이 페이지에서는 Google 관리형 인증서에서 도메인 승인이 작동하는 방식을 설명합니다. 이 페이지에서는 부하 분산기 승인을 DNS 승인과 비교하고 인증서 관리자가 각 방법을 사용하여 도메인 소유권을 확인하는 방법을 설명합니다.
인증서 관리자를 사용하면 다음 방법 중 하나로 Google 관리형 인증서를 발급할 도메인의 소유권을 증명할 수 있습니다.
부하 분산기 승인: DNS 레코드를 만들지 않고 지원되는 부하 분산기에 인증서를 직접 배포합니다. 이 방법은 구성 속도가 더 빠르지만 와일드 카드 인증서 또는 지역 인증서를 지원하지 않습니다. 또한 인증서 관리자는 부하 분산기가 완전히 설정되고 네트워크 트래픽을 제공한 후에만 인증서를 프로비저닝할 수 있습니다.
DNS 승인: 도메인 소유권 확인을 위한 전용 DNS 레코드를 만든 후 지원되는 부하 분산기에 인증서를 직접 배포합니다. 이 메서드를 사용하면 Certificate Manager가 대상 프록시가 네트워크 트래픽을 제공할 준비가 되기 전에 인증서를 미리 프로비저닝할 수 있습니다.
Certificate Authority Service에서 발급한 Google 관리형 인증서에는 도메인 승인이 적용되지 않습니다. 이러한 인증서에 대한 자세한 내용은 Certificate Authority Service로 글로벌 Google 관리형 인증서 배포를 참고하세요.
부하 분산기 승인
부하 분산기 승인은 Google 관리형 인증서를 발급하는 가장 간단한 방법입니다. 이 방법은 DNS 구성 변경을 최소화하지만 부하 분산기 구성이 완료된 후에만 TLS (SSL) 인증서를 프로비저닝합니다. 또한 이 방법을 사용하면 기존 프로덕션 트래픽이 없는 새 환경에 부하 분산기 승인 권한을 부여하는 데 적합합니다.
부하 분산기 승인으로 Google 관리형 인증서를 만들려면 배포가 다음 요구사항을 충족해야 합니다.
- 대상 도메인을 제공하는 모든 IP 주소의 포트 443에서 Google 관리 인증서에 액세스할 수 있어야 합니다. 그렇지 않으면 프로비저닝이 실패합니다. 예를 들어 IPv4 및 IPv6에 별도의 부하 분산기가 있으면 각각에 동일한 Google 관리형 인증서를 할당해야 합니다.
- DNS 구성에서 부하 분산기의 IP 주소를 명시적으로 지정해야 다양한 관점에서 도메인 유효성 검사 실패가 방지됩니다. CDN과 같은 중간 레이어로 인해 예측할 수 없는 동작이 발생할 수 있습니다.
- 대상 도메인은 인터넷에서 공개적으로 확인할 수 있어야 합니다. 분할된 범위 또는 DNS 방화벽 환경은 인증서 프로비저닝을 방해할 수 있습니다.
DNS 승인
DNS 승인을 사용하면 프로덕션 환경이 완전히 설정되기 전이라도 도메인 소유권을 확인하고 Google 관리형 인증서를 프로비저닝할 수 있습니다. 이는 특히 Google Cloud로 인증서를 이전할 때 유용합니다.
인증서 관리자는 DNS 레코드를 통해 도메인 소유권을 확인합니다. 각 DNS 승인은 DNS 레코드에 대한 정보를 저장하고 단일 도메인과 해당 와일드 카드 (예: myorg.example.com 및 *.myorg.example.com)를 포함합니다.
Google 관리형 인증서를 만들 때 인증서 프로비저닝 및 갱신에 DNS 승인을 하나 이상 사용할 수 있습니다. 단일 도메인에 여러 인증서가 있는 경우 모두 동일한 DNS 승인을 사용할 수 있습니다. 하지만 DNS 승인에는 인증서에 나열된 모든 도메인이 포함되어야 합니다. 그렇지 않으면 인증서 생성 및 갱신이 실패합니다.
DNS 승인을 설정하려면 DNS 구성에 CNAME 레코드를 추가해야 합니다. 이 레코드는 타겟 도메인 아래의 하위 도메인을 확인하는 데 사용됩니다. CNAME 레코드는 인증서 관리자가 도메인 소유권을 확인하는 데 사용하는 특수한 Google Cloud 도메인을 가리킵니다. DNS 승인을 만들면 인증서 관리자가 이 CNAME 레코드를 반환하고 소유권을 확인합니다.
CNAME 레코드는 인증서 관리자에게 Google Cloud 프로젝트 내에서 대상 도메인의 인증서를 프로비저닝하고 갱신할 수 있는 권한도 부여합니다. 이러한 권한을 취소하려면 DNS 구성에서 CNAME 레코드를 삭제합니다.
프로젝트별 DNS 승인
프로젝트별 DNS 승인을 사용하면 각 프로젝트 내에서 인증서를 독립적으로 관리할 수 있습니다. Google Cloud 인증서 관리자는 프로젝트별 DNS 승인을 사용하여 각 프로젝트의 인증서를 개별적으로 발급하고 처리할 수 있습니다. 프로젝트 내에서 사용되는 DNS 승인 및 인증서는 독립형이며 다른 프로젝트의 아티팩트와 상호작용하지 않습니다.
프로젝트별 DNS 승인을 활성화하려면 DNS 승인을 만들 때 PER_PROJECT_RECORD 옵션을 선택합니다. 그러면 해당 프로젝트에 맞는 하위 도메인과 타겟을 모두 포함하는 고유한 CNAME 레코드가 수신됩니다. 이 CNAME 레코드는 관련 도메인의 DNS 영역에 추가해야 합니다.
부하 분산기 승인과 DNS 승인 비교
인증서 관리자를 사용하면 다음 표에 설명된 대로 Google 관리형 인증서를 발급할 도메인의 소유권을 증명할 수 있습니다.
| 부하 분산기 승인 | DNS 승인 | |
|---|---|---|
| 설정 난이도 | 부하 분산기 승인에는 추가 구성 단계나 DNS 구성 변경이 필요하지 않습니다. | DNS 승인을 만들고 해당 CNAME 레코드를 DNS 구성에 추가해야 합니다. |
| 네트워크 보안 | 부하 분산기는 인증서에서 제공하는 모든 도메인의 DNS 구성을 포함하여 포트 443의 인터넷에서 완전히 액세스할 수 있어야 합니다. 부하 분산기 승인은 다른 구성에서는 작동하지 않습니다. | 443 이외의 포트 및 대상 프록시 앞에 있는 CDN 레이어와 같이 매우 복잡한 구성에서 작동합니다. |
| 프로비저닝 속도 | 부하 분산기가 완전히 설정되고 네트워크 트래픽을 제공한 후에만 인증서를 프로비저닝할 수 있습니다. | 대상 프록시가 네트워크 트래픽을 제공할 준비가 되기 전에 인증서를 미리 프로비저닝할 수 있습니다. |
| 와일드 카드 인증서 | 지원되지 않음 | 지원됨 |