Route 53의 ACM 인증서를 검증하려면 어떻게 해야 하나요?

간략한 설명

ACM 인증서의 도메인 소유권을 확인하는 방법에는 두 가지가 있습니다.

1. DNS 검증
2. 이메일 검증

DNS 검증을 사용하여 ACM 인증서를 요청하면 ACM은 DNS 구성에 추가해야 하는 CNAME 레코드를 제공합니다. ACM은 CNAME 레코드를 사용하여 도메인 소유권을 확인합니다. ACM이 도메인 소유권을 검증한 후 인증서 상태가 검증 보류 중 상태에서 발급됨으로 업데이트됩니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우, 최신 AWS CLI 버전을 사용하고 있는지 확인합니다.

Route 53이 도메인의 DNS 서비스 공급자인 경우, ACM 콘솔에서 원클릭 옵션을 사용하여 CNAME을 생성할 수 있습니다. 이 옵션을 선택하면 ACM이 자동으로 레코드를 도메인의 Route 53 호스팅 영역에 추가합니다.

하지만 다음 중 하나에 해당한다면, CNAME 레코드를 수동으로 추가해야 합니다.

• 동일한 도메인에 다수의 호스팅 영역이 있습니다.
• 호스팅 영역이 다른 계정에 있습니다.

Apex 도메인 인증서 요청

네임 서버 (NS) 레코드 확인

1. 다음 명령을 실행하여 적절한 호스팅 영역의 DNS 구성을 찾습니다.

Linux 및 macOS의 경우:

$ dig NS example.com

Windows의 경우:

$ nslookup -type=ns example.com

참고: example.com을 도메인 이름으로 바꿉니다.

2. 이 명령은 도메인 DNS 구성의 이름 서버(NS) 레코드에 포함된 이름 서버를 제공합니다. 출력의 이름 서버와 동일한 NS 레코드가 있는 Route 53 호스팅 영역에 CNAME 레코드를 추가합니다.

다음은 예시 출력입니다.

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Route 53에 CNAME 레코드 추가

NS 값을 사용하여 적절한 호스팅 영역을 식별한 후 여기에 CNAME 레코드를 추가합니다.

1.    Route 53 콘솔을 엽니다.

2. 도메인의 호스팅 영역으로 이동합니다. 이 호스팅 영역에는 이전 작업에서 식별한 이름 서버와 동일한 NS 레코드가 있어야 합니다.

3. 레코드 생성을 선택합니다.

4. 이름은 도메인 부분을 제외하고 ACM이 생성한 CNAME의 레코드 이름을 입력합니다. 자세한 내용은 ACM용 CNAME 레코드 작동 방식을 참조하세요.

5. 값은 ACM이 제공한 전체 레코드 값을 입력합니다.

6. 레코드 유형은 CNAME - 다른 도메인 이름 및 일부 AWS 리소스로 트래픽 라우팅을 선택합니다.

7. 라우팅 정책에서 단순 라우팅을 선택합니다.

8. 레코드 생성을 선택합니다.

CNAME 레코드의 해상도 확인

Route 53이 DNS 구성에 CNAME 레코드를 추가했는지 확인하려면 다음 예시와 비슷한 명령을 실행합니다.

Linux 및 macOS의 경우:

dig +short _example-cname.example.com

Windows의 경우:

nslookup -type=cname _example-cname.example.com

참고: example-cname.example.com을 ACM CNAME 레코드로 변경합니다.

CNAME 레코드를 성공적으로 추가하고 전파하면 명령이 출력에 CNAME 레코드의 값을 반환합니다.

하위 도메인 인증서 요청

하위 도메인에 별도의 호스팅 영역이 있는 경우

앞서 설명한 Apex 도메인 인증서 요청 단계를 따르고, 하위 도메인의 NS 레코드를 식별합니다. 이를 위해 명령에서 도메인 이름을 하위 도메인으로 변경합니다.

NS 값이 포함된 출력을 수신한다면, 출력의 NS 값과 일치하도록 하위 도메인의 호스팅 영역에 CNAME 레코드를 추가합니다.

명령을 실행하고 NS 레코드를 수신하지 못하면, apex 도메인과 하위 도메인 간에 하위 도메인 위임을 올바르게 구성했는지 확인합니다. 구성을 확인하려면 apex 도메인의 호스팅 영역에서 하위 도메인의 NS 레코드를 사용하여 리소스 레코드를 생성해야 합니다. 자세한 내용은 Route 53을 통해 호스팅되는 도메인의 하위 도메인을 만들려면 어떻게 해야 하나요?를 참조하세요.

하위 도메인에 대한 별도의 호스팅 영역이 없는 경우

하위 도메인에 대한 별도의 호스팅 영역이 없다면, Apex 도메인의 호스팅 영역에 CNAME 레코드를 추가합니다. 그런 다음 앞서 설명한 apex 도메인 인증서 요청 단계를 사용하여 CNAME 레코드가 예상대로 확인되는지 확인합니다.

참고: DNS 구성에 최근 변경 사항이 있는 경우, TTL 값에 따라 전파 지연이 발생할 수 있습니다.