AWS Certificate Manager 퍼블릭 인증서 특성 및 제한 사항

Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari 등 모든 주요 브라우저에서 ACM 인증서를 신뢰합니다. 브라우저는 TLS에 의해 ACM 인증서를 사용하여 사이트에 연결될 때 자물쇠 아이콘을 표시합니다. Java는 ACM 인증서도 신뢰합니다.

ACM을 통해 요청하는 공인 인증서는 아마존 관리형 퍼블릭 인증 기관(CA)인 Amazon Trust Services에서 제공합니다. Amazon Root CA 1~4는 Starfield G2 Root Certificate Authority - G2에 의해 상호 서명됩니다. Starfield 루트는 Android(최신 Gingerbread 버전) 및 iOS(버전 4.1 이상)에서 신뢰할 수 있습니다. Amazon 루트는 iOS 11 이상에서 신뢰할 수 있습니다. Amazon 또는 Starfield 루트가 포함된 모든 브라우저, 애플리케이션 또는 OS는 ACM 퍼블릭 인증서를 신뢰합니다.

ACM은 인증서 유형(RSA 또는 ECDSA)을 기반으로 무작위 할당된 중간 CA를 통해 고객에게 리프 또는 최종 엔터티 인증서를 발급합니다. 이 무작위 선택으로 인해 ACM은 중간 CA 정보를 제공하지 않습니다.

ACM 인증서는 도메인 검증을 거쳐 도메인 이름만 식별합니다. ACM 인증서를 요청할 때는 지정된 모든 도메인의 소유권 또는 제어권을 증명해야 합니다. 이메일 혹은 DNS를 사용해 소유권을 검증할 수 있습니다. 자세한 내용은 AWS Certificate Manager 이메일 검증 및 AWS Certificate Manager DNS 검증(을)를 참조하세요.

ACM은 CloudFront에서 사용할 퍼블릭 TLS 인증서를 발급할 때 도메인 소유권 확인을 위한 HTTP 검증을 지원합니다. 이 방식은 HTTP 리디렉션을 사용하여 도메인 소유권을 증명하고 DNS 검증과 유사한 자동 갱신을 제공합니다. HTTP 검증은 현재 CloudFront Distribution Tenants 기능을 통해서만 사용할 수 있습니다.

HTTP 검증을 위해 ACM은 RedirectFrom URL 및 RedirectTo URL을 제공합니다. 도메인 제어권을 증명하려면 RedirectFrom에서 RedirectTo로의 리디렉션을 설정해야 합니다. RedirectFrom URL에는 검증된 도메인이 포함되는 반면, RedirectTo는 고유한 검증 토큰이 포함된 CloudFront 인프라의 ACM 제어 위치를 가리킵니다.

다른 서비스에서 관리하는 ACM의 인증서는 ManagedBy 필드에 해당 서비스의 ID를 보여줍니다. CloudFront에서 HTTP 검증을 사용하는 인증서의 경우 이 필드에 "CLOUDFRONT"가 표시됩니다. 이러한 인증서는 CloudFront를 통해서만 사용할 수 있습니다. ManagedBy 필드는 DescribeCertificate 및 ListCertificates API와 ACM 콘솔의 인증서 인벤토리 및 세부 정보 페이지에 표시됩니다.

ManagedBy 필드는 "Can be used with" 속성과 상호 배타적입니다. CloudFront 관리형 인증서의 경우 다른 AWS 서비스를 통해 새 용도를 추가할 수 없습니다. 이러한 인증서는 CloudFront API를 통해서만 더 많은 리소스에 사용할 수 있습니다.

Amazon은 복원력이 뛰어난 인증서 인프라를 유지하기 위해 통지 없이 중간 CA를 중단할 수 있습니다. 이러한 변경 사항은 고객에게 영향을 주지 않습니다. 자세한 내용은 "Amazon introduces dynamic intermediate certificate authorities(Amazon, 동적 중간 인증 기관 도입)"를 참조하세요.

