인증서 관리자의 핵심 구성요소

이 페이지에서는 Certificate Manager의 핵심 구성요소와 개념을 간략하게 설명합니다.

인증서

인증서는 특정 도메인 이름 또는 도메인 와일드 카드에 발급된 단일 X.509 전송 계층 보안 (TLS) (SSL) 인증서를 나타냅니다.

인증서 관리자는 다음과 같은 인증서 유형을 지원합니다.

  • Google 관리형 인증서: Google에서 대신 발급받아서 관리하는 인증서입니다. Google Cloud새 Google 관리 인증서가 발급되거나 갱신될 때 인증서 관리자는 인증서에 새로 생성된 비공개 키를 사용합니다.
  • 자체 관리형 인증서: 사용자가 직접 가져와 프로비저닝하고 갱신하는 인증서입니다.

Google 관리형 인증서

Google 관리형 인증서는 Google Cloud 자동으로 가져오고 관리하는 TLS 인증서입니다. 인증서 관리자를 사용하면 Google 관리형 인증서를 만들고, 관리하고, 자동으로 갱신할 수 있습니다. 인증서 관리자를 사용하면 부하 분산기 기반 승인 또는 DNS 기반 승인을 사용하여 도메인 소유권을 확인할 수도 있습니다.

인증서 관리자는 공개 인증 기관 (CA) 및 Let's Encrypt CA를 지원합니다. 기본적으로 Public CA는 Google 관리형 인증서를 발급합니다. 특정 도메인에 대해 공개 CA에서 인증서를 가져올 수 없는 경우 인증서 관리자는 Let's Encrypt CA로 대체합니다. 이는 공개 CA가 도메인에 대한 인증서 발급을 거부하거나 인증 기관 승인 (CAA) 레코드로 인해 공개 CA가 해당 도메인에 대한 인증서 발급을 명시적으로 금지하는 경우에 발생할 수 있습니다. 도메인의 인증서를 발급할 수 있는 CA를 제한하는 방법에 관한 자세한 내용은 Google 관리형 인증서를 발급할 수 있는 CA 지정을 참고하세요.

Certificate Manager에서 Google 관리 인증서를 사용할 때 유의해야 할 몇 가지 중요한 사항은 다음과 같습니다.

  • 인증서 관리자는 RSA Google 관리 인증서를 지원합니다.
  • 리전별 Google 관리형 인증서는 DNS 기반 승인만 지원하며 공개 CA에서 인증서를 가져옵니다.
  • Google 관리형 인증서를 상호 TLS의 클라이언트 인증서로 사용하는 것은 지원되지 않습니다.

공개 및 비공개 인증서

인증서 관리자는 공개 인증서와 비공개 인증서를 모두 관리할 수 있습니다. 인증서 관리자는 공공 CA에서 공공 서비스를 보호하는 데 사용되는 공개 인증서를 가져옵니다. 주요 브라우저, 운영체제, 애플리케이션은 Public CA를 신뢰할 수 있는 루트로 인식합니다. 인증서 관리자는 CA 서비스에서 비공개 서비스를 보호하는 비공개 인증서를 가져옵니다.

자체 관리형 인증서

비즈니스 요구사항으로 인해 Google 관리형 인증서를 사용할 수 없는 경우 외부 CA에서 발급한 인증서와 연결된 키를 함께 업로드할 수 있습니다. 이러한 자체 관리형 인증서는 수동으로 발급하고 갱신해야 합니다.

도메인 승인

인증서 관리자를 사용하면 다음 방법 중 하나로 Google 관리형 인증서를 발급할 도메인의 소유권을 증명할 수 있습니다.

  • 부하 분산기 승인: DNS 레코드를 만들지 않고 지원되는 부하 분산기에 인증서를 직접 배포합니다.

  • DNS 승인: 도메인 소유권 확인을 위한 전용 DNS 레코드를 만든 후 지원되는 부하 분산기에 인증서를 직접 배포합니다.

자세한 내용은 Google 관리형 인증서의 도메인 승인 유형을 참고하세요.

자체 관리형 인증서에는 도메인 승인이 필요하지 않습니다.

인증서 맵

인증서 맵은 특정 인증서를 특정 호스트 이름에 할당하는 하나 이상의 인증서 맵 항목을 참조합니다. 인증서 맵 항목은 클라이언트 연결을 설정할 때 부하 분산기가 따르는 선택 로직도 정의합니다. 여러 부하 분산기에서 재사용할 수 있도록 인증서 맵을 여러 대상 프록시와 연결할 수 있습니다.

