AWS Certificate Manager HTTP 검증 - AWS 인증서 관리자
ACM에 대한 HTTP 리디렉션 작동 방식HTTP 검증 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Certificate Manager HTTP 검증

Hypertext Transfer Protocol(HTTP)은 월드 와이드 웹에서의 데이터 통신을 위한 기본 프로토콜입니다. CloudFront에 사용되는 인증서에 대해 HTTP 검증을 선택하면 ACM은 이 프로토콜을 활용하여 도메인 소유권을 검증합니다. ACM은 CloudFront와 함께 작동하여 특정 URL을 제공하고 도메인의 해당 URL에서 액세스할 수 있어야 하는 고유한 토큰을 제공합니다. 이 토큰은 도메인에 대한 통제권이 있다는 증거 역할을 합니다. 도메인에서 CloudFront 인프라 내의 ACM 제어 위치로 리디렉션을 설정하는 것은 도메인의 콘텐츠를 수정할 수 있는 기능을 보여주는 것이며 결과적으로 소유권을 검증해 줍니다. ACM과 CloudFront 간의 원활한 통합은 특히 CloudFront 배포의 경우 인증서 발급 프로세스를 간소화합니다.

중요

HTTP 검증은 와일드카드 도메인 인증서(예: *.example.com)를 지원하지 않습니다. 와일드카드 인증서의 경우 DNS 검증 또는 이메일 검증을 대신 사용해야 합니다.

예를 들어 CloudFront로 www.example.com을 추가 이름으로 사용하는 example.com 도메인에 대한 인증서를 요청하는 경우 ACM은 HTTP 검증을 위한 두 세트의 URL을 제공합니다. 각 세트에는 도메인 및 AWS 계정을 위해 특별히 생성된 redirectFrom URL과 redirectTo URL이 포함됩니다. redirectFrom URL은 구성해야 하는 도메인의 경로(예: http://example.com/.well-known/pki-validation/example.txt)입니다. redirectTo URL은 고유한 검증 토큰이 저장된 CloudFront 인프라 내의 ACM 제어 위치를 가리킵니다. 이러한 리디렉션은 한 번만 설정하면 됩니다. 인증 기관은 도메인 소유권의 검증을 시도할 때 redirectFrom URL에서 파일을 요청하고, 이 URL은 CloudFront에서 redirectTo URL로 리디렉션하여 검증 토큰에 대한 액세스를 허용합니다. 인증서가 CloudFront에서 사용 중이고 리디렉션이 여전히 존재하는 한 ACM은 인증서를 자동으로 갱신합니다.

CloudFront를 사용하여 정규화된 도메인 이름(FQDN)에 대한 HTTP 검증을 설정했으면 HTTP 리디렉션이 그대로 유지되는 한 검증 프로세스를 반복하지 않고 해당 FQDN에 대한 추가 ACM 인증서를 요청할 수 있습니다. 이는 도메인 이름이 동일한 대체 인증서 또는 다른 하위 도메인을 포함하는 인증서를 만들 수 있음을 의미합니다. HTTP 검증 토큰은 CloudFront를 사용할 수 있는 모든 AWS 리전에서 사용 가능하므로, 여러 리전에서 동일한 인증서를 다시 만들 수 있습니다. 리디렉션이 여전히 활성 상태인 한 검증 프로세스를 다시 거치지 않고 삭제된 인증서를 교체할 수도 있습니다.

HTTP 검증 인증서의 자동 갱신을 중지하려면 두 가지 옵션이 있습니다. 연결된 CloudFront 배포에서 인증서를 제거하거나 검증을 위해 설정한 HTTP 리디렉션을 삭제할 수 있습니다. CloudFront 이외의 콘텐츠 전송 네트워크(CDN) 또는 웹 서버를 사용하여 리디렉션을 관리하는 경우 해당 설명서를 참조하여 리디렉션을 제거하는 방법을 알아봅니다. CloudFront를 사용하여 리디렉션을 관리하는 경우 배포의 구성을 업데이트하여 리디렉션을 제거할 수 있습니다. 관리형 인증서 갱신에 대한 자세한 내용은 에서 관리형 인증서 갱신 AWS Certificate Manager 섹션을 참조하세요. 자동 갱신을 중지하면 인증서 만료로 이어져 HTTPS 트래픽이 중단될 수 있다는 점을 기억하세요.

ACM에 대한 HTTP 리디렉션 작동 방식

참고

이 섹션은 콘텐츠 전송을 위해 CloudFront를 사용하고 SSL/TLS 인증서 관리를 위해 ACM을 사용하는 고객을 위한 것입니다.

ACM 및 CloudFront에서 HTTP 검증을 사용하는 경우 HTTP 리디렉션을 설정해야 합니다. 이러한 리디렉션을 통해 ACM은 초기 인증서 발급 및 지속적인 자동 갱신에 대한 도메인 소유권을 검증할 수 있습니다. 이 리디렉션 메커니즘은 도메인의 특정 URL이 고유한 검증 토큰이 저장된 CloudFront 인프라 내의 ACM 제어 위치를 가리키게 하는 방식으로 작동합니다.

