이 페이지에서는 Google 관리형 SSL 인증서를 만들고 사용하는 방법을 설명합니다. Show
Google 관리형 SSL 인증서는 도메인에서 Google Cloud가 가져오고 관리하는 도메인 유효성 검사(DV) 인증서입니다. 각 인증서에서 여러 호스트 이름을 지원하며 Google은 인증서를 자동으로 갱신합니다. Google 관리형 인증서는 다음 부하 분산기에서 지원됩니다.
리전 외부 HTTP(S) 부하 분산기와 내부 HTTP(S) 부하 분산기에는 Google 관리 SSL 인증서가 지원되지 않습니다. 이러한 부하 분산기에는 자체 관리형 SSL 인증서를 사용합니다. Google Kubernetes Engine에서 관리형 SSL 인증서를 사용할 수도 있습니다. 자세한 내용은 Google 관리형 SSL 인증서 사용을 참조하세요. 부하 분산기를 만들기 전, 도중 또는 이후에 Google 관리형 인증서를 만들 수 있습니다. 이 페이지에서는 부하 분산기를 만드는 중이 아닌 만들기 전이나 만든 후에 인증서를 생성한다고 가정합니다. 부하 분산기를 만드는 동안 인증서를 만들려면 부하 분산기 방법 페이지를 참조하세요. 시작하기 전에
권한이 가이드를 따라하려면 프로젝트에서 SSL 인증서를 만들고 수정할 수 있어야 합니다. 다음 중 하나가 참일 때 이 작업을 수행할 수 있습니다.
1단계: Google 관리형 SSL 인증서 만들기부하 분산기를 만들기 전, 도중 또는 이후에 Google 관리형 인증서를 만들 수 있습니다. Google Cloud 콘솔에서 부하 분산기를 만드는 과정에서 Google Cloud 콘솔을 사용하여 인증서를 만들 수 있습니다. 또는 부하 분산기를 만들기 전후에 인증서를 만들 수 있습니다. 이 단계에서는 나중에 하나 이상의 부하 분산기에 추가할 수 있는 인증서를 만드는 방법을 보여줍니다. 이미 Google 관리형 SSL 인증서를 만든 경우 이 단계를 건너뛸 수 있습니다. 부하 분산 페이지의 인증서 탭에서 전역 SSL 인증서 작업을 할 수 있습니다. 전역 외부 HTTP(S) 부하 분산기 또는 외부 SSL 프록시 부하 분산기의 전역 Google 관리형 SSL 인증서를 만들려면 다음 자리표시자를 유효한 값으로 바꿉니다. Google 관리형 SSL 인증서를 만들려면 Google 관리 인증서 리소스
Google 관리형 SSL 인증서 상태 확인부하 분산 페이지의 인증서 탭에서 전역 SSL 인증서 상태를 확인할 수 있습니다. Google 관리형 SSL 인증서를 나열하려면
gcloud compute ssl-certificates list \ --global
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global \ --format="get(name,managed.status, managed.domainStatus)" 이 시점에 인증서 상태와 도메인 상태는 상태에 대한 자세한 내용은 문제 해결 페이지를 참조하세요. 2단계: 부하 분산기 만들기 또는 업데이트
SSL 인증서를 만들고
또는 여기에 설명된 대로 이를 사용하여 기존 부하 분산기를 업데이트할 수 있습니다. Google Cloud 콘솔을 사용하여 전역 외부 HTTP(S) 부하 분산기 또는 외부 SSL 프록시 부하 분산기를 업데이트하면 Google Cloud가 자동으로 SSL 인증서를 올바른 대상 프록시와 연결합니다. 전역 외부 HTTP(S) 부하 분산기의 대상 HTTPS 프록시와 SSL
인증서를 연결하려면 외부 SSL 프록시 부하 분산기의 대상 SSL 프록시에 SSL 인증서를 연결하려면 자리표시자를 유효한 값으로 바꿉니다. 대상 HTTPS 프록시를 만들려면 대상 SSL 프록시를 만들려면
