SSL 인증서 소개 introduction
Cloud Manager에서 SSL(Secure Socket Layer) 인증서를 설치하고 관리하는 데 제공하는 셀프서비스 도구에 대해 알아봅니다.
SSL 인증서란 무엇입니까? overview
기업과 조직은 SSL(Secure Socket Layer) 인증서를 사용하여 웹 사이트를 보호하고 고객이 웹 사이트를 신뢰할 수 있도록 합니다. SSL 프로토콜을 사용하려면 웹 서버에 SSL 인증서가 필요합니다.
조직 또는 비즈니스와 같은 엔티티가 CA(인증 기관)에 인증서를 요청하면 CA가 확인 프로세스를 완료합니다. 이 프로세스는 도메인 이름 제어 확인에서 회사 등록 문서 및 구독자 계약서 수집에 이르기까지 다양합니다. 엔티티의 정보가 확인된 후, CA는 CA의 개인 키를 사용하여 공개 키에 서명합니다. 모든 주요 인증 기관은 웹 브라우저에 루트 인증서를 가지고 있기 때문에 엔티티의 인증서는 신뢰 체인을 통해 연결되고 웹 브라우저는 이를 신뢰할 수 있는 인증서로 인식합니다.
Cloud Manager을 사용하여 인증서 관리 cloud-manager
Cloud Manager은 SSL 인증서를 설치하고 관리하는 셀프서비스 도구를 제공하여 사용자의 사이트 보안을 보장합니다. Cloud Manager은 인증서 관리를 위한 두 가지 모델을 지원합니다.
두 모델 모두 인증서 관리를 위한 다음과 같은 일반 기능을 제공합니다.
- 각 Cloud Manager 환경은 여러 인증서를 사용할 수 있습니다.
- 하나의 개인 키로 여러 SSL 인증서를 발급할 수 있습니다.
- 플랫폼 TLS 서비스는 종료하는 데 사용된 SSL 인증서와 해당 도메인을 호스팅하는 CDN 서비스를 기반으로 고객의 CDN 서비스로 요청을 라우팅합니다.
DV(Adobe 관리) SSL 인증서 adobe-managed
DV 인증서는 가장 기본적인 수준의 SSL 인증서이며 테스트 목적이나 기본 암호화를 사용하는 웹 사이트 보호에 사용되는 경우가 많습니다. DV 인증서는 프로덕션 프로그램 및 샌드박스 프로그램에서 모두 사용할 수 있습니다.
DV 인증서가 만들어지면 Adobe에서 삭제하지 않는 한 3개월마다 자동으로 갱신합니다.
고객 관리(OV/EV) SSL 인증서 customer-managed
OV 및 EV 인증서는 CA 검증 정보를 제공합니다. 이러한 정보는 사용자가 웹 사이트 소유자, 이메일 발신자 또는 코드 또는 PDF 문서의 디지털 서명자를 신뢰할 수 있는지 평가하는 데 도움이 됩니다. DV 인증서는 이러한 소유권 확인을 허용하지 않습니다.
OV 및 EV는 Cloud Manager의 DV 인증서에 대해 이러한 기능을 추가로 제공합니다.
- 여러 환경에서 OV/EV 인증서를 사용할 수 있습니다. 즉, 한 번 추가할 수 있지만 여러 번 사용됩니다.
- 각 OV/EV 인증서는 일반적으로 여러 도메인을 포함합니다.
- Cloud Manager은 도메인에 대한 와일드카드 OV/EV 인증서를 허용합니다.
고객 관리 OV/EV SSL 인증서 요구 사항 requirements
자체 고객 관리 SSL 인증서를 추가하도록 선택하는 경우 이 인증서는 다음과 같은 업데이트된 요구 사항을 충족해야 합니다.
-
DV(도메인 유효성 검사) 인증서 및 자체 서명된 인증서는 지원되지 않습니다.
-
인증서는 OV(조직 유효성 검사) 또는 EV(확장 유효성 검사) 정책을 준수해야 합니다.
-
인증서는 신뢰할 수 있는 CA(인증 기관)에서 발급한 X.509 TLS 인증서여야 합니다.
-
지원되는 암호화 키 유형은 다음과 같습니다.
- RSA 2048비트 표준 지원
2048비트보다 큰 RSA 키(예: 3072비트 또는 4096비트 RSA 키)는 현재 지원되지 않습니다. - 타원 곡선(EC) 키
prime256v1(secp256r1) 및secp384r1 - 타원 곡선 ECDSA(디지털 서명 알고리즘) 인증서. 이러한 인증서는 성능, 보안 및 효율성 향상을 위해 RSA보다 Adobe에서 권장됩니다.