다음 표는 도메인 이름에 대한 리디렉션 구성의 예를 보여줍니다. 참고로 HTTP 검증은 와일드카드 도메인(예: *.example.com)을 지원하지 않습니다. 각 구성의 리디렉션 소스-리디렉션 대상 페어는 도메인 이름 소유권을 인증하는 역할을 합니다.

HTTP 리디렉션 구성의 예
도메인 이름 리디렉션 소스 리디렉션 대상 설명
example.com

http://example.com/.well-known/pki-validation/x2.txt

https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt

고유
www.example.com

http://www.example.com/.well-known/pki-validation/x3.txt

https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt

고유
host.example.com

http://host.example.com/.well-known/pki-validation/x4.txt

https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt

고유
subdomain.example.com

http://subdomain.example.com/.well-known/pki-validation/x5.txt

https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt

고유
host.subdomain.example.com

http://host.subdomain.example.com/.well-known/pki-validation/x6.txt

https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt

고유

파일 이름의 xN 값과 ACM 제어 도메인의 yN 값은 ACM에서 생성하는 고유 식별자입니다. 예:

http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

은(는) 결과로 생성된 리디렉션 소스 URL를 나타냅니다. 연결된 리디렉션 대상 URL은 동일한 검증 레코드에 대해

https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

일 수 있습니다.

참고

웹 서버 또는 콘텐츠 전송 네트워크가 지정된 경로에서 리디렉션 설정을 지원하지 않는 경우 HTTP 검증 문제 해결을 참조하세요.

인증서를 요청하고 HTTP 검증을 지정하면, ACM이 리디렉션 정보를 다음 형식으로 제공합니다.

도메인 이름 리디렉션 소스 리디렉션 대상
example.com http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt

도메인 이름은 인증서와 연결된 FQDN입니다. 리디렉션 소스는 ACM이 검증 파일을 찾을 도메인의 URL입니다. 리디렉션 대상은 실제 검증 파일이 호스팅되는 ACM 제어 URL입니다.

리디렉션 소스 URL에서 리디렉션 대상 URL로 요청을 리디렉션하도록 웹 서버 또는 CloudFront 배포를 구성해야 합니다. 이 리디렉션을 설정하는 정확한 방법은 웹 서버 소프트웨어 또는 CloudFront 구성에 따라 다릅니다. ACM이 도메인 소유권을 검증하고 인증서를 발급하거나 갱신할 수 있도록 리디렉션이 올바르게 설정되어 있는지 확인합니다.

HTTP 검증 설정

ACM은 CloudFront에서 사용할 퍼블릭 SSL/TLS 인증서를 발급할 때 HTTP 검증을 사용하여 도메인 소유권을 확인합니다. 이 섹션에서는 HTTP 검증을 사용하도록 퍼블릭 인증서를 구성하는 방법에 대해서 설명합니다.

콘솔에서 HTTP 검증을 설정하려면
참고

이 절차에서는 이미 CloudFront를 통해 인증서를 요청했으며 해당 인증서를 생성한 AWS 리전에서 작업하는 것으로 가정합니다. HTTP 검증은 CloudFront Distribution Tenants 기능을 통해서만 사용할 수 있습니다.

  1. https://console.aws.amazon.com/acm/에서 ACM 콘솔을 엽니다.

  2. 인증서 목록에서 검증 보류 중(Pending validation) 상태인 구성하려는 인증서 ID(Certificate ID)를 선택합니다. 그러면 인증서에 대한 세부 정보 페이지가 열립니다.

  3. 도메인 섹션에서 인증서 요청의 각 도메인에 대한 리디렉션 소스리디렉션 대상 값을 볼 수 있습니다.

  4. 각 도메인에 대해 리디렉션 소스 URL에서 리디렉션 대상 URL로의 HTTP 리디렉션을 설정합니다. CloudFront 배포 구성을 통해이 작업을 수행할 수 있습니다.

  5. 리디렉션 소스 URL에서 리디렉션 대상 URL로 요청을 리디렉션하도록 CloudFront 배포를 구성합니다. 이 리디렉션을 설정하는 방법은 CloudFront 구성에 따라 다릅니다.

  6. 리디렉션을 설정한 후에는 ACM이 도메인 소유권 검증을 자동으로 시도합니다. 이 프로세스는 최대 30분이 걸릴 수 있습니다.

ACM이 리디렉션 값을 생성한 시각으로부터 72시간 내에 도메인 이름을 검증할 수 없는 경우, ACM은 인증서 상태를 검증 시간 초과로 변경합니다. 이 결과의 가장 가능성이 높은 이유는 HTTP 리디렉션을 성공적으로 설정하지 않았기 때문입니다. 이 문제를 해결하려면 리디렉션 지침을 검토한 후 새 인증서를 요청해야 합니다.

중요

검증 문제를 방지하려면 리디렉션 소스 위치의 콘텐츠가 리디렉션 대상 위치의 콘텐츠와 일치해야 합니다. 문제가 발생하면 HTTP 검증 문제 해결 단원을 참조하세요.

참고

DNS 검증과 달리 ACM이 HTTP 리디렉션의 자동 생성을 프로그래밍 방식으로 요청할 수 없습니다. CloudFront 배포 설정을 통해 이러한 리디렉션을 구성해야 합니다.

HTTP 검증 작업 방법에 대한 자세한 내용은 ACM에 대한 HTTP 리디렉션 작동 방식 섹션을 참조하세요.