각 대상 HTTPS 프록시 또는 대상 SSL 프록시는 하나 이상의 SSL 인증서를 참조해야 합니다. 대상 프록시는 둘 이상의 SSL 인증서를 참조할 수 있습니다. 자세한 내용은 부하 분산 리소스 할당량 및 한도의 대상 풀 및 대상 프록시를 참조하세요. 3단계: 대상 프록시 연결 확인부하 분산기를 만들거나 업데이트한 후 SSL 인증서가 부하 분산기의 대상 프록시와 연결되어 있는지 확인할 수 있습니다. 대상 프록시의 이름을 모르는 경우 다음 명령어를 실행하여 SSL 인증서와 대상 프록시 사이의 연결을 확인합니다. 전역 외부 HTTP(S) 부하 분산기: gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \ --global \ --format="get(sslCertificates)" 외부 SSL 프록시 부하 분산기: gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \ --format="get(sslCertificates)" 이 시점에서 Google 관리형 인증서 상태는 4단계: 부하 분산기의 IP 주소를 가리키도록 DNS A 및 AAAA 레코드 업데이트DNS 레코드는 등록기관의 사이트, DNS 호스트 또는 ISP에서 관리할 수 있습니다. DNS 레코드를 관리하는 위치에서 도메인과 하위 도메인의 DNS A 레코드(IPv4용) 및 DNS AAAA 레코드(IPv6용)를 추가하거나 업데이트해야 합니다. A/AAAA 레코드를 사용하여 레코드가 부하 분산기의 전달 규칙과 연결된 IP 주소를 가리키는지 확인합니다. Cloud DNS 및 Google Domains를 사용할 경우 도메인을 설정하고 네임서버를 업데이트합니다. Google 관리 인증서에 여러 도메인이 있으면 모든 도메인 및 하위 도메인에 대해 DNS 레코드를 추가하거나 업데이트합니다. 모두 부하 분산기의 IP 주소를 가리켜야 합니다. 다음 조건을 충족하는 경우 관리형 인증서가를 성공적으로 프로비저닝할 수 있습니다.
dig www.example.com ; <<>> DiG 9.10.6 <<>> www.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: ;; PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: ;; SECTION: ;www.example.com. ;; SECTION: www.example.com. example.net. example.net. 34.95.64.10 ;; time: ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: 16:54:44 ;; rcvd: 31748 qr rd 1 OPT 512 QUESTION IN A ANSWER 1742 IN CNAME 12 IN A Query 43 msec Wed Jun 03 PDT 2020 MSG SIZE 193> 이 예시에서 인터넷의 DNS 리졸버는 Google Cloud를 제어할 수 없습니다. TTL(수명)에 따라 리소스 레코드 집합을 캐시합니다. 즉, DNS 레코드 전파 시간새로 업데이트된 DNS A 및 AAAA 레코드가 완전히 전파되는 데 상당한 시간이 걸릴 수 있습니다. 인터넷에서 전파하는 데 전 세계적으로 최대 72시간까지 걸릴 때도 있지만 일반적으로 몇 시간 정도 소요됩니다. 다음 명령어를 다시 실행합니다. gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --format="get(managed.domainStatus)" 도메인 상태가 자세한 내용은 문제 해결 페이지에서 Google 관리형 SSL 인증서 도메인 상태 섹션을 참조하세요. 5단계: OpenSSL로 테스트인증서 및 도메인 상태가 활성화된 후 부하 분산기가 Google 관리 SSL 인증서를 사용하는 데 최대 30분이 걸릴 수 있습니다. 테스트하려면
