Application Load BalancerTLS에서 상호 구성 - Elastic Load Balancing
신뢰 스토어 생성신뢰 스토어 연결신뢰 스토어 세부 정보 보기신뢰 저장소 수정신뢰 스토어 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load BalancerTLS에서 상호 구성

이 섹션에는 Application Load Balancer에서 인증하기 위한 상호 TLS 확인 모드를 구성하는 절차가 포함되어 있습니다.

상호 TLS 통과 모드를 사용하려면 클라이언트에서 인증서를 수락하도록 리스너를 구성하기만 하면 됩니다. 상호 TLS 패스스루를 사용하는 경우 Application Load Balancer는 HTTP 헤더를 사용하여 전체 클라이언트 인증서 체인을 대상으로 전송하므로 애플리케이션에서 해당 인증 및 권한 부여 로직을 구현할 수 있습니다. 자세한 내용은 Application Load Balancer용 HTTPS리스너 생성을 참조하세요.

확인 모드에서 상호TLS를 사용하면 로드 밸런서가 연결을 협상할 때 Application Load Balancer가 클라이언트에 대해 X.509 클라이언트 인증서 인증을 수행합니다. TLS

상호 TLS 확인 모드를 사용하려면 다음을 수행합니다.

  • 새 신뢰 스토어 리소스를 생성합니다.

  • 인증 기관(CA) 번들과 선택적으로 취소 목록을 업로드합니다.

  • 클라이언트 인증서를 확인하도록 구성된 리스너에 신뢰 스토어를 연결합니다.

이 섹션의 절차에 따라 의 Application Load Balancer에서 상호 TLS 확인 모드를 구성합니다 AWS Management Console. 콘솔 대신 API 작업을 TLS 사용하여 상호 구성하려면 Application Load Balancer API 참조 안내서를 참조하세요.

신뢰 스토어 생성

신뢰 스토어를 생성할 수 있는 세 가지 방법은 Application Load Balancer, 보안 리스너를 생성할 때, Trust Store 콘솔을 사용하는 것입니다. 로드 밸런서 또는 리스너를 생성할 때 신뢰 스토어를 추가하면 신뢰 스토어가 새 리스너와 자동으로 연결됩니다. Trust Store 콘솔을 사용하여 신뢰 스토어를 생성할 때는 리스너와 직접 연결해야 합니다.

이 섹션에서는 Trust Store 콘솔을 사용하여 신뢰 스토어를 생성하는 방법을 다루지만 Application Load Balancer 또는 리스너를 생성하는 데 사용되는 단계는 동일합니다. 자세한 내용은 로드 밸런서 및 리스너 구성 HTTPS리스너 생성을 참조하세요.

사전 조건:

  • 신뢰 스토어를 생성하려면 인증 기관(CA)의 인증서 번들이 있어야 합니다.

콘솔을 사용하여 신뢰 스토어를 생성하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어 생성을 선택합니다.

  4. Trust 스토어 구성

    1. 신뢰 스토어 이름에 신뢰 스토어의 이름을 입력합니다.

    2. 인증 기관 번들의 경우 신뢰 저장소에서 사용할 인증서 번들에 대한 Amazon S3 경로를 입력합니다.

      선택 사항: 객체 버전을 사용하여 이전 버전의 ca 인증서 번들을 선택합니다. 그렇지 않으면 현재 버전이 사용됩니다.

  5. 취소의 경우 선택적으로 신뢰 저장소에 인증서 취소 목록을 추가할 수 있습니다.

    1. 인증서 취소 목록에서 신뢰 저장소가 사용할 인증서 취소 목록의 Amazon S3 경로를 입력합니다.

      선택 사항: 객체 버전을 사용하여 인증서 취소 목록의 이전 버전을 선택합니다. 그렇지 않으면 현재 버전이 사용됩니다.

  6. Trust 스토어 태그의 경우 필요에 따라 최대 50개의 태그를 입력하여 신뢰 스토어에 적용할 수 있습니다.

  7. 신뢰 스토어 생성을 선택합니다.

신뢰 스토어 연결

신뢰 스토어를 생성한 후 Application Load Balancer가 신뢰 스토어 사용을 시작하기 전에 리스너와 연결해야 합니다. 각 보안 리스너에 하나의 신뢰 저장소만 연결할 수 있지만, 하나의 신뢰 저장소는 여러 리스너에 연결할 수 있습니다.

이 섹션에서는 신뢰 스토어를 기존 리스너에 연결하는 방법을 다룹니다. 또는 Application Load Balancer 또는 리스너를 생성하는 동안 신뢰 스토어를 연결할 수 있습니다. 자세한 내용은 로드 밸런서 및 리스너 구성 HTTPS리스너 생성을 참조하세요.

콘솔을 사용하여 신뢰 스토어를 연결하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택하여 세부 정보 페이지를 봅니다.

