이 페이지에서는 Certificate Manager의 핵심 구성요소와 개념을 간략하게 설명합니다.
인증서
인증서는 특정 도메인 이름 또는 도메인 와일드 카드에 발급된 단일 X.509 전송 계층 보안 (TLS) (SSL) 인증서를 나타냅니다.
인증서 관리자는 다음과 같은 인증서 유형을 지원합니다.
- Google 관리형 인증서: Google Cloud에서 대신 발급받아서 관리하는 인증서입니다. 새 Google 관리형 인증서가 발급되거나 갱신될 때 인증서 관리자는 인증서에 새로 생성된 비공개 키를 사용합니다.
- 자체 관리형 인증서: 사용자가 직접 가져와 프로비저닝하고 갱신하는 인증서
Google 관리형 인증서
Google 관리형 인증서는 Google Cloud 에서 가져와 관리하는 TLS 인증서입니다. 인증서 관리자를 사용하면 Google 관리형 인증서를 만들고, 관리하고, 자동으로 갱신할 수 있습니다. 인증서 관리자를 사용하면 부하 분산기 기반 승인 또는 DNS 기반 승인을 사용하여 도메인 소유권을 확인할 수도 있습니다.
인증서 관리자는 공개 인증 기관 (CA) 및 Let's Encrypt CA를 지원합니다. 기본적으로 Public CA에서 Google 관리 인증서를 발급합니다. 특정 도메인에 대해 Public CA에서 인증서를 가져올 수 없는 경우 인증서 관리자는 Let's Encrypt CA로 돌아갑니다. 이 문제는 공개 CA가 도메인에 대한 인증서 발급을 거부하거나 인증 기관 승인 (CAA) 레코드로 인해 해당 도메인에서 공개 CA의 인증서 발급이 명시적으로 금지된 경우에 발생할 수 있습니다. 도메인의 인증서를 발급할 수 있는 CA를 제한하는 방법에 대한 자세한 내용은 Google 관리형 인증서를 발급할 수 있는 CA 지정을 참고하세요.
인증서 관리자와 함께 Google 관리 인증서를 사용할 때 유의해야 할 몇 가지 중요한 사항은 다음과 같습니다.
- 인증서 관리자는 RSA Google 관리 인증서를 지원합니다.
- 리전별 Google 관리형 인증서는 DNS 기반 승인만 지원하며 공개 CA에서 인증서를 가져옵니다.
- 상호 TLS의 클라이언트 인증서로 Google 관리형 인증서를 사용하는 것은 지원되지 않습니다.
- 공개 Google 관리형 인증서의 기본 유효 기간은
EDGE_CACHE을 제외한 모든 범위에서 90일입니다.EDGE_CACHE의 유효 기간은 30일입니다. 공개 Google 관리형 인증서의 유효성을 변경하는 것은 지원되지 않습니다.
공개 및 비공개 인증서
인증서 관리자는 공개 인증서와 비공개 인증서를 모두 관리할 수 있습니다. 인증서 관리자는 Public CA에서 공개 인증서를 가져옵니다. 이 인증서는 공개 서비스를 보호하는 데 사용되는 경우가 많습니다. 주요 브라우저, 운영체제, 애플리케이션은 Public CA를 신뢰할 수 있는 루트로 인식합니다. Certificate Manager는 CA Service에서 비공개 인증서를 가져옵니다. 비공개 인증서는 비공개 서비스를 보호하는 데 사용되는 경우가 많습니다.
자체 관리형 인증서
비즈니스 요구사항에 따라 Google 관리형 인증서를 사용할 수 없는 경우 연결된 키와 함께 외부 CA에서 발급된 인증서를 업로드할 수 있습니다. 이러한 자체 관리형 인증서는 수동으로 발급하고 갱신해야 합니다.
지원되는 키 유형
부하 분산기는 다양한 키 유형의 비공개 키를 사용하는 인증서를 지원합니다. 다음 표에서는 인증서가 자체 관리형인지 Google 관리형인지에 따라 지원되는 키 유형을 보여줍니다.|
SSL 인증서 유형 arrow_forward 키 유형 arrow_downward |
인증서 관리자 SSL 인증서 | ||
|---|---|---|---|
| 전역 및 리전 | |||
| 자체 관리형 | 공개적으로 신뢰할 수 있는 Google 관리형 | 비공개로 신뢰할 수 있는 Google 관리형 | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
도메인 승인
인증서 관리자를 사용하면 다음 방법 중 하나로 Google 관리형 인증서를 발급할 도메인의 소유권을 증명할 수 있습니다.
부하 분산기 승인: DNS 레코드를 만들지 않고 지원되는 부하 분산기에 인증서를 직접 배포합니다.
DNS 승인: 도메인 소유권 확인을 위한 전용 DNS 레코드를 만든 후 지원되는 부하 분산기에 인증서를 직접 배포합니다.
자세한 내용은 Google 관리형 인증서의 도메인 승인 유형을 참고하세요.
자가 관리 인증서에는 도메인 승인이 필요하지 않습니다.
