 *AWS CLI 명령 참조*의 [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html)를 참조하세요.
1. AWS CLI 명령 `delete-server-certificate`를 실행하여 인증서를 삭제합니다. 자세한 내용은 AWS CLI 명령 참조의 [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html)를 참조합니다.**
# 사용자 지정 SSL/TLS 인증서를 전용 IP 주소 사용에서 SNI 사용으로 전환
사용자 지정 SSL/TLS 인증서에 전용 IP 주소를 사용하도록 CloudFront를 구성한 경우 SSL/TLS 인증서에 SNI를 대신 사용하고 전용 IP 주소와 연결된 요금이 청구되지 않도록 전환할 수 있습니다.
**중요**
이 CloudFront 구성 업데이트는 SNI를 지원하는 최종 사용자에는 영향을 미치지 않습니다. 최종 사용자는 변경 전후뿐만 아니라 변경 사항이 CloudFront 엣지 로케이션에 전파되는 동안에도 콘텐츠에 액세스할 수 있습니다. SNI를 지원하지 않는 뷰어는 변경 후에 콘텐츠에 액세스할 수 없습니다. 자세한 내용은 [CloudFront에서 HTTPS 요청을 제공하는 방식 선택](cnames-https-dedicated-ip-or-sni.md) 섹션을 참조하세요.
## 사용자 지정 인증서에서 SNI로 전환
다음 절차에서는 사용자 지정 SSL/TLS 인증서를 전용 IP 주소 사용에서 SNI 사용으로 전환하는 방법을 보여줍니다.
**사용자 지정 SSL/TLS 인증서를 전용 IP 주소 사용에서 SNI 사용으로 전환하려면**
1. AWS Management Console에 로그인한 다음 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)에서 CloudFront 콘솔을 엽니다.
1. 보거나 업데이트하려는 배포의 ID를 선택합니다.
1. **Distribution Settings**(배포 설정)를 선택합니다.
1. [**General**] 탭에서 [**Edit**]를 선택합니다.
1. **사용자 지정 SSL 인증 - *선택 사항***에서 **레거시 클라이언트 지원**을 선택 해제합니다.
1. **예, 편집합니다**를 선택합니다.