CloudFront 배포 테넌트에 대한 인증서 요청 - Amazon CloudFront
도메인 및 인증서 추가(분산 테넌트)도메인 설정 완료도메인을 CloudFront로 가리키기도메인 고려 사항(배포 테넌트)

CloudFront 배포 테넌트에 대한 인증서 요청

배포 테넌트를 만들면 테넌트는 다중 테넌트 배포에서 공유 AWS Certificate Manager(ACM) 인증서를 상속합니다. 이 공유 인증서는 다중 테넌트 배포와 연결된 모든 테넌트에 HTTPS를 제공합니다.

CloudFront 배포 테넌트를 만들거나 업데이트하여 도메인을 추가할 때 ACM에서 관리형 CloudFront 인증서를 추가할 수 있습니다. 그런 다음 CloudFront는 사용자를 대신하여 ACM에서 HTTP 검증 인증서를 가져옵니다. 이 테넌트 수준 ACM 인증서를 사용자 지정 도메인 구성에 사용할 수 있습니다. CloudFront는 갱신 워크플로를 간소화하여 인증서를 최신 상태로 유지하고 콘텐츠 전송을 중단 없이 보호합니다.

참고

인증서를 소유하고 있지만 CloudFront 리소스에만 사용할 수 있으며 프라이빗 키는 내보낼 수 없습니다.

배포 테넌트를 만들거나 업데이트할 때 인증서를 요청할 수 있습니다.

도메인 및 인증서 추가(분산 테넌트)

다음 절차에서는 도메인을 추가하고 배포 테넌트의 인증서를 업데이트하는 방법을 보여줍니다.

도메인 및 인증서를 추가하려면(배포 테넌트) 다음과 같이 합니다.

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/cloudfront/v4/home에서 CloudFront 콘솔을 엽니다.

  2. SaaS에서 배포 테넌트를 선택합니다.

  3. 배포 테넌트를 검색합니다. 검색 창의 드롭다운 메뉴를 사용하여 도메인, 이름, 배포 ID, 인증서 ID, 연결 그룹 ID 또는 웹 ACL ID를 기준으로 필터링합니다.

  4. 배포 테넌트 이름을 선택합니다.

  5. 도메인에서 도메인 관리를 선택합니다.

  6. 인증서에서 배포 테넌트에 대한 사용자 지정 TLS 인증서를 원하는지 선택합니다. 인증서는 도메인 이름을 사용할 권한이 있는지 확인합니다. 미국 동부(버지니아 북부) 리전에서 인증서를 가져와야 합니다.

  7. 도메인에서 도메인 추가를 선택하고 도메인 이름을 입력합니다. 배포 테넌트에 최대 5개의 도메인을 추가할 수 있습니다. 도메인에 따라 입력한 도메인 이름 아래에 다음 메시지가 표시됩니다.

    • 이 도메인은 인증서의 적용을 받습니다.

    • 이 도메인은 검증 보류 중인 인증서의 적용을 받습니다.

    • 이 도메인은 인증서의 적용을 받지 않습니다. (즉, 도메인 소유권을 확인해야 합니다.)

  8. 배포 테넌트 업데이트를 선택합니다.

    테넌트 세부 정보 페이지의 도메인에서 다음 필드를 볼 수 있습니다.

    • 도메인 소유권 - 도메인 소유권의 상태입니다. CloudFront가 콘텐츠를 제공할 수 있으려면 먼저 TLS 인증서 검증을 사용하여 도메인 소유권을 확인해야 합니다.

    • DNS 상태 - 트래픽을 올바르게 라우팅하려면 도메인의 DNS 레코드가 CloudFront를 가리켜야 합니다.

  9. 도메인 소유권이 확인되지 않은 경우 테넌트 세부 정보 페이지의 도메인에서 도메인 설정 완료를 선택한 다음, 다음 절차를 완료하여 DNS 레코드가 CloudFront 도메인 이름을 가리키도록 합니다.

도메인 설정 완료

다음 절차에 따라 배포 테넌트의 도메인을 소유하고 있는지 확인합니다. 도메인에 따라 다음 절차 중 하나를 선택합니다.

