인증서 관리자의 작동 방식

인증서 관리자는 할당할 수 있는 인증서와 사용자 환경의 각 도메인 이름에 대한 인증서 제공 방법을 세밀하게 제어할 수 있게 해주는 유연한 매핑 메커니즘을 사용합니다.

다음 다이어그램은 부하 분산기 전달 규칙에 지정된 일반적인 대상 프록시의 Certificate Manager 구성요소 간의 관계를 보여줍니다.

인증 관리자 구성요소와 부하 분산기의 대상 프록시 간의 관계
인증서 관리자 항목(확대하려면 클릭)

인증서 관리자의 구성요소에 관한 자세한 내용은 핵심 구성요소를 참고하세요.

인증서 선택 로직

대략적으로 부하 분산기는 다음과 같이 인증서를 선택합니다.

  1. 클라이언트는 부하 분산기 뒤에 있는 서비스에 대한 연결 요청인 핸드셰이크를 시작합니다.

    핸드셰이크 중에 클라이언트는 부하 분산기에 클라이언트가 핸드셰이크를 완료하는 데 사용하는 암호화 알고리즘 목록과 연결하려는 호스트 이름(선택사항)을 제공합니다. 이 호스트 이름을 서버 이름 표시 (SNI)라고도 합니다.

  2. 부하 분산기는 요청을 수신하면 보안 핸드셰이크를 완료하기 위해 인증서를 선택합니다.

    • 정확한 호스트 이름 일치: 클라이언트가 제공한 호스트 이름이 프로비저닝된 인증서 맵의 호스트 이름 항목과 정확하게 일치하는 경우 부하 분산기에서 해당 인증서를 선택합니다.

    • 와일드 카드 호스트 이름 일치: 클라이언트의 호스트 이름이 프로비저닝된 인증서 맵의 호스트 이름 항목과 일치하지 않지만 인증서 맵 항목의 와일드 카드 호스트 이름과 일치하는 경우 부하 분산기는 해당 인증서를 선택합니다.

      예를 들어 *.myorg.example.com으로 구성된 와일드 카드 항목은 myorg.example.com 도메인의 첫 번째 수준 하위 도메인을 포괄합니다. 와일드 카드 항목은 sub.subdomain.myorg.example.com와 같은 더 깊은 수준의 하위 도메인을 다루지 않습니다.

    • 정확한 호스트 이름 또는 와일드 카드 호스트 이름 일치 없음: 클라이언트의 호스트 이름이 프로비저닝된 인증서 맵의 호스트 이름 항목과 일치하지 않으면 부하 분산기는 기본 인증서 맵 항목을 선택합니다.

    • 핸드셰이크 실패: 클라이언트가 호스트 이름을 제공하지 않았고 기본 인증서 맵 항목이 구성되지 않은 경우 핸드셰이크가 실패합니다.

인증서 우선순위

부하 분산기는 인증서를 선택할 때 다음 요소를 기준으로 우선순위를 지정합니다.

  • 인증서 유형 클라이언트가 ECDSA 인증서를 지원하는 경우 부하 분산기는 RSA 인증서보다 이를 더 우선시합니다. 클라이언트가 ECDSA 인증서를 지원하지 않으면 부하 분산기는 대신 RSA 인증서를 제공합니다.
  • 인증서 크기. 인증서가 작을수록 대역폭이 적게 사용되므로 부하 분산기는 큰 인증서보다 작은 인증서를 우선시합니다.

와일드 카드 도메인 이름

와일드 카드 도메인 이름에는 다음 규칙이 적용됩니다.

  • DNS 승인을 사용하는 Google 관리형 인증서와 CA 서비스를 사용하는 Google 관리형 인증서만 와일드 카드 도메인 이름을 지원합니다. 부하 분산기 승인을 사용하는 Google 관리형 인증서는 와일드 카드 도메인 이름을 지원하지 않습니다.
  • 항목에 둘 다 정의된 경우 일치검색이 와일드 카드보다 우선 적용됩니다. 예를 들어 www.myorg.example.com*.myorg.example.com에 대한 인증서 맵 항목을 구성한 경우 www.myorg.example.com에 대한 연결 요청은 *.myorg.example.com 항목이 있더라도 항상 www.myorg.example.com의 항목을 선택합니다.
  • 와일드 카드 도메인 이름은 첫 번째 수준의 하위 도메인과만 일치합니다. 예를 들어 host1.myorg.example.com에 대한 연결 요청은 host1.hosts.myorg.example.com에 대한 것이 아닌 *.myorg.example.com에 대한 인증서 맵 항목을 선택합니다.

인증서 갱신

Google 관리형 인증서는 자동으로 갱신됩니다. 자체 관리형 인증서는 수동으로 갱신해야 합니다. 필요한 경우 인증서가 만료되기 전에 Cloud Logging 알림을 구성할 수 있습니다. 자세한 내용은 로그 알림 구성을 참고하세요.

다음 단계