AWS Certificate Manager 퍼블릭 인증서 특성 및 제한 사항

Google Chrome, Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox, Apple Safari 등 모든 주요 브라우저에서 ACM 인증서를 신뢰합니다. ACM 인증서를 신뢰하는 브라우저에서는 SSL/TLS를 통해 ACM 인증서를 사용하는 사이트에 연결하면 상태 표시줄 또는 주소 표시줄에 자물쇠 아이콘이 표시됩니다. Java에서도 ACM 인증서를 신뢰합니다.

ACM을 통해 요청하는 공인 인증서는 아마존 관리형 퍼블릭 인증 기관(CA)인 Amazon Trust Services에서 받습니다. Amazon Root CA 1~4는 Starfield G2 Root Certificate Authority -G2라는 이전 루트에 의해 상호 서명됩니다. Starfield 루트는 최신 버전의 Gingerbread부터 시작하여 Android 기기에서 신뢰할 수 있으며 버전 4.1부터 iOS에서도 신뢰할 수 있습니다. 버전 11부터 iOS가 Amazon 루트를 신뢰합니다. Amazon 또는 Starfield 루트가 포함된 모든 브라우저, 애플리케이션 또는 OS는 ACM에서 얻은 퍼블릭 인증서를 신뢰합니다.

ACM이 고객에게 발행하는 리프 또는 최종 엔티티 인증서는 여러 중간 CA 중 하나를 통해 Amazon Trust Services 루트 CA에서 권한을 도출합니다. ACM은 요청된 인증서 유형(RSA 또는 ECDSA)에 따라 중간 CA를 임의로 할당합니다. 요청이 생성된 후 중간 CA가 무작위로 선택되므로 ACM은 중간 CA 정보를 제공하지 않습니다.

ACM 인증서의 도메인을 검증합니다. 즉, ACM 인증서의 제목 필드는 도메인 이름만 나타냅니다. ACM 인증서를 요청할 때 사용자는 요청을 통해 지정한 모든 도메인에 대해 사용자가 소유하거나 관리 권한을 보유하고 있는지 검증해야 합니다. 이메일 혹은 DNS를 통해 소유권을 검증할 수 있습니다. 자세한 내용은 AWS Certificate Manager 이메일 검증 및 AWS Certificate Manager DNS 검증 단원을 참조하세요.

Amazon은 복원력이 뛰어나고 민첩한 인증서 인프라를 유지하기 위해 언제든지 사전 통지 없이 중간 CA를 중단하도록 선택할 수 있습니다. 이러한 종류의 변경은 고객에게 영향을 미치지 않습니다. 자세한 내용은 블로그 게시물 "Amazon introduces dynamic intermediate certificate authorities"(Amazon, 동적 중간 인증 기관 도입)를 참조하세요.

드문 경우이긴 하지만 Amazon에서 루트 CA를 중단하는 경우 상황에 따라 즉시 변경이 발생할 것입니다. 이러한 변경의 영향이 크므로 Amazon은 AWS Health Dashboard, 계정 소유자에게 보내는 이메일, 기술 계정 관리자에 대한 지원 등 사용 가능한 모든 메커니즘을 사용하여 AWS 고객에게 알립니다.

최종 엔티티 인증서를 더 이상 신뢰할 수 없는 경우 해당 인증서가 해지됩니다. OCSP 및 CRL은 인증서가 해지되었는지 여부를 확인하는 데 사용되는 표준 메커니즘입니다. OCSP 및 CRL은 해지 정보를 게시하는 데 사용되는 표준 메커니즘입니다. 이러한 메커니즘이 작동하도록 하기 위해 일부 고객 방화벽에는 추가 규칙이 필요할 수 있습니다.

다음 예제 URL 와일드카드 패턴을 사용하여 해지 트래픽을 식별할 수 있습니다. 별표(*) 와일드카드는 하나 이상의 영숫자 문자에 해당하고, 물음표(?)는 단일 영숫자를 나타내고, 해시 마크(#)는 숫자를 나타냅니다.

인증서는 반드시 알고리즘과 키 크기를 지정해야 합니다. 현재 다음 RSA 및 ECDSA(Elliptic Curve Digital Signature Algorithm) 퍼블릭 키 알고리즘이 ACM에서 지원됩니다. ACM에서는 별표(*)로 표시된 알고리즘을 사용하여 새 인증서 발급을 요청할 수 있습니다. 나머지 알고리즘은 가져온 인증서에 대해서만 지원됩니다.

ECDSA 키는 크기가 더 작기 때문에 RSA 키와 유사한 수준의 보안을 제공하면서도 컴퓨팅 효율성은 더 뛰어납니다. 그러나 ECDSA가 일부 네트워크 클라이언트에서 지원되지 않습니다. NIST에서 채택한 다음 표에서는 다양한 크기의 키를 사용하는 RSA 및 ECDSA의 대표적인 보안 강도를 확인할 수 있습니다. 모든 값에 대한 단위는 비트입니다.

2의 거듭제곱으로 이해되는 보안 강도는 암호화를 해제하는 데 필요한 추측의 수와 연관되어 있습니다. 예를 들어 3072비트 RSA 키와 256비트 ECDSA 키는 모두 2¹²⁸회 이하의 추측으로 검색이 가능합니다.

알고리즘을 선택하는 데 도움이 되는 정보는 AWS 블로그 게시물 AWS Certificate Manager에서 ECDSA 인증서를 평가하고 사용하는 방법을 참조하세요.

ACM은 ACM 인증서 갱신 프로세스와 갱신 후 인증서 프로비저닝 프로세스를 관리합니다. 자동 갱신을 사용하면 잘못된 구성, 취소 또는 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. 자세한 내용은 AWS Certificate Manager에서 관리형 인증서 갱신 단원을 참조하십시오.

각 ACM 인증서에는 하나 이상의 Fully Qualified Domain Name(FQDN)이 포함되어 있으며 원한다면 이름을 추가할 수 있습니다. 예를 들어 고객이 www.example.net이라는 이름으로도 사이트에 연결하는 경우, www.example.com에 대한 ACM 인증서를 만들 때 그 이름도 추가할 수 있습니다. 이는 베어 도메인(zone apex 또는 naked 도메인이라고도 함)의 경우데 마찬가지입니다. 즉, www.example.com에 대한 ACM 인증서를 요청하고 example.com이라는 이름을 추가할 수 있습니다. 자세한 내용은 AWS Certificate Manager 퍼블릭 인증서 단원을 참조하십시오.

다국어 도메인 이름과 관련된 다음 Punycode 요구 사항을 충족해야 합니다.

ACM 인증서의 유효 기간은 현재 13개월(395일)입니다.

ACM을 사용하면 도메인 이름에 별표(*)를 사용하여 동일한 도메인에서 여러 사이트를 보호할 수 있는 와일드카드 이름을 포함하는 ACM 인증서를 생성할 수 있습니다. 예를 들어 *.example.com은 www.example.com 및 images.example.com을 보호합니다.