ACM 인증서를 발급하거나 갱신할 때 CAA "Failed" 오류를 해결하려면 어떻게 해야 하나요?

5분 분량
0

새 인증서를 요청했거나 AWS Certificate Manager(ACM)에서 인증서를 갱신하려고 했지만, 도메인 이름 상태가 "Failed"입니다. 인증서 요청이 실패했는데도 검증 상태가 "Success"입니다.

간략한 설명

인증 기관 권한 부여(CAA) 레코드는 DNS 레코드입니다. 이 레코드를 사용하면 도메인에 대한 인증서를 발급할 수 있는 인증 기관(CA)을 제어할 수 있습니다. ACM은 CAA 레코드를 검사하여 도메인 소유자가 ACM이 도메인에 대한 SSL 인증서를 발급하도록 허용하는지 확인합니다. CAA는 다음 조건을 확인합니다.

  • CAA 레코드 검사가 DNS 이름 트리에서 위로 이동합니다.
  • CAA 레코드가 없으면 CA가 인증서를 발급할 수 있습니다.
  • CAA 레코드 검사는 CNAME 레코드를 따릅니다.
  • "issue" 태그는 비와일드카드 도메인과 와일드카드 도메인에 모두 사용할 수 있지만, "issuewild" 태그는 와일드카드 도메인에만 영향을 줍니다.

해결 방법

CAA 레코드 검사가 DNS 이름 트리에서 위로 이동함

CAA 레코드 검사가 요청 도메인에서 시작한 다음, DNS 이름 트리에서 위로 이동합니다. www.example.com에 대한 인증서를 요청하면 ACM은 먼저 세 번째 수준 도메인 www.example.com의 CAA 레코드를 확인합니다. 그런 다음, ACM은 두 번째 수준 도메인 이름 example.com을 확인합니다.

CAA 레코드가 발견되면 CAA 조회가 중지되고 레코드가 적용됩니다. 다음 예에서는 www.example.com에 대한 인증서를 요청할 때 어떤 CAA 레코드가 적용되는지 보여줍니다.

(Example 1 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

세 번째 수준 도메인 이름의 레코드가 적용되어 ACM이 인증서를 발급할 수 있습니다. 두 번째 수준 도메인 이름 레코드는 사용되지 않습니다.

(Example 2 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

첫 번째 레코드가 적용되어 ACM이 인증서를 발급하지 못합니다. 두 번째 레코드는 무시됩니다.

(Example 3 / www.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

첫 번째 레코드는 www.example.com의 CAA 레코드에 영향을 주지 않습니다. 두 번째 레코드가 적용되어 ACM이 인증서를 발급할 수 있습니다.

다음 예에서는 example.com에 대한 인증서를 요청할 때 어떤 CAA 레코드가 적용되는지 보여줍니다.

(Example 4 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

www.example.com은 요청된 도메인의 하위 도메인이고 CAA 레코드 검사가 DNS 트리에서 아래로 이동하지 않으므로 첫 번째 레코드가 적용되지 않습니다. 두 번째 레코드가 적용되어 ACM이 인증서를 발급하지 못합니다.

(Example 5 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

www.example.com은 요청된 도메인의 하위 도메인이고 CAA 레코드 검사가 DNS 이름 트리에서 아래로 이동하지 않으므로 첫 번째 레코드가 무시됩니다. 두 번째 레코드가 적용되어 ACM이 인증서를 발급할 수 있습니다.

CAA 레코드가 없으면 CA가 인증서를 발급할 수 있음

요청된 도메인에 대해 CAA 레코드를 구성하지 않으면 ACM을 비롯한 어느 CA도 도메인에 대한 인증서를 발급할 수 있습니다. 예를 들어 ACM은 다음 예에서 example.com에 대한 인증서를 발급할 수 있습니다.

(Example 6 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

CAA 검사는 DNS 트리에서 아래로 이동하지 않으므로 레코드가 무시됩니다.

CAA 레코드 검사는 CNAME 레코드를 따름

CAA 레코드 검사는 다른 도메인을 가리키는 CNAME 레코드로 진행됩니다. 이 예에서 www.example.com은 CAA 레코드가 있는 www.example.net을 가리킵니다.

(Example 7 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

첫 번째 레코드는 CAA 검사를 www.example.net으로 리디렉션합니다. 이 CAA 레코드는 CA가 인증서를 발급하지 못하게 하므로 ACM은 www.example.com에 대한 인증서를 발급할 수 없습니다.

지정된 도메인 www.example.net에 CAA 레코드가 없는 경우 CAA 레코드 검사는 기본 도메인 example.com으로 이동합니다.

(Example 8 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

이 시나리오에서는 www.example.net에 CAA 레코드가 구성되어 있지 않으므로 ACM은 www.example.com에 대한 인증서를 발급할 수 있습니다. CAA 레코드 검사는 CNAME 레코드의 상위 요소로 이동하지 않으며 example.net의 CAA 레코드가 검사되지 않습니다. 자세한 내용은 CA/Browser Forum 웹사이트의 APPENDIX A를 참조하세요.

"issue" 태그는 비와일드카드 도메인과 와일드카드 도메인에 모두 사용할 수 있지만, "issuewild" 태그는 와일드카드 도메인에만 영향을 줌

"issue" 태그를 사용하면 CA가 비와일드카드 도메인 www.example.com과 와일드카드 도메인 *.example.com 모두에 대한 인증서를 발급할 수 있습니다. "issuewild" 태그를 사용하여 CA가 와일드카드 도메인을 처리하는 방법을 나타낼 수 있습니다. 다음 예에서는 *.example.com에 대한 인증서를 요청할 때 어떤 CAA 레코드가 적용되는지 보여줍니다.

(Example 9 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

CAA 레코드를 사용하면 ACM이 비와일드카드 도메인과 와일드카드 도메인 인증서를 모두 발급할 수 있으며, ACM이 인증서를 발급할 수 있습니다.

(Example 10 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

태그 필드 "issuewild"는 와일드카드 도메인 요청의 "issue"보다 우선하며 ACM이 인증서를 발급할 수 없습니다. 참고: CA가 *.example.com에 대한 인증서를 발급할 수 있도록 하려면 example.com의 CAA 레코드를 설정해야 합니다.

(Example 11 / *.example.com)Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

첫 번째 CAA 레코드는 무시되고 두 번째 CAA 레코드는 CA가 *.example.com에 대한 인증서를 발급하지 못하게 합니다.

다음 예에서는 *.test.example.com에 대한 인증서를 요청할 때 어떤 CAA 레코드가 적용되는지 보여줍니다.

(Example 12 / *.test.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

CAA 검사는 첫 번째 레코드를 찾고, DNS 이름 트리에서 위로 이동을 종료하며, ACM이 인증서를 발급할 수 있도록 합니다.

비와일드카드 도메인을 요청할 때 "issuewild" 태그가 무시됩니다. 다음 예에서는 www.example.com에 대한 인증서를 요청할 때 어떤 CAA 레코드가 적용되는지 보여줍니다.

(Example 13 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

이는 비와일드카드 도메인 요청이므로 첫 번째 CAA 레코드가 무시됩니다. 두 번째 CAA 레코드가 적용되며, CA가 인증서를 발급할 수 없습니다.

CAA 레코드 구성에 관한 자세한 내용은 (선택 사항) CAA 레코드 구성을 참조하세요.

관련 정보

Datatracker 웹사이트의 DNS Certification Authority Authorization (CAA) resource record

AWS 공식
AWS 공식업데이트됨 5달 전
댓글 없음