클라이언트가 인증서 맵에 지정된 호스트 이름을 요청하면 부하 분산기는 해당 호스트 이름에 매핑된 인증서를 제공합니다. 그렇지 않으면 부하 분산기는 대상 프록시에 나열된 첫 번째 인증서인 기본 인증서를 제공합니다. 자세한 내용은 인증서 관리자 작동 방식을 참고하세요.

인증서 맵 만들기 및 관리에 대한 자세한 내용은 인증서 맵 관리를 참고하세요.

인증서 맵 항목

인증서 맵 항목은 특정 도메인 이름에 제공되는 인증서 목록입니다. 동일한 도메인에 서로 다른 인증서 집합을 정의할 수 있습니다. 예를 들어 ECDSA 및 RSA 인증서를 업로드하고 동일한 도메인 이름에 매핑할 수 있습니다.

클라이언트가 도메인 이름에 연결하면 부하 분산기는 핸드셰이크 도중 클라이언트에 제공할 인증서 유형을 협상합니다.

단일 인증서 맵 항목과 최대 4개의 인증서를 연결할 수 있습니다.

인증서 맵 항목 만들기 및 관리에 대한 자세한 내용은 인증서 맵 항목 관리를 참고하세요.

트러스트 구성

트러스트 구성은 상호 TLS 인증 시나리오에 사용할 인증서 관리자의 공개 키 인프라(PKI) 구성을 나타내는 리소스입니다. 단일 트러스트 저장소를 캡슐화하고 차례로 신뢰 앵커와 하나 이상의 중간 인증서(선택사항)를 캡슐화합니다.

상호 TLS (mTLS) 인증에 대해 자세히 알아보려면 Cloud Load Balancing 문서의 상호 TLS 개요를 참고하세요.

트러스트 구성 및 구성요소에 관한 자세한 내용은 트러스트 구성 관리를 참고하세요.

트러스트 저장소

트러스트 저장소는 상호 TLS 인증 시나리오에 사용할 인증서 관리자의 트러스트 보안 비밀 구성을 나타냅니다. 트러스트 저장소는 단일 신뢰 앵커와 하나 이상의 중간 인증서(선택사항)를 캡슐화합니다.

트러스트 구성 리소스에는 다음 제한사항이 적용됩니다.

신뢰 앵커

신뢰 앵커는 상호 TLS 인증 시나리오에 사용할 단일 루트 인증서를 나타냅니다. 신뢰 앵커는 트러스트 저장소 내에 캡슐화됩니다.

중간 인증서

중간 인증서는 루트 인증서 또는 트러스트 저장소의 다른 중간 인증서로 서명된 인증서입니다. 중간 인증서는 상호 TLS 인증에 사용됩니다.

중간 인증서가 있는 경우 PKI 구성에 따라 하나 이상의 중간 인증서를 트러스트 저장소 내에 캡슐화할 수 있습니다. 트러스트 구성에는 기존 중간 인증서 외에도 모든 연결 요청에 대한 트러스트 평가의 일부로 모든 중간 인증서가 포함됩니다.

허용 목록이 필요한 인증서

클라이언트가 자체 서명된 인증서, 만료된 인증서 또는 잘못된 인증서로 인증할 수 있도록 하려면 트러스트 구성의 allowlistedCertificates 필드에 인증서를 추가합니다. 루트 및 중간 인증서에 대한 액세스 권한이 없는 경우에도 인증서를 추가할 수 있습니다. 허용 목록에 인증서를 추가하기 위해 트러스트 저장소가 필요하지 않습니다.

인증서를 허용 목록에 추가하면 인증서가 다음 조건을 충족하는 경우 인증서 관리자에서 인증서를 유효한 것으로 간주합니다.

  • 인증서를 파싱할 수 있습니다.
  • 클라이언트는 인증서의 비공개 키를 보유하고 있음을 증명합니다.
  • 주체 대체 이름 (SAN) 필드의 제약조건이 충족됩니다.

인증서 발급 구성

인증서 발급 구성은 인증서 관리자가 자체 Certificate Authority Service 인스턴스의 CA 풀을 사용하여 Google 관리형 인증서를 발급할 수 있게 해주는 리소스입니다. 인증서 발급 구성을 사용하면 인증서 발급 및 만료의 매개변수와 발급된 인증서의 키 알고리즘을 지정할 수 있습니다.

인증서 발급 구성 만들기 및 관리에 관한 자세한 내용은 인증서 발급 구성 리소스 관리를 참고하세요.

다음 단계