[NCP] Certificate Manager 신규 기능 인증서 발급에 대해 알아보고 실습해보기

 

안녕하세요

 

이번 시간에는 네이버 클라우드 플랫폼에 신규로 업데이트된 인증서 발급 기능에 대해 알아보고 실습을 진행하겠습니다.

11월 셋째 주에 해당 기능이 추가되었는데 많은 분들이 아직 모르고 있으실까 봐 소개하는 포스팅을 해보겠습니다.

 

1. Ncloud Certificate Manager 란?

Certificate Manager는 연계 서비스(Load Balancer, CDN+ 등)에서 사용할 인증서를 발급, 등록하고 관리할 수 있는 서비스입니다. 사용 가능한 리전 (한국 리전, 미국 리전, 홍콩 리전, 싱가포르 리전, 일본 리전, 독일 리전 에서 통합 서비스 제공)

 

Certificate Manager 개요 (ncloud-docs.com)

Certificate Manager 개요

개념에 대한 더 자세한 설명은 네이버 클라우드 플랫폼 공식 문서에서 확인하실 수 있으니 참고 부탁드립니다.

2. Certificate Manager가 제공하는 기능

1. 인증서 등록 및 서비스 연동

공인 SSL/TLS 인증서를 등록하여 연계 서비스(Load Balancer, CDN+ 등)에 적용 가능

 

2. 연계 서비스에 인증서 연동

Load Balancer, CDN+, Global Edge 등 연계 서비스에 인증서 적용 가능

 

3. 인증서 정보 제공

인증서의 다양한 정보를 제공하여 인증서의 효율적 관리 가능

 

4. 인증서 만료 알림

등록된 인증서의 만료 예정일 30일 전부터 5일 단위로 알림(SMS/Email) 발송

 

3. 발급 받은 인증서 특징

항목	내용
키 알고리즘	RSA 2048 bit
유효기간	395일
사용 가능한 도메인 이름	FQDN (예: www.example.com) Apex 도메인 (예: example.com) 와일드카드 도메인 (예: *.example.com)
인증서당 도메인 개수	최대 10개
발급할 수 있는 인증서 개수	최대 25개
도메인 유효성 검증 방법	이메일 검증, DNS 검증
연동 가능한 서비스	VPC Load Balancer, Global Edge

 

이용 요금

Certificate Manager는 인증서 발급, 등록 및 관리 기능을 무료로 이용할 수 있는 서비스입니다. 단, 향후 추가될 고급 기능들은 별도의 요금이 발생할 수 있습니다.

 

4. 사용 가능한 도메인 이름 유형

1. Certificate 이름에는 다른 인증서 이름과 중복되지 않은 이름을 입력해 주십시오.

2. 도메인 이름은 최소 1개에서 최대 10개까지 입력할 수 있습니다.

 

- 사용 가능한 도메인 이름 유형

• FQDN (예: www.example.com)
• Apex 도메인 (예: example.com)
• 와일드카드 도메인 (예: *.example.com)

 

5. Certificate Manager 인증서 발급하기(준비 사항: 도메인)

(1) 도메인 구매하기(Gabia)

저는 실습에 사용할 도메인을 가비아에서 구매하였고 네이버 클라우드 플랫폼의 [Global DNS] 서비스에서 사용하기 위해 네임서버 역시 NCP 네임서버로 설정하였습니다.

 

(2) SSL 인증서 발급하기

다음과 같이 인증서를 발급하기 위해서는 Certificate Manager 이용 신청해야 합니다. 

 

DNS 검증하기

저의 경우 현재 가비아에서 Apex 유형의 도메인 구매하였고 소유하고 있습니다.

 

현재 검증 방식으로 Email 검증 방식은 일시 중단되었기 때문에 DNS 검증을 통해 검증합니다.

(수정) 12월 21일부로 Email 검증 방식도 다시 재개되었습니다.

 

인증서를 발급하고 나면 DNS 검증이 완료되기 전까지는 상태가 진행 중으로 표시됩니다. 따라서 DNS 검증을 진행하겠습니다.

 

(3) Global DNS를 이용한 DNS 검증하기

다음과 같이 Global DNS에서 도메인 추가를 누르고 가비아에서 구매한 도메인을 입력합니다. 가비아에서 네임서버를 네이버 클라우드 플랫폼의 네임서버로 변경하는데 하루 정도 소요될 수 있기 때문에 도메인의 사용 가능 여부를 확인합니다.

