Google 관리형 인증서에 대한 도메인 승인

이 페이지에서는 Google 관리형 인증서에서 도메인 승인이 작동하는 방식을 설명합니다. 부하 분산기 승인을 DNS 승인과 비교하고 인증서 관리자가 각 방법을 사용하여 도메인 소유권을 확인하는 방법을 설명합니다.

Certificate Authority Service가 발급한 Google 관리형 인증서에는 도메인 승인이 적용되지 않습니다. 이러한 인증서에 대한 자세한 내용은 Certificate Authority Service로 Google 관리형 인증서 배포를 참조하세요.

인증서 관리자를 사용하면 다음 방법 중 하나로 Google 관리형 인증서를 발급할 도메인의 소유권을 증명할 수 있습니다.

  • 부하 분산기 승인은 더 빠르게 구성되지만 와일드 카드 인증서를 지원하지 않습니다. 또한 부하 분산기가 완전히 설정되고 네트워크 트래픽을 제공한 후에만 인증서를 프로비저닝할 수 있습니다.
  • DNS 승인을 사용하려면 도메인 소유권 증명을 위해 추가 전용 DNS 레코드를 구성해야 하지만 대상 프록시가 네트워크 트래픽을 처리할 준비가 되기 전에 미리 인증서를 프로비저닝할 수 있습니다. 이렇게 하면 타사 솔루션에서 Google Cloud로 다운타임 없이 마이그레이션할 수 있습니다.

부하 분산기 승인

Google 관리형 인증서를 발급하는 가장 간단한 방법은 부하 분산기 승인을 사용하는 것입니다. 이 방법은 DNS 구성 변경을 최소화하지만 모든 구성 단계가 완료된 후에만 TLS (SSL) 인증서를 프로비저닝합니다. 따라서 이 방법은 설정이 완료될 때까지 프로덕션 트래픽이 유입되지 않고 환경을 처음부터 설정하는 데 가장 적합합니다.

부하 분산기 승인으로 Google 관리형 인증서를 만들려면 배포가 다음 요구사항을 충족해야 합니다.

  • 대상 도메인을 제공하는 모든 IP 주소의 포트 443에서 Google 관리 인증서에 액세스할 수 있어야 합니다. 그렇지 않으면 프로비저닝이 실패합니다. 예를 들어 IPv4 및 IPv6에 별도의 부하 분산기가 있으면 각각에 동일한 Google 관리형 인증서를 할당해야 합니다.
  • DNS 구성에서 부하 분산기의 IP 주소를 명시적으로 지정해야 합니다. CDN과 같은 중간 레이어로 인해 예측할 수 없는 동작이 발생할 수 있습니다.
  • 대상 도메인은 인터넷에서 공개적으로 확인할 수 있어야 합니다. 분할된 범위 또는 DNS 방화벽 환경은 인증서 프로비저닝을 방해할 수 있습니다.

DNS 승인

DNS 승인을 사용하면 프로덕션 환경이 완전히 설정되기 전이라도 도메인 소유권을 확인하고 Google 관리형 인증서를 프로비저닝할 수 있습니다. 이는 인증서를 Google Cloud로 이전할 때 특히 유용합니다.

인증서 관리자는 DNS 레코드를 통해 도메인 소유권을 확인합니다. 각 DNS 승인은 DNS 레코드에 대한 정보를 저장하고 단일 도메인과 해당 와일드 카드 (예: myorg.example.com*.myorg.example.com)를 포함합니다.

Google 관리형 인증서를 만들 때 인증서 프로비저닝 및 갱신에 DNS 승인을 하나 이상 사용할 수 있습니다. 단일 도메인에 여러 인증서가 있는 경우 모두 동일한 DNS 승인을 사용할 수 있습니다. 하지만 DNS 승인에는 인증서에 나열된 모든 도메인이 포함되어야 합니다. 그렇지 않으면 인증서 생성 및 갱신이 실패합니다.

DNS 승인을 설정하려면 DNS 구성에 CNAME 레코드를 추가해야 합니다. 이 레코드는 타겟 도메인 아래의 하위 도메인을 확인하는 데 사용됩니다. CNAME 레코드는 인증서 관리자가 도메인 소유권을 확인하는 데 사용하는 특수한 Google Cloud 도메인을 가리킵니다. DNS 승인을 만들면 인증서 관리자가 이 CNAME 레코드를 반환하고 소유권을 확인합니다.

또한 CNAME 레코드는 인증서 관리자가 Google Cloud 프로젝트 내에서 대상 도메인의 인증서를 프로비저닝하고 갱신할 수 있는 권한을 부여합니다. 이러한 권한을 취소하려면 DNS 구성에서 CNAME 레코드를 삭제합니다.

프로젝트별 DNS 승인

프로젝트별 DNS 승인을 사용하면 각 Google Cloud 프로젝트 내에서 인증서를 독립적으로 관리할 수 있습니다. 인증서 관리자는 프로젝트별 DNS 승인을 사용하여 각 프로젝트의 인증서를 개별적으로 발급하고 처리할 수 있습니다. 프로젝트 내에서 사용되는 DNS 승인 및 인증서는 독립형이며 다른 프로젝트의 아티팩트와 상호작용하지 않습니다.

프로젝트별 DNS 승인을 활성화하려면 DNS 승인을 만들 때 PER_PROJECT_RECORD 옵션을 선택합니다. 그러면 해당 프로젝트에 맞는 하위 도메인과 타겟을 모두 포함하는 고유한 CNAME 레코드가 수신됩니다. 이 CNAME 레코드는 관련 도메인의 DNS 영역에 추가해야 합니다.

다음 단계