클라이언트가 “신뢰할 수 없는 인증서” 오류를 받지 않도록 Classic Load Balancer용 SSL 인증서를 업로드하려면 어떻게 해야 합니까?

3분 분량
0

Classic Load Balancer에 대한 클라이언트 SSL/TLS 연결이 실패하고 “신뢰할 수 없는 인증서” 오류 메시지가 표시됩니다. 또한 Classic Load Balancer에 SSL/TLS 인증서를 업로드하려고 할 때 오류가 발생합니다.

간략한 설명

Classic Load Balancer에 대한 클라이언트 SSL/TLS 연결은 다음과 비슷한 오류 메시지와 함께 실패할 수 있습니다.

  • "이 웹사이트에서 제공하는 보안 인증서는 신뢰할 수 있는 인증 기관에서 발급하지 않았습니다."
  • "example.com에서 잘못된 보안 인증서를 사용합니다. 발급자 인증서를 알 수 없으므로 인증서를 신뢰할 수 없습니다."
  • "example.com에서 잘못된 보안 인증서를 사용합니다. 발급자 인증서를 알 수 없으므로 인증서를 신뢰할 수 없습니다."

Classic Load Balancer에 HTTPS/SSL 리스너를 사용하는 경우 SSL 인증서를 설치해야 합니다. SSL 인증서를 설치한 후 Classic Load Balancer가 SSL/TLS 클라이언트 연결을 종료할 수 있습니다.

SSL 인증서에는 유효 기간이 있습니다. 유효 기간이 끝나기 전에 인증서를 교체해야 합니다. 인증서를 교체하려면 새 인증서를 만들고 업로드하세요.

로드 밸런서에서 사용할 중간 인증서 체인을 업로드하지 않으면 웹 클라이언트가 인증서 검증에 실패할 수 있습니다. openssl s\ _client 명령을 사용하여 중간 인증서 체인이 AWS Identity and Access Management(IAM) 서비스에 업로드되었는지 여부를 식별합니다. s\ _client 명령은 SSL/TLS를 사용하여 원격 호스트에 연결하는 일반 SSL/TLS 클라이언트를 구현합니다. 다음 명령을 실행하여 원격 호스트에 연결합니다.

openssl s_client -showcerts -connect www.domain.com:443

명령이 "Verify return code: 21 (unable to verify the first certificate)"를 반환하는 경우 중간 인증서 체인이 없습니다. 명령이 "Verify return code: 0 (ok)"를 반환하는 경우 인증서 업로드가 성공적으로 완료됩니다. SSL 인증서를 업로드할 때 다음과 같은 이유로 오류가 발생할 수 있습니다.

  • 인증서 파일을 업로드하거나 여분의 공백이 포함된 인증서를 복사하여 붙여 넣습니다.
  • **-----BEGIN CERTIFICATE-----**로 시작하거나 **-----END CERTIFICATE-----**로 끝나지 않는 인증서를 업로드하거나 복사하여 붙여 넣습니다.
  • 퍼블릭 키가 유효하지 않습니다.
  • 개인 키가 유효하지 않습니다.
  • 암호 제품군 또는 키에 문제가 있습니다.

해결 방법

신뢰할 수 없는 인증서 오류를 해결하려면 로드 밸런서의 SSL 인증서를 업로드하세요. 유효 기간이 끝나기 전에 인증서를 교체합니다.

AWS Certificate Manager(ACM)를 사용하면 SSL/TLS 인증서를 생성, 가져오기 및 관리할 수 있습니다. IAM은 서버 인증서 가져오기 및 배포를 지원합니다. ACM은 서버 인증서를 프로비전, 관리 및 배포하는 데 선호되는 도구입니다.

SSL 인증서를 업로드할 때 발생하는 오류를 해결하려면 다음 지침을 따르세요.

  • 인증서를 가져오기 위한 사전 조건을 완료합니다.
  • IAM을 사용하여 인증서를 업로드하는 경우 단계에 따라 서버 인증서 (AWS API)를 업로드합니다.
  • ACM을 사용하여 인증서를 가져오는 경우 단계에 따라 인증서를 가져옵니다.
  • 인증서에 추가 공백이 없는지 확인합니다.
  • 인증서가 **-----BEGIN CERTIFICATE-----**로 시작하고 **-----END CERTIFICATE-----**로 끝나는지 확인합니다.
  • 오류 메시지에 퍼블릭 키 인증서가 유효하지 않다는 메시지가 표시되면 퍼블릭 키 인증서 또는 인증서 체인이 유효하지 않은 것입니다. 인증서 체인 없이 인증서가 성공적으로 업로드되면 인증서 체인이 유효하지 않습니다. 그렇지 않으면 퍼블릭 키 인증서가 유효하지 않습니다.

퍼블릭 키 인증서가 유효하지 않은 경우 다음 단계를 완료합니다.

  • 퍼블릭 키 인증서가 X.509 PEM 형식인지 확인합니다.
  • 유효한 인증서 형식의 예는 문제 해결을 참조하세요.

인증서 체인이 유효하지 않은 경우 다음 단계를 완료합니다.

  • 인증서 체인에 퍼블릭 키 인증서가 포함되어 있지 않은지 확인합니다.
  • 인증서 체인이 올바른 순서를 사용하는지 확인합니다. 인증서 체인에는 루트 인증서로 연결되는 인증 기관(CA) 의 모든 중간 인증서가 포함되어야 합니다. 인증서 체인은 CA에서 생성한 인증서로 시작하여 CA의 루트 인증서로 끝납니다. 일반적으로 CA는 적절한 체인 순서로 번들 파일에 중간 인증서와 루트 인증서를 모두 제공합니다. CA에서 제공하는 중간 인증서를 사용합니다. 신뢰할 수 있는 경로 체인에 포함되지 않은 중간 인증서는 포함하지 않습니다.
  • 오류가 개인 키 인증서가 유효하지 않다는 것을 나타내는 경우 개인 키 인증서의 형식이 올바르지 않은 것입니다. 또는 개인 키 인증서가 암호화됩니다. 프라이빗 키 인증서가 문제 해결의 프라이빗 키 예제 형식을 따르는지 확인합니다. 또한 개인 키 인증서가 암호로 보호되어 있지 않은지 확인합니다.

관련 정보

AWS Certificate Manager로 인증서 가져오기

가져오기를 위한 인증서 및 키 형식

AWS 공식
AWS 공식업데이트됨 일 년 전