View a markdown version of this page

를 사용하도록 설정 AWS Certificate Manager - AWS Certificate Manager
에 가입 AWS 계정도메인 이름 등록(선택 사항) CAA 레코드 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하도록 설정 AWS Certificate Manager

AWS Certificate Manager (ACM)을 사용하면 AWS 기반 웹 사이트 및 애플리케이션에 대한 SSL/TLS 인증서를 프로비저닝하고 관리할 수 있습니다. ACM을 사용해서 인증서를 생성하거나 가져온 다음 관리합니다. 인증서를 웹 사이트 또는 애플리케이션에 배포하려면 다른 AWS 서비스를 사용해야 합니다. ACM에 통합된 서비스에 대한 자세한 내용은 ACM에 통합된 서비스 섹션을 참조하세요. 다음 섹션에서는 ACM을 사용하기 이전에 수행해야 하는 단계를 설명합니다.

에 가입 AWS 계정

를 시작하려면이 AWS필요합니다 AWS 계정. 생성에 대한 자세한 AWS 계정내용은 AWS Account Management 참조 안내서시작하기 AWS 계정를 참조하세요.

ACM에 대한 도메인 이름 등록

FQDN(Fully Qualified Domain Name)은 인터넷에서 최상위 수준 도메인 확장명(예: .com 또는 .org) 앞에 오는 조직 또는 개인에 대한 고유한 이름입니다. 등록된 도메인 이름이 아직 없는 경우 Amazon Route 53 또는 여러 다른 등록 대행 기관을 통해 등록할 수 있습니다. 일반적으로 등록 대행 기관의 웹 사이트로 이동하여 도메인 이름을 요청합니다. 일반적으로 도메인 이름 등록은 설정된 기간(예: 1년 또는 2년)에 유지되며 그 이후에는 갱신해야 합니다.

Amazon Route 53을 사용하여 도메인 이름을 등록하는 자세한 방법은 Amazon Route 53 개발자 가이드Route 53을 사용하여 도메인 이름 등록을 참조하세요.

(선택 사항) CAA 레코드 구성

CAA 레코드는 도메인 또는 하위 도메인에 대한 인증서 발급이 허용되는 인증 기관(CA)을 지정합니다. ACM에서 사용할 CAA 레코드를 생성하면 잘못된 CA가 도메인에 대한 인증서를 발급하는 것을 방지하는 데 도움이 됩니다. CAA 레코드는 인증 기관에서 지정한 보안 요구 사항(예: 도메인의 소유자임을 확인하기 위한 요구 사항) 대신 사용할 수 없습니다.

ACM은 인증서 요청 프로세스 중에 도메인을 검증한 후 인증서를 발급할 수 있도록 CAA 레코드의 존재를 확인합니다. CAA 레코드 구성은 선택 사항입니다.

CAA 레코드를 구성할 때 다음 값을 사용합니다.

flags

tag 필드의 값이 ACM에서 지원되도록 할지 여부를 지정합니다. 이 값을 0으로 설정합니다.

태그

tag 필드에는 다음 중 한 가지 값이 올 수 있습니다. iodef 필드는 현재 무시된다는 점에 유의하세요.

issue

value 필드에 지정한 ACM CA가 도메인 또는 하위 도메인에 대한 인증서를 발급하도록 승인되었음을 나타냅니다.

issuewild

value 필드에 지정한 ACM CA가 도메인 또는 하위 도메인에 대한 와일드 카드 인증서를 발급하도록 승인되었음을 나타냅니다. 와일드카드 인증서는 도메인 또는 하위 도메인 및 모든 하위 도메인에 적용됩니다. HTTP 검증을 사용할 계획인 경우, HTTP 검증이 와일드카드 인증서를 지원하지 않으므로 이 설정은 적용되지 않습니다. 와일드카드 인증서에는 대신 DNS 또는 이메일 검증을 사용하세요.

USD 상당

이 필드의 값은 tag 필드의 값에 따라 달라집니다. 이 값은 인용 부호("")로 묶어야 합니다.

tagissue인 경우

value 필드에는 CA 도메인 이름이 포함됩니다. 이 필드에는 Amazon CA가 아닌 다른 CA의 이름이 포함될 수 있습니다. 그러나 다음 네 가지 Amazon CA 중 하나를 지정하는 CAA 레코드가 없으면 ACM은 해당 도메인 또는 하위 도메인에 인증서를 발급할 수 없습니다.

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com을 위한 CNAME 별칭으로 구성해야 합니다

또한 value 필드에 세미콜론(;)을 포함하여 어떤 CA도 해당 도메인 또는 하위 도메인에 대해 인증서를 발급하도록 허용해서는 안 됨을 나타낼 수 있습니다. 어느 시점에 더는 특정 도메인에 인증서가 발급되지 않도록 하겠다고 결정을 내리게 되면 이 필드를 사용하세요.

tagissuewild인 경우

value 필드는 그 값이 와일드카드 인증서에 적용되는 경우를 제외하고는 tagissue인 경우의 값과 동일합니다.

ACM CA 값이 포함되지 않은 issuewild CAA 레코드가 있는 경우 ACM이 와일드 카드를 발급할 수 없습니다. issuewild가 없지만 ACM에 대한 issue CAA 레코드가 있는 경우 ACM이 와일드 카드를 발급할 수 있습니다.

예 CAA 레코드 예제

다음 예제에서는 도메인 이름이 먼저 나오고 뒤이어 레코드 유형(CAA)이 나옵니다. flags 필드의 값은 항상 0입니다. tags 필드는 issue 또는 issuewild일 수 있습니다. 필드가 issue이고 value 필드에 CA 서버의 도메인 이름을 입력하는 경우 CAA 레코드는 지정된 서버가 요청된 인증서를 발급할 권한이 있음을 나타냅니다. value 필드에 세미콜론(;)을 입력하면 CAA 레코드는 어떤 CA에서도 인증서를 발급할 권한이 없음을 나타냅니다. CAA 레코드의 구성은 DNS 공급자에 따라 달라집니다.

중요

CloudFront에서 HTTP 검증을 사용하려는 경우, HTTP 검증이 와일드카드 인증서를 지원하지 않으므로 issuewild 레코드를 구성할 필요가 없습니다. 와일드카드 인증서의 경우 DNS 또는 이메일 검증을 대신 사용합니다.

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

DNS 레코드를 추가 또는 수정하는 방법에 대한 자세한 정보는 DNS 공급자에게 문의하세요. Route 53은 CAA 레코드를 지원합니다. Route 53이 DNS 공급자인 경우 레코드 생성에 대한 자세한 내용은 CAA 형식을 참조하세요.