참고

도메인이 이미 Amazon Route 53 별칭 레코드가 있는 CloudFront를 가리키는 경우 도메인 이름 앞에 _cf-challenge.를 사용하여 DNS TXT 레코드를 추가해야 합니다. 이 TXT 레코드는 도메인 이름이 CloudFront에 연결되어 있는지 확인합니다. 각 도메인에 대해 이 단계를 반복합니다. 다음에 TXT 레코드의 예제가 나와 있습니다.

  • 레코드 이름: _cf-challenge.example.com

  • 레코드 유형: TXT

  • 레코드 값: d111111abcdef8.cloudfront.net

레코드는 _cf-challenge.example.com TXT d111111abcdef8.cloudfront.net로 표시됩니다.

I have existing traffic

도메인이 가동 중지 시간을 허용할 수 없는 경우 이 옵션을 선택합니다. 오리진/웹 서버에 액세스할 수 있어야 합니다. 다음 절차에 따라 도메인 소유권을 검증합니다.

기존 트래픽이 있을 때 도메인 설정을 완료하려면 다음과 같이 합니다.

  1. 웹 트래픽 지정에서 기존 트래픽이 있음을 선택한 후 다음을 선택합니다.

  2. 도메인 소유권 확인에서 다음 옵션 중 하나를 선택합니다.

    • 기존 인증서 사용 - 기존 ACM 인증서를 검색하거나 나열된 도메인을 포함하는 인증서 ARN을 입력합니다.

    • 수동 파일 업로드 - 웹 서버에 파일을 업로드할 수 있는 직접 액세스 권한이 있는 경우 선택합니다.

      각 도메인에 대한 토큰 위치에서 검증 토큰이 포함된 일반 텍스트 파일을 만들고 기존 서버의 지정된 파일 경로에서 오리진에 업로드합니다. 예를 들어 이 파일에 대한 경로는 다음(/.well-known/pki-validation/acm_9c2a7b2ec0524d09fa6013efb73ad123.txt)과 같을 수 있습니다. 이 단계를 완료하면 ACM은 토큰을 확인한 다음, 도메인에 대한 TLS 인증서를 발급합니다.

    • HTTP 리디렉션 - 웹 서버에 파일을 업로드할 수 있는 직접 액세스 권한이 없거나 CDN 또는 프록시 서비스를 사용하는 경우 선택합니다.

      각 도메인에서 기존 서버에 301 리디렉션을 만듭니다. 다음에서 리디렉션에서 잘 알려진 경로를 복사하고 다음으로 리디렉션에서 지정된 인증서 엔드포인트를 가리킵니다. 리디렉션은 다음 예제와 비슷할 수 있습니다.

      If the URL matches: example.com/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
Then the settings are:Forwarding URL
Then 301 Permanent Redirect:To validation.us-east-1.acm-validations.aws/123456789012/.well-known/pki-validation/leabe938a4fe077b31e1ff62b781c123.txt
    참고

    인증서 상태 확인을 선택하여 ACM이 도메인에 대한 인증서를 발급하는 경우를 확인할 수 있습니다.

  3. 다음을 선택합니다.

  4. 도메인을 CloudFront로 가리키기의 단계를 완료합니다.

I don't have traffic

새 도메인을 추가하는 경우 이 옵션을 선택합니다. CloudFront에서 인증서 검증을 관리합니다.

트래픽이 없는 경우 도메인 설정을 완료하려면 다음과 같이 합니다.

  1. 웹 트래픽 지정에서 아직 트래픽이 없음을 선택합니다.

  2. 각 도메인 이름에서 도메인을 CloudFront로 가리키기의 단계를 완료합니다.

  3. 각 도메인 이름에서 DNS 레코드를 업데이트한 후 다음을 선택합니다.

  4. 인증서가 발급될 때까지 기다립니다.

    참고

    인증서 상태 확인을 선택하여 ACM이 도메인에 대한 인증서를 발급하는 경우를 확인할 수 있습니다.

  5. 제출을 선택합니다.

도메인을 CloudFront로 가리키기

DNS 레코드를 업데이트하여 각 도메인의 트래픽을 CloudFront 라우팅 엔드포인트로 라우팅합니다. 여러 도메인 이름을 가질 수 있지만 이 엔드포인트로 해결되어야 합니다.

도메인을 CloudFront로 가리키려면 다음과 같이 합니다.

  1. d111111abcdef8.cloudfront.net 등의 CloudFront 라우팅 엔드포인트 값을 복사합니다.