- RSA 2048비트 표준 지원
-
유효성 검사를 통과하려면 인증서의 형식이 올바르게 지정되어야 합니다. 개인 키는
PKCS#8형식이어야 합니다.
secp256r1 또는 secp384r1)를 사용하는 것입니다.인증서 관리 우수 사례
-
겹치는 인증서 방지:
- 원활한 인증서 관리를 위해 동일한 도메인과 일치하는 중복 인증서를 배포하지 마십시오. 예를 들어 특정 인증서(*.example.com)와 함께 와일드카드 인증서(*dev.example.com)가 있으면 혼동이 발생할 수 있습니다.
- TLS 계층은 가장 구체적이고 최근에 배포된 인증서의 우선 순위를 지정합니다.
예제 시나리오:
-
"개발 인증서"는
dev.example.com을(를) 포함하며dev.example.com에 대한 도메인 매핑으로 배포됩니다. -
"단계 인증서"는
stage.example.com을(를) 포함하며stage.example.com에 대한 도메인 매핑으로 배포됩니다. -
"스테이지 인증서"가 이후 "개발 인증서"에 배포/업데이트되면
dev.example.com에 대한 요청도 제공됩니다.이러한 충돌을 방지하려면 인증서의 범위가 의도한 도메인으로 지정되어 있는지 확인하십시오.
-
와일드카드 인증서:
와일드카드 인증서(예:
*.example.com)는 지원되지만 필요한 경우에만 사용해야 합니다. 중복될 경우에는 보다 구체적인 인증서가 우선됩니다. 예를 들어 특정 인증서는 와일드카드(dev.example.com) 대신*.example.com을(를) 제공합니다. -
확인 및 문제 해결:
Cloud ManagerAdobe 을 사용하여 인증서를 설치하기 전에openssl과 같은 도구를 사용하여 로컬에서 인증서의 무결성을 확인하는 것이 좋습니다. 예:openssl verify -untrusted intermediate.pem certificate.pem
고객 관리 인증서 형식 certificate-format
Cloud Manager와 함께 설치하려면 SSL 인증서 파일이 PEM 포맷이어야 합니다. PEM 형식의 일반적인 파일 확장명은 .pem,입니다. crt, .cer 및 .cert입니다.
다음 openssl 명령을 사용하여 비PEM 인증서를 변환할 수 있습니다.
-
PFX를 PEM으로 변환
code language-shell openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes -
P7B를 PEM으로 변환
code language-shell openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer -
DER을 PEM으로 변환
code language-shell openssl x509 -inform der -in certificate.cer -out certificate.pem
제한 사항 limitations
설치된 SSL 인증서 수 number-installed-ssl-certs
Cloud Manager은 설치된 인증서를 최대 70개까지 지원합니다. 이러한 인증서는 프로그램에서 하나 이상의 환경과 연결될 수 있으며 만료된 인증서도 포함됩니다.
한도에 도달한 경우 인증서를 검토하고 만료된 인증서를 삭제하는 것을 고려하십시오. 또는 인증서에 여러 도메인(최대 100개의 SAN)을 포함할 수 있으므로 동일한 인증서에서 여러 도메인을 그룹화합니다.
Adobe 관리 DV 인증서에 대한 속도 제한을 암호화하겠습니다
Adobe 관리 DV 인증서는 Let's Encrypt에 의존합니다. 설치된 인증서에 대한 Cloud Manager 제한 외에도 Let's Encrypt는 자체 비율 제한을 적용합니다. 하나의 키 제한은 정확한 식별자 집합당 새 인증서입니다. 7일 이내에 동일한 호스트 이름 집합에 대해 최대 5개의 인증서를 발급할 수 있습니다. 이 한도에 도달하면 Cloud Manager에 오류가 표시되고 속도 제한 창이 재설정될 때까지 해당 호스트 이름 집합에 대한 추가 인증서를 생성할 수 없습니다. 최신 값 및 기타 관련 제한에 대한 자세한 내용은 속도 제한 암호화하기를 참조하십시오.
자세히 알아보기 learn-more
필요한 권한이 있는 사용자는 Cloud Manager를 사용하여 프로그램의 SSL 인증서를 관리할 수 있습니다. 이러한 기능을 사용하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오.