SSL 인증서 소개
Cloud Manager에서 SSL(Secure Socket Layer) 인증서를 설치하고 관리하는 데 제공하는 셀프서비스 도구에 대해 알아봅니다.
SSL 인증서란 무엇입니까?
기업과 조직은 SSL(Secure Socket Layer) 인증서를 사용하여 웹 사이트를 보호하고 고객이 웹 사이트를 신뢰할 수 있도록 합니다. SSL 프로토콜을 사용하려면 웹 서버에 SSL 인증서가 필요합니다.
조직 또는 비즈니스와 같은 엔티티가 CA(인증 기관)에 인증서를 요청하면 CA가 확인 프로세스를 완료합니다. 이 프로세스는 도메인 이름 제어 확인에서 회사 등록 문서 및 구독자 계약서 수집에 이르기까지 다양합니다. 엔티티의 정보가 확인된 후, CA는 CA의 개인 키를 사용하여 공개 키에 서명합니다. 모든 주요 인증 기관은 웹 브라우저에 루트 인증서를 가지고 있기 때문에 엔티티의 인증서는 신뢰 체인 을 통해 연결되고 웹 브라우저는 이를 신뢰할 수 있는 인증서로 인식합니다.
IMPORTANTCloud Manager을 사용하여 인증서 관리
Cloud Manager은 SSL 인증서를 설치하고 관리하는 셀프서비스 도구를 제공하여 사용자의 사이트 보안을 보장합니다. Cloud Manager은 인증서 관리를 위한 두 가지 모델을 지원합니다.
| 모델 | 설명 | |
|---|---|---|
| A | Adobe 관리 SSL 인증서(DV) | Cloud Manager을 사용하면 빠른 도메인 설정을 위해 Adobe에서 제공하는 DV(도메인 유효성 검사) 인증서를 구성할 수 있습니다. |
| B | 고객 관리 SSL 인증서(OV/EV) | Cloud Manager은 사용자가 소유한 OV 및 EV SSL 인증서와 암호화하겠습니다. |
두 모델 모두 인증서 관리를 위한 다음과 같은 일반 기능을 제공합니다.
- 각 Cloud Manager 환경은 여러 인증서를 사용할 수 있습니다.
- 하나의 개인 키로 여러 SSL 인증서를 발급할 수 있습니다.
- 플랫폼 TLS 서비스는 종료하는 데 사용된 SSL 인증서와 해당 도메인을 호스팅하는 CDN 서비스를 기반으로 고객의 CDN 서비스로 요청을 라우팅합니다.
IMPORTANTDV(Adobe 관리) SSL 인증서
DV 인증서는 가장 기본적인 수준의 SSL 인증서이며 테스트 목적이나 기본 암호화를 사용하는 웹 사이트 보호에 사용되는 경우가 많습니다. DV 인증서는 프로덕션 프로그램 및 샌드박스 프로그램에서 모두 사용할 수 있습니다.
DV 인증서가 만들어지면 Adobe에서 삭제하지 않는 한 3개월마다 자동으로 갱신합니다.
고객 관리(OV/EV) SSL 인증서
OV 및 EV 인증서는 CA 검증 정보를 제공합니다. 이러한 정보는 사용자가 웹 사이트 소유자, 이메일 발신자 또는 코드 또는 PDF 문서의 디지털 서명자를 신뢰할 수 있는지 평가하는 데 도움이 됩니다. DV 인증서는 이러한 소유권 확인을 허용하지 않습니다.
OV 및 EV는 Cloud Manager의 DV 인증서에 대해 이러한 기능을 추가로 제공합니다.
- 여러 환경에서 OV/EV 인증서를 사용할 수 있습니다. 즉, 한 번 추가할 수 있지만 여러 번 사용됩니다.
- 각 OV/EV 인증서는 일반적으로 여러 도메인을 포함합니다.
- Cloud Manager은 도메인에 대한 와일드카드 OV/EV 인증서를 허용합니다.
TIP고객 관리 OV/EV SSL 인증서 요구 사항
자체 고객 관리 SSL 인증서를 추가하도록 선택하는 경우 이 인증서는 다음과 같은 업데이트된 요구 사항을 충족해야 합니다.