 

다음과 같이 Certificate Manager에서 확인한 인증 정보를 레코드 추가 - CNAME 으로 레코드 이름과 값을 입력한 후 추가를 해주어야 하는데 주의해야 할 점은 레코드 이름에서 도메인은 제거한 후에 추가해주어야 합니다.

(제거하지 않으면 유효하지 않다고 메세지가 나오기 때문에 제거합니다.)

 

레코드를 등록한 후 우측 상단에 설정 적용을 눌러서 추가한 레코드를 적용합니다.

 

다음과 같이 DNS 검증이 완료되어 상태가 정상으로 바뀐 것을 확인할 수 있습니다. 이렇게 등록된 인증서를 통해 SSL 설정을 진행할 수 있습니다.

 

(추가) Email 검증하기

위에서 처럼 Apex 유형의 도메인을 등록한 후 다음으로 넘어갑니다.

 

현재 기능 개선이 완료되어 Email 검증이 활성화된 모습입니다. 다음을 눌러주세요.

 

이렇게 Email 검증을 선택한 후 다음을 누르면 다음과 같이 8개의 메일로 이메일을 보냅니다. 8개의 메일 중 승인이 나면 인증서에 대한 검증이 완료되어 정상으로 변경됩니다.

 

Email 검증 사전 조건

KISA 후이즈검색 whois.kisa.or.kr (xn--c79as89aj0e29b77z.xn--3e0b707e)

KISA 후이즈검색 whois.kisa.or.kr

Email 검증은 신청한 도메인의 WHOIS에서 조회된 공개 주소와 공통 주소(예약된 이메일 주소)로 발송된 검증 값을 Certificate Manager 콘솔에서 입력하여 검증하는 방식입니다.

1. 공개 주소가 없거나 조회되지 않을 경우 메일 발송이 실패하거나 검증이 불가할 수 있으니 사전에 확인해 주십시오.

▶ 제가 구매한 도메인의 경우 WHOIS에서 조회가 안되는 도메인이어서 검증이 불가했습니다.

 

2. 공통 주소의 이메일 ID는 admin, administrator, hostmaster, postmaster, webmaster 5개입니다. 이메일 도메인은 신청 도메인의 최상위 도메인부터 APEX 도메인까지 MX 레코드를 조회하여 조회된 도메인으로 발송합니다. MX 레코드가 조회되지 않을 경우 신청 도메인으로 설정하여 발송됩니다. 단, www 와 *는 제외하고 하위 도메인으로 설정합니다. MX 레코드 및 공통 주소 이메일 수신 가능 여부를 사전에 확인해 주십시오.

▶MX 레코드를 조회했는데 제 도메인은 공통 주소 이메일 수신 가능하지 않습니다. WHOIS에 등록된 정보에서 관리자에게 이메일이 가게 끔 되어 있는데 관리자가 승인하면 검증이 완료되는 프로세스입니다.

 

이메일 검증의 경우 다음에 테스트용 도메인을 추가로 구매하여 진행하도록 하겠습니다.

 

5. 검증 상태 체크

검증 상태	설명
진행중	인증서 발급 신청 시 선택한 도메인 소유권 검증 방식으로 검증 값이 생성되어 정상적으로 검증 결과를 기다리고 있는 상태입니다.
성공	진행 중이었던 도메인 소유권 검증이 성공한 상태입니다.
시간초과	진행중 상태에서 72시간이 초과된 상태입니다. 시간초과 이후 더 이상 도메인 소유권 검증을 진행할 수 없습니다. 새로운 인증서 발급 신청을 진행해 주십시오.
실패	인증서 발급 신청 시 선택한 도메인 소유권 검증 방식으로 검증 값 생성이 실패한 상태입니다. Email 검증 시 메일 발송이 실패하거나 DNS 검증 시 정상적으로 검증 값 생성이 실패한 경우 실패 상태가 될 수 있습니다.

DNS 검증이 정상적으로 이루어진다면 상태가 바뀌는 건 다 다르지만 저는 약 3분 정도 걸렸는데 상태가 정상으로 바뀌지 않는다면 다시 입력해 보거나 점검해 볼 필요가 있습니다.

 

이번에 네이버 클라우드에서도 콘솔에서 인증서 발급을 할 수 있도록 변경되었는데 굉장히 유용한 기능이고 편리해진 것 같습니다. 신규 기능이 추가된 만큼 많은 분들이 한 번씩 이용해 보셨으면 좋을 것 같습니다.

 

이번 시간에는 네이버 클라우드 플랫폼에 신규로 업데이트된 인증서 발급 기능에 대해 알아보고 실습을 진행해 봤습니다.

 

감사합니다