Application Load Balancer에서 상호 TLS 구성 - Elastic Load Balancing
트러스트 스토어 생성트러스트 스토어 연결트러스트 스토어 세부 정보 보기트러스트 스토어 수정트러스트 스토어 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer에서 상호 TLS 구성

이 섹션에는 Application Load Balancer에서 인증하기 위한 상호 TLS 확인 모드를 구성하는 절차가 포함되어 있습니다.

상호 TLS 패스스루 모드를 사용하려면 클라이언트의 인증서를 수락하도록 리스너를 구성하기만 하면 됩니다. 상호 TLS 패스스루를 사용하는 경우 Application Load Balancer는 HTTP 헤더를 사용하여 전체 클라이언트 인증서 체인을 대상으로 전송하므로 애플리케이션에서 해당 인증 및 권한 부여 로직을 구현할 수 있습니다. 자세한 내용은 Application Load Balancer에 대한 HTTPS 리스너 생성을 참조하세요.

상호 TLS 확인 모드를 사용하는 경우 Application Load Balancer는 로드 밸런서가 TLS 연결을 협상할 때 클라이언트에 대해 X.509 클라이언트 인증서 인증을 수행합니다.

상호 TLS 확인 모드를 사용하려면 다음을 수행합니다.

  • 새 트러스트 스토어 리소스를 생성합니다.

  • 인증 기관(CA) 번들 및 선택적으로 해지 목록을 업로드합니다.

  • 클라이언트 인증서를 확인하도록 구성된 리스너에 트러스트 스토어를 연결합니다.

AWS Management Console에서 이 섹션의 절차에 따라 Application Load Balancer에서 상호 TLS 확인 모드를 구성합니다. 콘솔 대신 API 작업을 사용하여 상호 TLS를 구성하려면 Application Load Balancer API 참조 안내서를 참조하세요.

트러스트 스토어 생성

트러스트 스토어를 생성할 수 있는 세 가지 방법은 Application Load Balancer를 생성할 때, 보안 리스너를 생성할 때, Trust Store 콘솔 사용입니다. 로드 밸런서 또는 리스너를 생성할 때 트러스트 스토어를 추가하면 트러스트 스토어가 새 리스너와 자동으로 연결됩니다. Trust Store 콘솔을 사용하여 트러스트 스토어를 생성할 때는 수동으로 리스너와 연결해야 합니다.

이 섹션에서는 Trust Store 콘솔을 사용하여 트러스트 스토어를 생성하는 방법을 다루지만 Application Load Balancer 또는 리스너를 생성할 때 사용되는 단계도 동일합니다. 자세한 내용은 로드 밸런서 및 리스너 구성HTTPS 리스너 생성을 참조하세요.

사전 조건:

  • 트러스트 스토어를 생성하려면 인증 기관(CA)의 인증서 번들이 있어야 합니다.

콘솔을 사용하여 트러스트 스토어를 생성하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어 생성을 선택합니다.

  4. 트러스트 스토어 구성

    1. 트러스트 스토어 이름에 트러스트 스토어의 이름을 입력합니다.

    2. 인증 기관 번들에 트러스트 스토어가 사용할 인증서 번들의 Amazon S3 경로를 입력합니다.

      선택 사항: 객체 버전을 사용하여 이전 버전의 ca 인증서 번들을 선택합니다. 그러지 않으면 현재 버전이 사용됩니다.

  5. 해지에서 선택적으로 트러스트 스토어에 인증서 해지 목록을 추가할 수 있습니다.

    1. 인증서 해지 목록에 트러스트 스토어가 사용할 인증서 해지 목록의 Amazon S3 경로를 입력합니다.

      선택 사항: 객체 버전을 사용하여 이전 버전의 인증서 해지 목록을 선택합니다. 그러지 않으면 현재 버전이 사용됩니다.

  6. 트러스트 스토어 태그에서 필요에 따라 최대 50개의 태그를 입력하여 트러스트 스토어에 적용할 수 있습니다.

  7. 트러스트 스토어 생성을 선택합니다.

트러스트 스토어 연결

트러스트 스토어를 생성한 후에는 리스너와 연결해야 Application Load Balancer가 트러스트 스토어를 사용할 수 있습니다. 각 보안 리스너에 하나의 트러스트 스토어만 연결할 수 있지만 여러 리스너에 하나의 트러스트 스토어를 연결할 수 있습니다.

이 섹션에서는 트러스트 스토어를 기존 리스너에 연결하는 방법을 다룹니다. Application Load Balancer 또는 리스너를 생성하는 동안에도 트러스트 스토어를 연결할 수 있습니다. 자세한 내용은 로드 밸런서 및 리스너 구성HTTPS 리스너 생성을 참조하세요.

콘솔을 사용하여 트러스트 스토어를 연결하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택하여 세부 정보 페이지를 봅니다.