-
DV(도메인 유효성 검사) 인증서 및 자체 서명된 인증서는 지원되지 않습니다.
-
인증서는 OV(조직 유효성 검사) 또는 EV(확장 유효성 검사) 정책을 준수해야 합니다.
-
인증서는 신뢰할 수 있는 CA(인증 기관)에서 발급한 X.509 TLS 인증서여야 합니다.
-
지원되는 암호화 키 유형은 다음과 같습니다.
- RSA 2048비트 표준 지원
2048비트보다 큰 RSA 키(예: 3072비트 또는 4096비트 RSA 키)는 현재 지원되지 않습니다. - 타원 곡선(EC) 키
prime256v1(secp256r1) 및secp384r1 - 타원 곡선 ECDSA(디지털 서명 알고리즘) 인증서. 이러한 인증서는 성능, 보안 및 효율성 향상을 위해 RSA보다 Adobe에서 권장됩니다.
- RSA 2048비트 표준 지원
-
유효성 검사를 통과하려면 인증서의 형식이 올바르게 지정되어야 합니다. 개인 키는
PKCS#8형식이어야 합니다.
NOTEsecp256r1 또는 secp384r1)를 사용하는 것입니다.인증서 관리 우수 사례
-
겹치는 인증서 방지:
- 원활한 인증서 관리를 위해 동일한 도메인과 일치하는 중복 인증서를 배포하지 마십시오. 예를 들어 특정 인증서(*.example.com)와 함께 와일드카드 인증서(*dev.example.com)가 있으면 혼동이 발생할 수 있습니다.
- TLS 계층은 가장 구체적이고 최근에 배포된 인증서의 우선 순위를 지정합니다.
예제 시나리오:
-
"개발 인증서"는
dev.example.com을(를) 포함하며dev.example.com에 대한 도메인 매핑으로 배포됩니다. -
"단계 인증서"는
stage.example.com을(를) 포함하며stage.example.com에 대한 도메인 매핑으로 배포됩니다. -
"스테이지 인증서"가 이후 "개발 인증서"에 배포/업데이트되면
dev.example.com에 대한 요청도 제공됩니다.이러한 충돌을 방지하려면 인증서의 범위가 의도한 도메인으로 지정되어 있는지 확인하십시오.
-
와일드카드 인증서:
와일드카드 인증서(예:
*.example.com)는 지원되지만 필요한 경우에만 사용해야 합니다. 중복될 경우에는 보다 구체적인 인증서가 우선됩니다. 예를 들어 특정 인증서는 와일드카드(*.example.com) 대신dev.example.com을(를) 제공합니다. -
확인 및 문제 해결:
Cloud ManagerAdobe 을 사용하여 인증서를 설치하기 전에openssl과 같은 도구를 사용하여 로컬에서 인증서의 무결성을 확인하는 것이 좋습니다. 예:openssl verify -untrusted intermediate.pem certificate.pem
고객 관리 인증서 형식
Cloud Manager와 함께 설치하려면 SSL 인증서 파일이 PEM 포맷이어야 합니다. PEM 형식의 일반적인 파일 확장명은 .pem,입니다. crt, .cer 및 .cert입니다.
다음 openssl 명령을 사용하여 비PEM 인증서를 변환할 수 있습니다.
-
PFX를 PEM으로 변환
openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes -
P7B를 PEM으로 변환
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer -
DER을 PEM으로 변환
openssl x509 -inform der -in certificate.cer -out certificate.pem
설치된 SSL 인증서 수 제한
Cloud Manager은 설치된 인증서를 최대 50개까지 지원합니다. 이러한 인증서는 프로그램에서 하나 이상의 환경과 연결될 수 있으며 만료된 인증서도 포함됩니다.
한도에 도달한 경우 인증서를 검토하고 만료된 인증서를 삭제하는 것을 고려하십시오. 또는 인증서에 여러 도메인(최대 100개의 SAN)을 포함할 수 있으므로 동일한 인증서에서 여러 도메인을 그룹화합니다.
자세히 알아보기
필요한 권한이 있는 사용자는 Cloud Manager를 사용하여 프로그램의 SSL 인증서를 관리할 수 있습니다. 이러한 기능을 사용하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오.
