Network Load Balancer의 서버 인증서 - Elastic Load Balancing
지원되는 키 알고리즘기본 인증서인증서 목록인증서 갱신

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Network Load Balancer의 서버 인증서

Network Load Balancer의 보안 리스너를 생성할 때는 로드 밸런서에 하나 이상의 인증서를 배포해야 합니다. 로드 밸런서에는 X.509 인증서(서버 인증서)가 필요합니다. 인증서는 인증 기관(CA)에서 발행한 디지털 형태의 ID 증명서입니다. 인증서에는 식별 정보, 유효 기간, 퍼블릭 키, 일련번호, 발행자의 디지털 서명이 들어 있습니다.

로드 밸런서와 함께 사용할 인증서를 생성할 때 도메인 이름을 지정해야 합니다. 인증서의 도메인 이름은 TLS 연결을 확인할 수 있도록 사용자 지정 도메인 이름 레코드와 일치해야 합니다. 두 값이 일치하지 않는 경우 트래픽이 암호화되지 않습니다.

와 같은 인증서의 정규화된 도메인 이름(FQDN) www.example.com 또는와 같은 첨부 도메인 이름을 지정해야 합니다example.com. 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com은 보호하지만 test.login.example.com을 보호할 수는 없습니다. 또한 *.example.comexample.com의 하위 도메인만 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 와일드카드 이름은 주체 필드와 인증서의 주체 대체 이름 확장에 표시됩니다. 퍼블릭 인증서 요청에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서퍼블릭 인증서 요청을 참조하세요.

AWS Certificate Manager (ACM)를 사용하여 로드 밸런서에 대한 인증서를 생성하는 것이 좋습니다. ACM는 Elastic Load Balancing과 통합되어 로드 밸런서에 인증서를 배포할 수 있습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하십시오.

또는 TLS 도구를 사용하여 인증서 서명 요청(CSR)을 생성한 다음 CA가 서명한 CSR를 가져와 인증서를 생성한 다음 인증서를 ACM로 가져오거나 인증서를 AWS Identity and Access Management (IAM)에 업로드할 수 있습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서인증서 가져오기 또는 IAM 사용 설명서의 서버 인증서 작업을 참조하세요.

지원되는 키 알고리즘

  • RSA 1024비트

  • RSA 2048비트

  • RSA 3072비트

  • ECDSA 256비트

  • ECDSA 384비트

  • ECDSA 521비트

기본 인증서

TLS 리스너를 생성할 때는 정확히 하나의 인증서를 지정해야 합니다. 이 인증서를 기본 인증서라고 합니다. TLS 리스너를 생성한 후 기본 인증서를 교체할 수 있습니다. 자세한 내용은 기본 인증서 교체 단원을 참조하십시오.

인증서 목록에 추가 인증서를 지정하는 경우 기본 인증서는 클라이언트가 서버 이름 표시(SNI) 프로토콜을 사용하여 호스트 이름을 지정하지 않고 연결하거나 인증서 목록에 일치하는 인증서가 없는 경우에만 사용됩니다.

추가 인증서를 지정하지 않지만 단일 로드 밸런서를 통해 여러 보안 애플리케이션을 호스팅해야 하는 경우 와일드카드 인증서를 사용하거나 인증서에 각 추가 도메인에 대한 주체 대체 이름(SAN)을 추가할 수 있습니다.

인증서 목록

TLS 리스너를 생성한 후에는 기본 인증서와 빈 인증서 목록이 있습니다. 필요에 따라 리스너의 인증서 목록에 인증서를 추가할 수 있습니다. 인증서 목록을 사용하면 로드 밸런서가 동일한 포트의 여러 도메인을 지원하고 각 도메인에 대해 다른 인증서를 제공할 수 있습니다. 자세한 내용은 인증서 목록에 인증서 추가 단원을 참조하십시오.

로드 밸런서는 SNI를 지원하는 스마트 인증서 선택 알고리즘을 사용합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 단일 인증서와 일치하면 로드 밸런서는 이 인증서를 선택합니다. 클라이언트가 제공한 호스트 이름이 인증서 목록의 여러 인증서와 일치하면 로드 밸런서는 클라이언트가 지원할 수 있는 최선의 인증서를 선택합니다. 인증서 선택은 다음 조건에 따라 다음 순서대로 이루어집니다.

  • 해싱 알고리즘(SHA 대신 MD5 선호)

  • 키 길이(가장 큰 길이 선호)

  • 유효 기간

로드 밸런서 액세스 로그 항목은 클라이언트가 지정한 호스트 이름과 클라이언트에 제공된 인증서를 나타냅니다. 자세한 내용은 액세스 로그 항목 단원을 참조하세요.

인증서 갱신

각 인증서에는 유효 기간이 있습니다. 유효 기간이 끝나기 전에 로드 밸런서의 각 인증서를 갱신 또는 교체해야 합니다. 여기에는 기본 인증서와 인증서 목록의 인증서가 포함됩니다. 인증서를 갱신 또는 교체해도 로드 밸런서 노드에 수신되어 상태가 양호한 대상으로 라우팅이 보류 중인 진행 중 요청에는 영향을 주지 않습니다. 인증서를 갱신하면 새 요청에서 갱신된 인증서를 사용합니다. 인증서를 교체하면 새 요청에서 새 인증서를 사용합니다.

인증서 갱신 및 교체를 다음과 같이 관리할 수 있습니다.

  • 에서 제공하고 로드 밸런서에 AWS Certificate Manager 배포된 인증서는 자동으로 갱신할 수 있습니다. ACM는 인증서가 만료되기 전에 갱신을 시도합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.

  • 인증서를 ACM로 가져온 경우 인증서의 만료 날짜를 모니터링하고 만료되기 전에 인증서를 갱신해야 합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 인증서 가져오기를 참조하세요.

  • 인증서를 IAM로 가져온 경우 새 인증서를 생성하고, 새 인증서를 ACM 또는 IAM로 가져오고, 로드 밸런서에 새 인증서를 추가하고, 로드 밸런서에서 만료된 인증서를 제거해야 합니다.