Amazon이 루트 CA를 중단하는 경우, 필요에 따라 빠르게 변경이 이루어집니다. Amazon은 AWS 고객에게 알리기 위해 AWS Health Dashboard, 이메일 및 기술 계정 관리자 연락을 포함하여 사용 가능한 모든 방법을 동원합니다.

취소된 최종 엔터티 인증서는 OCSP 및 CRL을 사용하여 취소 정보를 확인하고 게시합니다. 이러한 메커니즘을 허용하기 위해 일부 고객 방화벽에 추가 규칙이 필요할 수 있습니다.

다음 URL 와일드카드 패턴을 사용하여 취소 트래픽을 식별합니다.

별표(*) 와일드카드는 하나 이상의 영숫자 문자에 해당하고, 물음표(?)는 단일 영숫자를 나타내고, 해시 마크(#)는 숫자를 나타냅니다.

인증서는 반드시 알고리즘과 키 크기를 지정해야 합니다. ACM은 다음과 같은 RSA 및 ECDSA 퍼블릭 키 알고리즘을 지원합니다.

ACM에서는 별표(*)로 표시된 알고리즘을 사용하여 새 인증서를 요청할 수 있습니다. 기타 알고리즘은 가져온 인증서에만 사용됩니다.

ECDSA 키는 유사한 보안 수준의 RSA 키보다 작고 컴퓨팅 효율성이 뛰어나지만 모든 네트워크 클라이언트가 ECDSA를 지원하는 것은 아닙니다. NIST에서 발췌한 이 표는 RSA 및 ECDSA 키 크기(비트)를 비교하여 동등한 보안 강도를 제공합니다.

2의 거듭제곱으로 표현되는 보안 강도는 암호를 해제하는 데 필요한 추측의 수와 연관되어 있습니다. 예를 들어 3072비트 RSA 키와 256비트 ECDSA 키는 모두 2¹²⁸회 이하의 추측으로 검색이 가능합니다.

알고리즘을 선택하는 데 도움이 되는 정보는 AWS 블로그 게시물 AWS Certificate Manager에서 ECDSA 인증서를 평가하고 사용하는 방법을 참조하세요.

ACM은 ACM 인증서의 갱신 및 프로비저닝을 관리합니다. 자동 갱신은 잘못된 구성, 취소 또는 만료된 인증서로 인한 가동 중지를 방지하는 데 도움이 됩니다. 자세한 내용은 AWS Certificate Manager에서 관리형 인증서 갱신 섹션을 참조하세요.

각 ACM 인증서에는 하나 이상의 정규화된 도메인 이름(FQDN)이 포함되어 있어야 하며 이름을 추가할 수 있습니다. 예를 들어 www.example.com에 대한 인증서에는 www.example.net도 포함될 수 있습니다. 이는 베어 도메인(zone apex 또는 네이키드 도메인)에도 적용됩니다. www.example.com에 대한 인증서를 요청하고 example.com을 추가할 수 있습니다. 자세한 내용은 AWS Certificate Manager 퍼블릭 인증서 섹션을 참조하세요.

다국어 도메인 이름에 대한 다음 Punycode 요구 사항을 충족해야 합니다.

ACM 인증서는 13개월(395일) 동안 유효합니다.

ACM은 도메인 이름에 별표(*)를 사용하여 동일한 도메인에서 여러 사이트를 보호할 수 있는 와일드카드 인증서를 생성할 수 있게 해 줍니다. 예를 들어 *.example.com은 www.example.com 및 images.example.com을 보호합니다.

와일드카드 인증서에서 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호합니다. 예를 들어, *.example.com은 login.example.com 및 test.example.com을 보호하지만 test.login.example.com은 보호하지 않습니다. 또한 *.example.com은 의 하위 도메인만 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 않습니다. example.com 및 *.example.com과 같은 여러 도메인 이름을 지정하여 베어 도메인과 해당 하위 도메인 모두에 대한 인증서를 요청할 수 있습니다.