기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Tomcat을 실행하는 EC2 인스턴스에서 HTTPS 종료
Tomcat 컨테이너 형식의 경우, [구성 파일](ebextensions.md)을 사용하여 Apache HTTP Server가 Tomcat의 역방향 프록시 역할을 할 때 HTTPS를 사용하도록 합니다.
지침에 따라 인증서와 프라이빗 키 구성 요소를 바꿔 구성 파일에 다음 조각을 추가한 후, 이를 소스 번들의 `.ebextensions` 디렉터리에 저장합니다. 구성 파일은 다음 작업을 수행합니다.
+ `files` 키는 인스턴스에 다음 파일을 만듭니다.
`/etc/pki/tls/certs/server.crt`
인스턴스에 인증서 파일을 만듭니다. *인증서 파일 내용*을 본인의 인증서 내용으로 바꿉니다.
YAML은 일정한 들여쓰기를 사용합니다. 예제 구성 파일의 콘텐츠를 바꿀 때 들여쓰기 레벨을 일치시키고, 텍스트 편집기가 탭 문자 대신 공백을 사용해 들여쓰기를 하도록 합니다.
`/etc/pki/tls/certs/server.key`
인스턴스에 프라이빗 키 파일을 만듭니다. *프라이빗 키 내용*을 인증서 요청 또는 자체 서명된 인증서를 만들 때 사용한 프라이빗 키 내용으로 바꿉니다.
`/opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh`
배포 후 후크 스크립트를 생성하여 httpd 서비스를 다시 시작합니다.
**Example .ebextensions/https-instance.config**
```
files:
/etc/pki/tls/certs/server.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
certificate file contents
-----END CERTIFICATE-----
/etc/pki/tls/certs/server.key:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN RSA PRIVATE KEY-----
private key contents # See note below.
-----END RSA PRIVATE KEY-----
/opt/elasticbeanstalk/hooks/appdeploy/post/99_start_httpd.sh:
mode: "000755"
owner: root
group: root
content: |
#!/usr/bin/env bash
sudo service httpd restart
```
또한 환경의 프록시 서버가 포트 443에서 수신 대기하도록 구성해야 합니다. 다음 Apache 2.4 구성은 포트 443에 리스너를 추가합니다. 자세한 내용은 [프록시 서버 구성](java-tomcat-proxy.md) 단원을 참조하십시오.
**Example .ebextensions/httpd/conf.d/ssl.conf**
```
Listen 443
ServerName server-name
SSLEngine on
SSLCertificateFile "/etc/pki/tls/certs/server.crt"
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
Require all granted
ProxyPass / http://localhost:8080/ retry=0
ProxyPassReverse / http://localhost:8080/
ProxyPreserveHost on
ErrorLog /var/log/httpd/elasticbeanstalk-ssl-error_log
```
인증서 벤더는 모바일 클라이언트와의 호환성 향상을 위해 중간 인증서를 설치할 수 있습니다. SSL 구성 파일에 다음을 추가하여 중간 인증서 인증기관(CA) 번들로 Apache를 구성합니다([기본 Apache 구성 확장 및 재정의 — Amazon Linux AMI (AL1)](java-tomcat-proxy.md#java-tomcat-proxy-apache)에서 위치 참조).
+ `ssl.conf` 파일 내용에 체인 파일을 지정합니다.
```
SSLCertificateKeyFile "/etc/pki/tls/certs/server.key"
SSLCertificateChainFile "/etc/pki/tls/certs/gd_bundle.crt"
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
```
+ `files` 키에 중간 인증서의 내용이 포함된 새 항목을 추가합니다.
```
files:
/etc/pki/tls/certs/gd_bundle.crt:
mode: "000400"
owner: root
group: root
content: |
-----BEGIN CERTIFICATE-----
First intermediate certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Second intermediate certificate
-----END CERTIFICATE-----
```
**참고**
프라이빗 키를 포함한 구성 파일을 소스 제어에 커밋하지 마십시오. 구성을 테스트하고 작동 여부를 확인한 후 Amazon S3에 프라이빗 키를 저장하고 배포 중에 다운로드하도록 구성을 변경합니다. 지침은 [프라이빗 키를 Amazon S3에 안전하게 저장](https-storingprivatekeys.md) 섹션을 참조하세요.
단일 인스턴스 환경에서 포트 443의 트래픽을 허용하도록 인스턴스의 보안 그룹도 수정해야 합니다. 다음 구성 파일은 CloudFormation [함수](ebextensions-functions.md)를 사용하여 보안 그룹의 ID를 검색하고 여기에 규칙을 추가합니다.
**Example .ebextensions/https-instance-single.config**
```
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
```
로드 밸런싱된 환경에서 로드 밸런서가 [안전한 트래픽을 그대로 통과](https-tcp-passthrough.md)시키거나 종단 간 암호화를 위해 [암호 해독과 재암호화](configuring-https-endtoend.md)하도록 구성합니다.