[Ncloud] NCP에서 Global Edge Certificate Provisioning으로 인증서 관리하는 가이드

안녕하세요.

 

이번 시간에는 NCP에서 Global Edge Certificate Provisioning으로 인증서 관리하는 가이드를 작성하도록 하겠습니다.

NCP에서 서비스를 운영하다 보면 주기적으로 인증서 운영의 복잡성이 생기게 됩니다.

이런 상황에 유용하게 쓸 수 있도록 Global Edge 서비스에서 Certificate Provisioning 기능을 출시했고 운영이 훨씬 간편해졌습니다.

 

1. 기능 등장 배경

1. HTTPS 인증서 운영의 복잡성

전 세계 사용자에게 HTTPS 서비스를 제공할 경우, 기존에는 다음과 같은 제약이 있었습니다:

(1) 각 지역(Edge/PoP) 별로 인증서를 수동 배포하거나

(2) 중앙에서 인증서를 TLS 핸드셰이크에 사용하는 구조

(3) 이로 인해 인증서 관리가 복잡하고 오류 가능성이 높았으며, 갱신 누락 시 서비스 장애로 이어질 수 있었습니다.

 

2. Latency 및 TLS 성능 문제

(1) 인증서가 원격에 있을 경우, 사용자가 가까운 Edge로 접속해도 TLS 핸드셰이크는 중앙 리전에서 처리되어 latency 증가

(2) 특히 TLS 1.2/1.3의 초기 연결 과정에서 지연이 발생해 사용자 경험 악화

 

3. 보안 요구사항 강화

(1) TLS 인증서의 신뢰성과 무결성은 HTTPS 통신의 핵심인데, 중앙 집중 방식은 인증서 유출 시 글로벌 위험 발생

(2) 지역적으로 인증서를 분산하고, Zero Trust에 가까운 인증 체계를 구성할 필요가 커짐

 

2. 서비스 개요

네이버 클라우드 플랫폼의 Global Edge 서비스에서 인증서 프로비저닝 기능은 보안 콘텐츠 전송 네트워크(CDN) 애플리케이션의 SSL/TLS 인증서를 관리하고, 엣지 연동을 위한 인증서 프로비저닝 요청, 업데이트, 추가 등을 지원합니다. 이를 통해 안전한 콘텐츠 전송과 암호화 통신을 가능하게 합니다. 

 

인증서(Certificate)를 글로벌 엣지(Edge) 인프라에 자동 배포하여, 전 세계 사용자에게 지연 없는 TLS 연결과 강화된 보안성을 제공하는 기능입니다.

 

3. 서비스 필요성

Ncloud Global Edge 서비스에서 Certificate Manager(CM)를 통해 SSL 인증서를 프로비저닝 하는 것은 글로벌 CDN 서비스의 안전성과 신뢰성을 확보하기 위해 중요합니다. 특히, 서비스 지역이 글로벌인 경우, 한국/일본 외 해외 지역에서도 HTTPS 통신을 지원하기 위해 별도의 Global Edge Dedicated 인증서가 필요합니다. 이 인증서를 통해 사용자들은 안전하게 콘텐츠에 접근할 수 있으며, 기업은 글로벌 사용자들에게 안정적인 서비스를 제공할 수 있습니다.

 

(1) 글로벌 서비스의 HTTPS 통신

Ncloud Global Edge 서비스는 전 세계 사용자를 대상으로 콘텐츠를 전송합니다. HTTPS 통신을 통해 데이터 전송 시 암호화가 이루어지므로, 사용자 정보 보호 및 보안 강화에 필수적입니다.

 

(2) Global Edge Dedicated 인증서 필요성

한국/일본 외 지역에서도 HTTPS 통신을 지원하려면, 해당 지역에 맞는 인증서가 필요합니다. Ncloud는 Global Edge 서비스를 위해 별도의 Dedicated 인증서 발급을 지원하며, 이를 통해 각 지역의 특성에 맞는 보안 설정을 할 수 있습니다.

