SAA-C03 핵심 #33, ACM

SSL 인증서

• 접속하고자 하는 서버가 공격자의 서버가 아닌 서비스 제공자의 서버임을 제3자(인증서버)가 인증하기 위해 만든 인증서
• 서버가 SSL 인증서를 공개 및 게시하면 서버에 접속하고자 하는 사용자가 SSL 인증서를 획득, 제3자에게 인증을 요청하여 인증서를 게시한 서버가 위조된 서버가 아님을 확인함
• SSL 인증서의 생성과 사용에는 DNS(Domain Name System)가 깊히 관여함
• SSL 인증서는 서버의 인증뿐만 아니라 사용자와 서버간 패킷을 암호화하기 위해 사용하는 데이터 키를 암호화할 키를 제공함
  
  • 공개키 암호화, 대칭키 암호화 방식에 대한 이해 필요
• SSL 인증서를 활용한 사용자와 서버의 통신 과정을 "SSL Handshake"라고 부름
  
  • 현재에 이르러서 SSL가 아닌 TLS가 사용되기에 "TLS Handshake"라고 부름

 

AWS Certificate Manager(ACM)란?

• AWS가 무료로 제공하는, AWS 서비스에 연결 가능한 SSL 인증서 서비스
• AWS가 직접 제공하는 인증서와 서드 파티 인증서(외부)를 가져와 AWS 서비스에서 활용 가능
• ACM이 적용 가능한 서비스는 아래와 같음(일부만 기재)
  
  • Elastic Load Balancing
  • Cloudfront(버지니아 리전에서 인증서를 요청해야 적용 가능)
  • API Gateway
  • Cognito
  • Cloudformation
  • Network Firewall
• ACM에서 인증서를 생성하기 위해서는 정규화된 도메인(FQDN) 소유 및 입력 필요(혹은 와일드카드 마스크 사용 가능)
• 보유한 도메인을 통한 인증서 생성 후에는 인증 과정을 거치며 아래 2가지 중 한 가지를 반드시 실행해야 함, 인증 과정을 거친 후에 사용 가능
  
  • DNS 검증 : 인증서를 요청한 도메인에 대해 CNAME(ACM이 요구하는)을 생성하여 도메인에 대한 소유 및 제어권 확인 가능
  • 이메일 검증 : 인증서를 요청한 도메인에 대해 등록된 도메인 소유자에게 이메일을 보내는 방식으로 WHOIS를 활용해 도메인에 등록된 관리자를 확인함