programming,

AWS ACM 인증서 만료 방지하기

박승필 박승필 Linkedin Sep 07, 2019 · 1 min read
AWS ACM 인증서 만료 방지하기
Share this

프로젝트 진행 중 인증서가 만료되어 장애가 일어나, 팀원이 주말에 급히 출근하는 불상사가 일어났다.

AWS ACM 에서 발급하는 인증서를 사용 중이었는데, 알아보기로는 AWS ACM 은 자동으로 만료 시간을 갱신 해 준다고 알고있었는데 매년 같은 사고가 일어났다는 이야기를 듣고 의아했다.

관련 내용에 대해 다시 한번 찾아보니 이런 문서가 있었다. https://aws.amazon.com/ko/premiumsupport/knowledge-center/certificate-fails-to-auto-renew/

해당 문서를 바탕으로, 인증서 만료가 발생하는 원인을 다음과 같이 정리해 볼 수 있었다.

인증서 만료 문제 사전 방지.

  1. AWS ACM 으로 관리되는 인증서는, 만료되기 60일 전에 자동으로 인증서를 갱신하는 프로세스를 시작합니다.
  2. 자동 도메인 검증 프로세스: AWS 가 도메인 사업자의 DNS 서버에 질의하여 자동으로 갱신합니다.
  3. 이메일 검증 프로세스: 도메인 소유주 (고객) 에게 이메일 컨펌을 받아야 합니다.
  • 만료 60일 전에 이메일 검증 프로세스가 이미 실행되었겠지만, 고객은 해당 절차를 모르고 있는 상태이므로 오늘과 같은 사고가 번복되는 것 입니다.
  • 사고 예방을 위해 모든 인증서를 “도메인 검증 프로세스” 로 발급받을 필요가 있습니다.
  • 도메인 검증 인증서는, 등록 절차가 매우 간단합니다. 도메인 사업자 콘솔에서 AWS ACM 용 CNAME 레코드를 등록시켜 주기만 하면 됩니다.

도메인 검증 인증서 발급받기

원인을 알았으므로, 도메인 검증 인증서를 발급받고 적용하는 절차에 대해 알아보자.

AWS -> ACM 콘솔로 들어가서, 새 인증서를 요청한다.

스크린샷 2019-09-07 오후 12 14 09

적용할 도메인 이름들을 추가한다.

스크린샷 2019-09-07 오후 12 14 31

DNS 검증 을 선택하고, 발급받는다.

스크린샷 2019-09-07 오후 12 14 43

초기 발급 받은 인증서는 검증 보류 상태이다. 검증 보류를 해제하기 위해서는 화면처럼 도메인 이름과 값을 CNAME 타입으로 도메인 사업자에 A 레코드를 등록해 주어야 한다.

  • A 레코드 타입: CNAME
  • A 레코드 도메인: _9cb1e06cc8e1520fe8429dcf83f76d0a.atomy.com.
  • A 레코드 값: _e13286843784e905010f8f9d0d534d36.duyqrilejt.acm-validations.aws.

스크린샷 2019-09-07 오후 12 16 31

GABIA 도메인 사이트에 접속하여, 네임플러스 부가서비스로 들어간다.

스크린샷 2019-09-07 오후 12 18 40

GABIA 에 등록된 도메인에, CNAME 설정으로 들어간다.

스크린샷 2019-09-07 오후 12 19 01

인증서의 A 레코드 도메인과 A 레코드 값을 차례로 넣어주고 등록하면 완성이다.

스크린샷 2019-09-07 오후 12 19 15

모든 절차 종료 후 잠시 뒤 ACM 인증서가 검증 보류 상태에서 검증 완료 상태로 변경되며, 실제 사용 가능한 상태로 된다.

박승필
Written by 박승필
배우는걸 좋아하는 사람입니다.