다음 OpenSSL 명령어를 실행하여 echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error 이 명령어는 부하 분산기가 클라이언트에 제공하는 인증서를 출력합니다. 출력에는 세부정보와 함께 인증서 체인과 추가 절차이 섹션에는 인증서 관리를 위한 추가적인 절차가 포함되어 있습니다. Google 관리 SSL 인증서로 여러 도메인 지원여러 주체 대체 이름이 지원됩니다. 각 Google 관리형 SSL 인증서는 Google 관리형 SSL 인증서당 최대 도메인 수를 지원합니다. 최대 도메인 수보다 많다면 여러 개의 Google 관리형 인증서를 요청해야 합니다. 예를 들어 (최대 개수 +1)개의 도메인이 있는 Google 관리형 인증서를 만들고자 한다면 Google에서는 그러한 인증서를 발급하지 않습니다. 대신 두 개 이상의 Google 관리형 인증서를 만들고 각 인증서에 연결되는 도메인을 명시적으로 지정해야 합니다. Google Cloud는 RFC 6066에 정의된 대로 서버 이름 표시(SNI)를 구현합니다. 관리형 인증서의 도메인 또는 하위 도메인이 부하 분산기의 IP 주소를 가리키지 않으면 갱신 프로세스가 실패합니다. 갱신 실패를 방지하려면 모든 도메인과 하위 도메인이 부하 분산기의 IP 주소를 가리키는지 확인하세요. Google 관리형 SSL 인증서 갱신Google Cloud는 90일 동안 유효한 관리형 인증서를 프로비저닝합니다. 만료 1개월 전에 인증서 갱신 프로세스가 자동으로 시작됩니다. 이를 위해 도메인의 인증 기관 승인(CAA) DNS 레코드와 CA 목록 모두에 있는 인증 기관(CA)이 선택됩니다. 갱신에 사용되는 CA는 Google 관리형 인증서의 이전 버전을 발급하는 데 사용한 CA와 다를 수 있습니다. 도메인의 인증 기관 승인(CAA) DNS 레코드로 Google 관리형 인증서가 사용하는 CA 목록에서 단일 CA를 지정하여 Google Cloud가 갱신에 사용하는 CA를 제어할 수 있습니다. 관리형 인증서의 도메인 또는 하위 도메인이 부하 분산기의 IP 주소를 가리키지 않으면 갱신 프로세스가 실패합니다. 갱신 실패를 방지하려면 모든 도메인과 하위 도메인이 부하 분산기의 IP 주소를 가리키는지 확인하세요. Google 관리형 인증서를 발급할 수 있는 CA 지정DNS 소프트웨어에서 Google 관리형 인증서를 발급하도록 허용하려는 CA를 명시적으로 승인하는 것이 좋습니다. 모든 시나리오에 필수는 아니지만 특정 상황에서 필요합니다. 예를 들어 외부 DNS 서비스를 사용 중이고 Google 관리형 인증서가 취소되었으면 하나 이상의 특정 CA에서 발급된 새 인증서만 서비스에서 검증할 수 있습니다. 이를 위해 DOMAIN. CAA 0 issue "pki.goog" DOMAIN. CAA 0 issue "letsencrypt.org"
인증서를 처음 만들면 Google Cloud에서
자세한 내용은 RFC, CAA DNS 레코드를 참조하세요.
Cloud DNS를 사용할 경우 레코드를 추가하는 방법을 알아보고 기존 SSL 인증서 교체기존 SSL 인증서를 교체하려면 다음 안내를 따르세요.
이전 SSL 인증서를 삭제하지 않으면 인증서가 만료될 때까지 ACTIVE 상태로 유지됩니다. 자체 관리형 SSL 인증서에서 Google 관리형 SSL 인증서로 마이그레이션부하 분산기가 자체 관리형 SSL 인증서를 사용하다가 Google 관리형 SSL 인증서로 마이그레이션할 때는 다음 단계를 이 순서대로 수행해야 합니다.
SSL 인증서 삭제SSL 인증서를 삭제하기 전에 이 인증서를 참조하는 HTTPS 또는 SSL 대상 프록시가 없는지 확인하세요. 여기에는 두 가지 방법이 있습니다.
SSL 인증서를 하나 이상 삭제하려면 다음 안내를 따르세요. 부하 분산 페이지의 인증서 탭에서 전역 SSL 인증서를 삭제할 수 있습니다. 전역 SSL 인증서(외부 HTTP(S) 부하 분산기 또는 외부 SSL 프록시 부하 분산기용)를 삭제하려면 자리표시자를 유효한 값으로 바꿉니다. 다음 단계
|