  4. 리스너 및 규칙 탭에서 프로토콜:포트 열의 링크를 선택하여 보안 리스너의 세부 정보 페이지를 엽니다.

  5. 보안 탭에서 보안 리스너 설정 편집을 선택합니다.

  6. (선택 사항) 상호 인증TLS이 활성화되지 않은 경우 클라이언트 인증서 처리에서 상호 인증(mTLS)을 선택한 다음 신뢰 스토어로 확인을 선택합니다.

  7. 신뢰 스토어 에서 생성한 신뢰 스토어를 선택합니다.

  8. Save changes(변경 사항 저장)를 선택합니다.

신뢰 스토어 세부 정보 보기

CA 인증서 번들

CA 인증서 번들은 신뢰 스토어의 필수 구성 요소입니다. 인증 기관에서 검증한 신뢰할 수 있는 루트 및 중간 인증서 모음입니다. 이러한 검증된 인증서는 클라이언트가 로드 밸런서가 제공하는 인증서를 소유한다고 신뢰할 수 있도록 합니다.

언제든지 신뢰 스토어에서 현재 CA 인증서 번들의 내용을 볼 수 있습니다.

CA 인증서 번들 보기

콘솔을 사용하여 CA 인증서 번들을 보려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업 을 선택한 다음 CA 번들 가져오기 를 선택합니다.

  5. 링크 공유 또는 다운로드를 선택합니다.

인증서 취소 목록

필요에 따라 신뢰 저장소에 대한 인증서 취소 목록을 생성할 수 있습니다. 취소 목록은 인증 기관에서 릴리스하며 취소된 인증서에 대한 데이터를 포함합니다. Application Load Balancer는 PEM 형식의 인증서 취소 목록만 지원합니다.

인증서 취소 목록이 신뢰 저장소에 추가되면 취소 ID가 부여됩니다. 트러스트 스토어에 추가된 모든 취소 목록에 대한 취소 IDs 증가로 변경할 수 없습니다. 인증서 취소 목록이 신뢰 스토어에서 삭제되면 해당 취소 ID도 삭제되고 신뢰 스토어 수명 동안 재사용되지 않습니다.

참고

Application Load Balancer는 인증서 취소 목록 내에서 음의 일련 번호가 있는 인증서를 취소할 수 없습니다.

인증서 취소 목록 보기

콘솔을 사용하여 취소 목록을 보려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 취소 목록 탭에서 작업 을 선택한 다음 취소 목록 가져오기 를 선택합니다.

  5. 링크 공유 또는 다운로드를 선택합니다.

신뢰 저장소 수정

신뢰 스토어에는 한 번에 하나의 CA 인증서 번들만 포함될 수 있지만 신뢰 스토어가 생성된 후 언제든지 CA 인증서 번들을 교체할 수 있습니다.

CA 인증서 번들 교체

콘솔을 사용하여 CA 인증서 번들을 교체하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업 을 선택한 다음 CA 번들 바꾸기 를 선택합니다.

  5. CA 번들 교체 페이지의 인증 기관 번들에서 원하는 CA 번들의 Amazon S3 위치를 입력합니다.

  6. (선택 사항) 객체 버전을 사용하여 인증서 취소 목록의 이전 버전을 선택합니다. 그렇지 않으면 현재 버전이 사용됩니다.

  7. CA 번들 교체 를 선택합니다.

인증서 취소 목록 추가

콘솔을 사용하여 취소 목록을 추가하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 취소 목록 탭에서 작업 을 선택한 다음 취소 목록 추가 를 선택합니다.

  5. 취소 목록 추가 페이지의 인증서 취소 목록에서 원하는 인증서 취소 목록의 Amazon S3 위치를 입력합니다.

  6. (선택 사항) 객체 버전을 사용하여 인증서 취소 목록의 이전 버전을 선택합니다. 그렇지 않으면 현재 버전이 사용됩니다.

  7. 취소 목록 추가를 선택합니다.

인증서 취소 목록 삭제

콘솔을 사용하여 취소 목록을 삭제하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 취소 목록 탭에서 작업 을 선택한 다음 취소 목록 삭제 를 선택합니다.

  5. 를 입력하여 삭제를 확인합니다confirm.

  6. 삭제를 선택합니다.

신뢰 스토어 삭제

신뢰 저장소에 더 이상 를 사용할 수 없는 경우 삭제할 수 있습니다.

참고: 현재 리스너와 연결된 신뢰 저장소는 삭제할 수 없습니다.

콘솔을 사용하여 신뢰 스토어를 삭제하려면

  1. 에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 Trust Stores를 선택합니다.

  3. 신뢰 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업 을 선택한 다음 신뢰 저장소 삭제 를 선택합니다.

  5. 를 입력하여 삭제를 확인합니다confirm.

  6. 삭제를 선택합니다.