  4. 리스너 및 규칙 탭에서 프로토콜:포트 열의 링크를 선택하여 보안 리스너에 대한 세부 정보 페이지를 엽니다.

  5. 보안 탭에서 보안 리스너 설정 편집을 선택합니다.

  6. (선택 사항) 상호 TLS가 활성화되지 않은 경우 클라이언트 인증서 처리에서 상호 인증(mTLS)을 선택한 다음 트러스트 스토어로 확인을 선택합니다.

  7. 트러스트 스토어에서 생성한 트러스트 스토어를 선택합니다.

  8. Save changes(변경 사항 저장)를 선택합니다.

트러스트 스토어 세부 정보 보기

CA 인증서 번들

CA 인증서 번들은 트러스트 스토어의 필수 구성 요소입니다. 인증 기관에서 검증한 신뢰할 수 있는 루트 및 중간 인증서 모음입니다. 클라이언트는 이러한 검증된 인증서를 통해 로드 밸런서가 제시되는 인증서를 소유하고 있음을 신뢰할 수 있습니다.

언제든지 트러스트 스토어에서 현재 CA 인증서 번들의 내용을 볼 수 있습니다.

CA 인증서 번들 보기

콘솔을 사용하여 CA 인증서 번들을 보려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업을 선택한 다음 CA 번들 가져오기를 선택합니다.

  5. 링크 공유 또는 다운로드를 선택합니다.

인증서 해지 목록

필요에 따라 트러스트 스토어를 위한 인증서 해지 목록을 생성할 수 있습니다. 해지 목록은 인증 기관에서 릴리스하며 해지된 인증서에 대한 데이터를 포함합니다. Application Load Balancer는 PEM 형식의 인증서 해지 목록만 지원합니다.

인증서 해지 목록은 트러스트 스토어에 추가되면 해지 ID가 부여됩니다. 해지 ID는 트러스트 스토어에 추가된 모든 해지 목록에 대해 증가하며 변경할 수 없습니다. 인증서 해지 목록이 트러스트 스토어에서 삭제되면 해당 해지 ID도 삭제되고 트러스트 스토어 수명 동안 재사용되지 않습니다.

참고

Application Load Balancer는 인증서 해지 목록 내에서 음의 일련 번호가 있는 인증서를 해지할 수 없습니다.

인증서 해지 목록 보기

콘솔을 사용하여 해지 목록을 보려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 해지 목록 탭에서 작업을 선택한 다음 해지 목록 가져오기를 선택합니다.

  5. 링크 공유 또는 다운로드를 선택합니다.

트러스트 스토어 수정

트러스트 스토어에는 한 번에 하나의 CA 인증서 번들만 포함될 수 있지만 트러스트 스토어가 생성된 후 언제든지 CA 인증서 번들을 교체할 수 있습니다.

CA 인증서 번들 교체

콘솔을 사용하여 CA 인증서 번들을 교체하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업을 선택한 다음 CA 번들 교체를 선택합니다.

  5. CA 번들 교체 페이지의 인증 기관 번들에서 원하는 CA 번들의 Amazon S3 위치를 입력합니다.

  6. (선택 사항) 객체 버전을 사용하여 이전 버전의 인증서 해지 목록을 선택합니다. 그러지 않으면 현재 버전이 사용됩니다.

  7. CA 번들 교체를 선택합니다.

인증서 해지 목록 추가

콘솔을 사용하여 해지 목록을 추가하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 해지 목록 탭에서 작업을 선택한 다음 해지 목록 추가를 선택합니다.

  5. 해지 목록 추가 페이지의 인증서 해지 목록에서 원하는 인증서 해지 목록의 Amazon S3 위치를 입력합니다.

  6. (선택 사항) 객체 버전을 사용하여 이전 버전의 인증서 해지 목록을 선택합니다. 그러지 않으면 현재 버전이 사용됩니다.

  7. 해지 목록 추가를 선택합니다.

인증서 해지 목록 삭제

콘솔을 사용하여 해지 목록을 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 인증서 해지 목록 탭에서 작업을 선택한 다음 해지 목록 삭제를 선택합니다.

  5. confirm을 입력하여 삭제를 확인합니다.

  6. 삭제를 선택합니다.

트러스트 스토어 삭제

더 이상 사용할 필요가 없는 트러스트 스토어를 삭제할 수 있습니다.

참고: 현재 리스너와 연결되어 있는 트러스트 스토어는 삭제할 수 없습니다.

콘솔을 사용하여 트러스트 스토어를 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 트러스트 스토어를 선택합니다.

  3. 트러스트 스토어를 선택하여 세부 정보 페이지를 봅니다.

  4. 작업을 선택한 다음 트러스트 스토어 삭제를 선택합니다.

  5. confirm을 입력하여 삭제를 확인합니다.

  6. 삭제를 선택합니다.