인증서 맵
인증서 맵은 특정 인증서를 특정 호스트 이름에 할당하는 하나 이상의 인증서 맵 항목을 참조합니다. 인증서 맵 항목은 클라이언트 연결을 설정할 때 부하 분산기가 따르는 선택 로직도 정의합니다. 여러 부하 분산기에서 재사용할 수 있도록 인증서 맵을 여러 대상 프록시와 연결할 수 있습니다.
클라이언트가 인증서 맵에 지정된 호스트 이름을 요청하면 부하 분산기는 해당 호스트 이름에 매핑된 인증서를 제공합니다. 그렇지 않으면 부하 분산기가 대상 프록시에 대해 나열된 첫 번째 인증서인 기본 인증서를 제공합니다. 자세한 내용은 인증서 관리자 작동 방식을 참고하세요.
다음 부하 분산기에서는 인증서 맵을 지원합니다.
- 전역 외부 애플리케이션 부하 분산기
- 전역 외부 프록시 네트워크 부하 분산기
인증서 맵을 만들고 관리하는 방법에 대한 자세한 내용은 인증서 맵 관리를 참고하세요.
인증서 맵 항목
인증서 맵 항목은 특정 도메인 이름에 제공되는 인증서 목록입니다. 동일한 도메인에 서로 다른 인증서 집합을 정의할 수 있습니다. 예를 들어 ECDSA 및 RSA 인증서를 업로드하고 동일한 도메인 이름에 매핑할 수 있습니다.
클라이언트가 도메인 이름에 연결하면 부하 분산기는 핸드셰이크 도중 클라이언트에 제공할 인증서 유형을 협상합니다.
단일 인증서 맵 항목과 최대 4개의 인증서를 연결할 수 있습니다.
인증서 맵 항목 만들기 및 관리에 대한 자세한 내용은 인증서 맵 항목 관리를 참고하세요.
트러스트 구성
트러스트 구성은 상호 TLS 인증 시나리오에 사용할 인증서 관리자의 공개 키 인프라(PKI) 구성을 나타내는 리소스입니다. 단일 트러스트 저장소를 캡슐화하고 차례로 신뢰 앵커와 하나 이상의 중간 인증서(선택사항)를 캡슐화합니다.
상호 TLS (mTLS) 인증에 대해 자세히 알아보려면 Cloud Load Balancing 문서의 상호 TLS 개요를 참고하세요.
트러스트 구성 및 구성요소에 대한 자세한 내용은 트러스트 구성 관리를 참고하세요.
트러스트 저장소
트러스트 저장소는 상호 TLS 인증 시나리오에 사용할 인증서 관리자의 트러스트 보안 비밀 구성을 나타냅니다. 트러스트 저장소는 단일 신뢰 앵커와 하나 이상의 중간 인증서(선택사항)를 캡슐화합니다.
트러스트 구성 리소스에는 다음 제한사항이 적용됩니다.
- 트러스트 구성 리소스는 단일 트러스트 저장소를 보유할 수 있습니다.
- 트러스트 저장소는 최대 200개의 신뢰 앵커와 최대 100개의 중간 CA 인증서를 보유할 수 있습니다.
신뢰 앵커
신뢰 앵커는 상호 TLS 인증 시나리오에 사용할 단일 루트 인증서를 나타냅니다. 신뢰 앵커는 트러스트 저장소 내에 캡슐화됩니다.
중간 인증서
중간 인증서는 트러스트 저장소의 루트 인증서나 다른 중간 인증서로 서명된 인증서입니다. 중간 인증서는 상호 TLS 인증에 사용됩니다.
중간 인증서가 있는 경우 PKI 구성에 따라 하나 이상의 중간 인증서를 트러스트 저장소 내에 캡슐화할 수 있습니다. 기존 중간 인증서 외에도 트러스트 구성에는 모든 연결 요청에 대한 트러스트 평가의 일부로 모든 중간 인증서가 포함됩니다.
허용 목록이 필요한 인증서
클라이언트가 자체 서명되었거나, 만료되었거나, 유효하지 않은 인증서로 인증하도록 허용하려면 인증서를 트러스트 구성의 allowlistedCertificates 필드에 추가하세요. 루트 및 중간 인증서에 액세스할 수 없는 경우 인증서를 추가할 수도 있습니다.
허용 목록에 인증서를 추가하기 위해 트러스트 저장소가 필요하지 않습니다.
인증서를 허용 목록에 추가하면 인증서가 다음 조건을 충족하는 경우 인증서 관리자는 인증서를 유효한 것으로 간주합니다.
- 인증서를 파싱할 수 있습니다.
- 클라이언트는 인증서의 비공개 키를 소유하고 있음을 증명합니다.
- 주체 대체 이름 (SAN) 필드의 제약 조건이 충족됩니다.
인증서 발급 구성
인증서 발급 구성은 인증서 관리자가 자체 Certificate Authority Service 인스턴스의 CA 풀을 사용하여 Google 관리형 인증서를 발급할 수 있게 해주는 리소스입니다. 인증서 발급 구성을 사용하면 인증서 발급 및 만료에 대한 매개변수와 발급된 인증서의 키 알고리즘을 지정할 수 있습니다.
인증서 발급 구성 만들기 및 관리에 대한 자세한 내용은 인증서 발급 구성 리소스 관리를 참고하세요.