 

(3) 인증서 프로비저닝의 중요성

Certificate Manager(CM)를 통해 인증서를 프로비저닝하는 것은 인증서 발급, 갱신, 관리 등을 자동화하여 효율성을 높이고, 보안 설정을 일관되게 유지하는 데 중요합니다.

 

(4) 멀티 어카운트 지원

최근에는 엔터프라이즈 환경에서 계정을 분리하여 운영/QA/개발 환경을 구성하는 경우가 많습니다. Global Edge 서비스에서는 멀티 어카운트 환경에서도 인증서를 효율적으로 관리하고 업데이트할 수 있도록 지원합니다.

 

와일드카드 인증서 관련 유의사항

와일드카드 인증서는 여러 하위 도메인을 포함하여 관리할 수 있는 유용한 기능이지만,
Global Edge Dedicated 인증서 발급 시에는 FQDN 도메인만 입력 가능하며, 와일드카드 도메인은 지원되지 않습니다. 
또한, 한국/일본에 프로비저닝된 인증서와 동일한 서비스 도메인을 사용해야 합니다. 

 

4. 사용 방법

https://guide.ncloud-docs.com/docs/certificateprovisioning-create

인증서 프로비저닝을 위해서는 Certificate Manager에서 인증서 발급 및 외부 인증서 등록 작업이 선행되어야만 합니다.

 

1. 서비스 지역이 한국/일본인 경우

서비스 지역이 한국, 일본인 경우에는 인증서를 1개가 필요합니다.

(1) 한국/일본 전용 인증서 선택

Certificate Manager (CM) 서비스에서 발급된 Cloud Basic, Advanced 인증서 또는 등록된 외부 인증서를 선택해 주십시오.

 

2. 서비스 지역이 글로벌인 경우

서비스 지역이 글로벌인 경우에는 인증서 2개가 필요합니다.

Global Edge Dedeicated 인증서가 반드시 필요합니다.

 

(1) 한국/일본 전용 인증서 선택

Certificate Manager (CM) 서비스에서 발급된 Cloud Basic, Advanced 인증서 또는 등록된 외부 인증서를 선택해 주십시오.

 

(2) 글로벌 전용 인증서 선택

Certificate Manager에서 발급한 Global Edge Dedicated 인증서를 선택해 주십시오.

 

3. 인증서 프로비저닝

Global Edge Certificate Provisioning 메뉴에서 [인증서 프로비저닝]을 선택합니다.

 

서비스 지역은 한국/일본, 글로벌을 선택할 수 있고 글로벌을 선택할 경우 Certificate Manager에 등록된 인증서의 범위가 글로벌이어야 합니다.

(1) 서비스 지역 선택

(2) 인증서 선택

(3) TLS 프로토콜 버전 선택

(4) Cipher Profiles 선택

 

다음과 같이 순차대로 지정해준 후 인증서 프로비저닝을 생성합니다.

인증서 프로비저닝이 생성된 후 연결된 엣지 도메인 현황을 확인할 수 있는데 연결된 엣지 도메인의 SSL 인증서가 자동으로 갱신되고 업데이트됩니다. CM에 등록된 인증서의 인증서가 만료될 경우 CM에서 새로운 인증서를 등록한 후 [인증서 업데이트]를 눌러 업데이트 해주어야 합니다.

 

5. 정리

Global Edge Certificate Provisioning은 "글로벌 HTTPS 서비스의 속도·보안·운영 효율"을 동시에 해결하기 위한 필수 기능입니다.

(1) 인증서 수명 주기 자동화

(2) 보안 위협 최소화

(3) 사용자 위치 기반 최적 성능 제공

(4) 다수 도메인 및 멀티 PoP 인프라 운영 시 강력한 보안 인프라로 발전 가능

 

이번 시간에는 NCP에서 Global Edge에 신규 추가된 기능인 Certificate Provisioning의 개념과 필요성 그리고 사용 방법에 대해 알아봤습니다.

 

감사합니다.