AWS Certificate Manager, 어디서나 사용 가능한 SSL/TLS 인증서 내보내기 기능 출시

오늘은 AWS Certificate Manager(ACM)에서 내보낼 수 있는 공인 SSL/TLS 인증서를 발표합니다. 이번 출시 전에 추가 비용 없이 공인 인증서를 발급 받거나 타 인증 기관(CA)에서 발급한 인증서를 가져와 Elastic Load Balancing(ELB), Amazon CloudFront 배포 및 Amazon API Gateway 등의 통합 AWS 서비스와 함께 배포할 수 있습니다.

이제 ACM에서 공인 인증서를 내보내고, 프라이빗 키에 액세스하고, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 또는 온프레미스 호스트에서 실행 중인 모든 워크로드에 사용할 수 있습니다. 내보낼 수 있는 공인 인증서는 395일간 유효합니다. 발급 시점과 갱신 시점에 요금이 부과됩니다. ACM에서 내보내는 공인 인증서는 Amazon Trust Services에서 발급하며 Apple, Microsoft처럼 일반적으로 사용되는 플랫폼과 Google Chrome, Mozilla Firefox처럼 인기 있는 웹 브라우저에서 널리 신뢰받습니다.

ACM 내보낼 수 있는 공인 인증서의 작동 방식
공인 인증서를 내보내려면 먼저 내보낼 수 있는 새 공인 인증서를 요청해야 합니다. 이전에 생성한 공인 인증서는 내보낼 수 없습니다.

시작하려면 ACM 콘솔에서 인증서 요청을 선택하고 내보내기 허용 섹션에서 내보내기 활성화를 선택합니다. 내보내기 비활성화를 선택하면 이 인증서의 프라이빗 키를 ACM에서 내보내는 것이 허용되지 않으며 인증서 발급 후에는 변경할 수 없습니다.

또한 request-certificate 명령을 사용하여 AWS Command Line Interface(AWS CLI)에서 Export=ENABLED 옵션이 포함된 내보낼 수 있는 공인 인증서를 요청할 수 있습니다.

aws acm request-certificate \
--domain-name mydomain.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token <token> \
--options \
CertificateTransparencyLoggingPreference=DISABLED \
Export=ENABLED

공인 인증서를 요청한 후에는 도메인 이름을 검증하여 인증서를 요청하는 도메인을 소유 또는 관리하고 있음을 증명해야 합니다. 인증서는 일반적으로 도메인 검증에 성공한 후 몇 초 내에 발급됩니다.

인증서가 발급됨 상태로 전환되면 내보내기를 선택하여 발급받은 공인 인증서를 내보낼 수 있습니다.

프라이빗 키 암호화를 위한 암호를 입력합니다. 나중에 프라이빗 키를 해독하려면 암호가 필요합니다. 퍼블릭 키를 가져오려면 PEM 인코딩 생성을 선택합니다.

PEM 인코딩된 인증서, 인증서 체인 및 프라이빗 키를 복사하거나 각각 별도의 파일에 다운로드할 수 있습니다.

export-certificate 명령을 사용하여 공인 인증서와 프라이빗 키를 내보낼 수 있습니다. 보안을 강화하려면 파일 편집기를 사용하여 암호와 출력 키를 파일에 저장하여 명령 기록에 저장되지 않도록 하세요.

aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt

이제 Amazon EC2 인스턴스와 같은 SSL/TLS 통신이 필요한 모든 워크로드에 내보낸 공인 인증서를 사용할 수 있습니다. 자세히 알아보려면 EC2 인스턴스의 Amazon Linux에서 SSL/TLS 구성을 참조하세요.

알아야 할 사항
다음은 내보낼 수 있는 공인 인증서에 대해 알아야 할 몇 가지 사항입니다.

• 키 보안 – 조직의 관리자는 AWS IAM 정책을 설정하여 내보낼 수 있는 공인 인증서를 요청할 수 있는 역할 및 사용자를 승인할 수 있습니다. 현재 인증서 발급 권한이 있는 ACM 사용자는 내보낼 수 있는 인증서를 발급할 수 있는 권한을 자동으로 얻게 됩니다. ACM 관리자도 인증서를 관리하고 인증서 취소 또는 삭제 등의 조치를 취할 수 있습니다. 보안 스토리지 및 액세스 제어를 사용하여 내보낸 프라이빗 키를 보호해야 합니다.
• 해지 – 조직의 정책을 준수하거나 주요 보안 침해를 완화하기 위해 내보낼 수 있는 공인 인증서를 해지해야 할 수 있습니다. 이전에 내보낸 인증서만 해지할 수 있습니다. 인증서 해지 절차는 전역적이고 영구적입니다. 해지한 후에는 해지된 인증서를 검색하여 재사용할 수 없습니다. 자세히 알아보려면 AWS 설명서의 공인 인증서 해지를 참조하세요.
• 갱신 – Amazon EventBridge에서 내보낼 수 있는 공인 인증서에 대한 자동 갱신 이벤트를 구성하여 인증서 갱신을 모니터링하고 갱신 발생 시 인증서 배포를 처리하도록 자동화를 생성할 수 있습니다. 자세히 알아보려면 AWS 설명서의 Amazon EventBridge 사용을 참조하세요. 또한 이러한 인증서는 온디맨드로 갱신할 수 있습니다. 인증서를 갱신하면 새 인증서 발급 요금이 부과됩니다. 자세히 알아보려면 AWS 설명서의 강제 인증서 갱신을 참조하세요.

정식 출시
이제 ACM에서 내보낼 수 있는 공인 인증서를 발급하고 프라이빗 키와 함께 인증서를 내보내 ELB, Amazon CloudFront 및 Amazon API Gateway 뿐만 아니라 다른 컴퓨팅 워크로드도 사용할 수 있습니다.

ACM으로 인증서를 생성할 때 내보낼 수 있는 공인 인증서에 대한 추가 요금이 부과됩니다. 비용은 적격 도메인 이름당 15 USD, 와일드카드 도메인 이름당 149 USD입니다. 인증서 수명 기간 동안 한 번만 지불하면 되며 인증서가 갱신될 때만 요금이 다시 청구됩니다. 자세히 알아보려면 AWS Certificate Manager 서비스 요금 페이지를 참조하세요.

ACM 내보낼 수 있는 공인 인증서를 ACM 콘솔에서 사용해 보세요. 자세히 알아보려면 ACM 설명서 페이지를 참조하시고, 피드백은 ACM용 AWS re:Post를 이용하거나 평소 교류하는 AWS Support 담당자를 통해 보내주세요.

– Channy