  2. DNS 레코드를 업데이트하여 각 도메인의 트래픽을 CloudFront 라우팅 엔드포인트로 라우팅합니다.

    1. 도메인 등록 또는 DNS 공급자의 관리 콘솔에 로그인합니다.

    2. 도메인의 DNS 관리 섹션으로 이동합니다.

      • 하위 도메인 - CNAME 레코드를 만듭니다. 예시:

        • 이름 - 하위 도메인(예: www 또는 app)

        • 값/대상 - CloudFront 라우팅 엔드포인트

        • 레코드 유형 - CNAME

        • TTL – 3600(또는 사용 사례에 적합한 것)

      • apex/루트 도메인 - DNS 공급자로부터 apex 도메인 리디렉션을 허용하는 ALIAS 레코드(Route 53) 또는 유사한 기능을 만듭니다. 예를 들어 Route 53에서는 다음과 같습니다.

        • 이름 - apex 도메인(예: example.com)

        • 레코드 유형 - A

        • 별칭 - 예

        • 별칭 대상 - CloudFront 라우팅 엔드포인트

        • 라우팅 정책 - 단순(또는 사용 사례에 적합한 것)

    3. DNS 변경 사항이 채워졌는지 확인합니다. (최대 24~48시간 소요) dig 또는 nslookup 등의 도구를 사용합니다.

      dig www.example.com
# Should eventually return a CNAME pointing to your CloudFront routing endpoint

  3. CloudFront 콘솔로 이동하여 제출을 선택합니다. 그러면 배포 테넌트 페이지로 돌아갑니다. 도메인이 활성 상태이면 CloudFront는 도메인이 트래픽을 처리할 준비가 되었음을 나타내도록 도메인 상태를 업데이트합니다.

도메인 고려 사항(배포 테넌트)

도메인이 활성 상태이면 도메인 제어가 설정되고 CloudFront는 이 도메인에 대한 모든 뷰어 요청에 응답합니다. 활성화되면 도메인을 비활성화하거나 비활성 상태로 변경할 수 없습니다. 이미 사용 중인 동안에는 도메인을 다른 CloudFront 리소스와 연결할 수 없습니다. 도메인을 다른 배포와 연결하려면 UpdateDomainAssociation 요청을 사용하여 도메인을 한 CloudFront 리소스에서 다른 CloudFront 리소스로 이전합니다.

도메인이 비활성 상태이면 CloudFront는 도메인에 대한 뷰어 요청에 응답하지 않습니다. 도메인이 비활성 상태일 때 다음 사항에 유의합니다.

  • 보류 중인 인증서 요청이 있는 경우 CloudFront는 잘 알려진 경로에 대한 요청에 응답합니다. 요청이 보류 중인 동안에는 도메인을 다른 CloudFront 리소스와 연결할 수 없습니다.

  • 보류 중인 인증서 요청이 없는 경우 CloudFront는 도메인에 대한 요청에 응답하지 않습니다. 도메인을 다른 CloudFront 리소스와 연결할 수 있습니다.

  • 배포 테넌트당 보류 중인 인증서 요청은 하나만 가질 수 있습니다. 추가 도메인에 대해 다른 인증서를 요청하려면 먼저 보류 중인 기존 요청을 취소해야 합니다. 기존 인증서 요청을 취소해도 연결된 ACM 인증서는 삭제되지 않습니다. ACM API를 사용하여 인증서를 삭제할 수 있습니다.

  • 배포 테넌트에 새 인증서를 적용하면 이전 인증서의 연결이 해제됩니다. 인증서를 재사용하여 다른 배포 테넌트의 도메인을 덮을 수 있습니다.

DNS 검증 인증서 갱신과 마찬가지로 인증서 갱신이 성공하면 알림이 전송됩니다. 하지만 사용자는 조치를 취할 필요가 없습니다. CloudFront는 도메인의 인증서 갱신을 자동으로 관리합니다.

참고

인증서 리소스를 만들거나 업데이트하기 위해 ACM API 작업을 호출할 필요가 없습니다. CreateDistributionTenantUpdateDistributionTenant API 작업을 사용하여 관리형 인증서 요청에 대한 세부 정보를 지정하여 인증서를 관리할 수 있습니다.