Amazon S3 및 Amazon CloudFront 인증서를 Amazon Trust Services로 마이그레이션할 때 내 애플리케이션이 영향을 받습니까?
Amazon S3(Amazon Simple Storage Service) 및 Amazon CloudFront 인증서를 Amazon Trust Services로 마이그레이션하면 내 애플리케이션이 영향을 받을 수 있습니다. Amazon Trust Services CA(인증 기관)가 내 신뢰 저장소에 있는지 확인하고 싶습니다.
간략한 설명
2021년 3월 23일부터 AWS는 Amazon S3 및 CloudFront용 SSL/TLS(보안 소켓 레이어/전송 계층 보안) CA를 DigiCert에서 Amazon Trust Services로 마이그레이션하기 시작합니다.
다음 시나리오 중 하나와 일치하는 애플리케이션은 이 마이그레이션의 영향을 받지 않습니다.
- HTTP 트래픽
- 사용자 지정 도메인 및 인증서를 사용한 CloudFront로의 HTTPS 트래픽
- S3가 이미 자체 인증서에 Amazon Trust Services를 사용하는, AWS 리전의 S3 버킷으로의 HTTPS 트래픽(eu-west-3, eu-north-1, me-south-1, ap-northeast-3, ap-east-1 또는 us-gov-east-1)
해결 방법
다음 중 하나에 해당하는 경우 애플리케이션이 Amazon Trust Services를 CA로 신뢰하는지 확인해야 합니다.
- 위에 나열되지 않은 리전의 S3 버킷으로 HTTPS 트래픽을 직접 전송합니다.
- *.cloudfront.net에 포함되는 CloudFront 도메인으로 HTTPS 트래픽을 전송합니다.
다른 AWS 서비스를 사용하는 경우 애플리케이션이 이미 Amazon Trust Services를 신뢰하는 것일 수 있습니다. Amazon EC2(Amazon Elastic Compute Cloud) 및 Amazon DynamoDB와 같은 다양한 AWS 서비스가 이미 CA를 마이그레이션했습니다.
Amazon Trust Services에서 발급한 인증서는 이미 대부분의 웹 브라우저, 운영 체제 및 애플리케이션의 신뢰 스토어에 포함되어 있습니다. 마이그레이션을 처리하기 위해 구성을 업데이트할 필요는 없지만 예외가 있습니다. 사용자 지정 인증서 신뢰 저장소를 구축하거나 인증서 고정 기능을 사용하는 경우 구성을 업데이트해야 할 수 있습니다. 신뢰 스토어에 Amazon Trust Services가 없는 경우 브라우저(예 참조) 및 애플리케이션에 오류 메시지가 표시됩니다.
Amazon Trust Services가 신뢰 저장소에 있는지 확인하려면 Amazon S3 또는 CloudFront 엔드포인트에 연결하는 데 사용하는 시스템에서 다음 테스트 중 하나를 실행합니다.
- 이 테스트 URL에서 테스트 객체를 검색합니다. 그런 다음 200 응답을 받거나 테스트 이미지에 녹색 확인 표시가 표시되는지 확인합니다.
- eu-west-3, eu-north-1, me-south-1, ap-northeast-3, ap-east-1 또는 us-gov-east-1 AWS 리전 중 하나에 Amazon S3 버킷을 생성합니다. 이러한 리전의 S3 버킷은 이미 Amazon Trust Services 인증서를 사용하고 있습니다. 그런 다음 HTTPS를 통해 버킷에서 테스트 객체를 검색합니다.
이러한 테스트 중 하나라도 성공하면 고객은 Amazon Trust Services로 마이그레이션할 준비가 된 것입니다.
Amazon Trust Services의 네 개의 루트 CA가 각각 신뢰 저장소에 포함되어 있는지 확인하려면 다음을 수행합니다.
- Amazon Trust Services 인증서 목록에서 각 테스트 URL을 선택합니다.
- 테스트 URL이 제대로 작동하는지 확인합니다.
이 마이그레이션의 경우 애플리케이션은 Amazon Trust Services의 루트 CA를 직접 신뢰할 필요가 없습니다. 애플리케이션이 스타필드 서비스 루트 CA를 신뢰하는 경우 충분합니다. Amazon S3 및 CloudFront는 스타필드 서비스 루트 CA에서 교차 서명한 Amazon 루트 CA와 함께 인증서 체인을 제공합니다.
처음 두 개 테스트 중 하나라도 실패하면 Amazon Trust Services CA가 신뢰 저장소에 없는 것입니다. 다음 중 하나 이상을 수행하여 Amazon Trust Services CA를 포함하도록 신뢰 저장소를 업데이트합니다.
- 운영 체제 또는 웹 브라우저를 업그레이드합니다.
- 사용자 지정 도메인 이름 또는 자체 인증서와 함께 CloudFront를 사용하도록 애플리케이션을 업데이트합니다.
- 애플리케이션에서 사용자 지정 신뢰 저장소를 사용하는 경우 Amazon 루트 CA를 애플리케이션의 신뢰 저장소에 추가해야 합니다.
- 인증서 고정을 사용하여 신뢰할 수 있는 CA를 잠그는 경우 Amazon Trust Services CA를 포함하도록 고정을 조정해야 합니다.
- 대부분의 AWS SDK 및 AWS CLI(AWS 명령줄 인터페이스)는 마이그레이션의 영향을 받지 않습니다. 하지만 2013년 10월 29일 이전에 출시된 Python AWS SDK 또는 AWS CLI 버전을 사용하는 경우 인증서를 업그레이드해야 합니다.
참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.
관련 정보
How to prepare for AWS move to its own Certificate Authority
관련 콘텐츠
- 질문됨 한 달 전
- AWS 공식업데이트됨 일 년 전
- AWS 공식업데이트됨 4달 전
