[AWS] ACM SSL 인증서 발급 받기, 갱신하기

ACM (AWS Certificate Manager)

  ACM은 AWS 웹 사이트와 애플리케이션을 보호하는 퍼블릭 및 프라이빗 SSL/TLS X.509 인증서와 키를 만들고, 저장하고, 갱신하는 복잡성을 처리한다라고 공식 홈페이지에 나와있다.

이 서비스는 TLS를 사용하는 보안 웹이 필요한 기업 고객을 위해 인증서를 관리한다. 

 

ACM에서 발급받은 인증서를 통해 ELB나 CloudFront에서 HTTPS 통신을 할 수 있다. 

ACM은 만료되는 인증서의 갱신을 자동화하여 보안 관리를 단순화한다. 

 

ACM에서는 이메일 인증 방식과 DNS 인증 방식의 두가지 인증 방식을 사용한다. 

 

ACM 인증서 발급

이메일 인증 방식

  이메일 인증 방식은 도메인 구매 시 admin으로 등록한 이메일 계정으로 인증 메일이 전송되고 

관리자가 전송된 메일을 확인해 인증하는 방식이다. 

 

DNS 인증 방식

  DNS 인증 방식은 데이터베이스에 추가해야 하는 하나 이상의CNAME 레코드를 제공한다. 

이러한 레코드는 도메인을 제러하는 증명 역할을 하는 고유한 키-값 쌍이 포함되어 있는데 

이 값을 DNS 서버에 등록해주는 인증방식으로 AWS에서 권장하는 방식이다. 

ACM은 인증서가 사용중이고 CNAME 레코드가 여전히 존재하는 경우 인증서를 자동으로 갱신한다. 

 

 

 

ACM 인증서 갱신 

이메일 인증 방식

  ACM이 인증서를 자동으로 갱신하거나 만료일이 다가오면 이메일로 알림을 보낸다.

ACM 인증서를 갱신하려면 인증서가 사용 중이어야 하며 만료되지 않아야 한다. 

인증서가 만료되면 인증서를 갱신할 수 없기 때문에 갱신 상태가 부적격으로 표시된다. 

  이메일로 유효성을 검사한 도메인을 다시 검증하기 위해 ACM은 주기적으로 HTTPS를 통해 도메인을 연결하고 반환된 TLS인증서를 검사한다. 

ACM 인증서는 395일(13개월)동안 유효하며 만료 45일 전에 도메인의 일반 관리자 주소로 갱신 통지를 보낸다. 

알림에는 도메인 소유자가 쉽게 갱신을 위해 클릭할 수 있는 링크가 포함되어 있다. 

검증하려면 72시간 내에 조취를 취해야 하며 72시간 후 원래 메일을 수신하지 못하거나 토큰이 만료된 경우 이메일을 재전송하도록 요청할 수 있다. 

 

 

DNS 인증 방식

자동 유효성 검사가 실패하는 이유는 CNAME이 실수로 변경되거나 제거되었기 때문인데 주로 72시간 내에 CNAME값을 확인할 수 없어 검증 시간이 초과되는 경우이다. 이러한 경우 도메인에 대한 새 ACM 인증서를 발급하고 CNAME을 DNS 서버에 올바르게 추가해주어야 한다.

ACM 콘솔에서 인증서와 도메인 항목을 확장하면 도메인에 대한 CNAME 레코드를 찾을 수 있다. 

 

 

 

 

갱신 타이밍

ACM 인증서는 비동기식 프로세스이다. 단계가 연속적으로 수행되는 것이 아니다보니 

인증서의 모든 도메인 이름이 검증된 후 ACM이 새 인증서를 가져오기 전에 지연이 발생할 수 있다. 

ACM이 갱신된 인증서를 가져오는 시간과 인증서가 사용될 AWS 리소스에 배포되는 시간 사이에 추가 지연이 발생할 수도 있다.

 

 

https://docs.aws.amazon.com/ko_kr/acm/latest/userguide/troubleshooting-renewal.html