피드로 돌아가기
원문 읽기
AWS News Blog
SecurityACM의 ACME 프로토콜 지원을 통한 TLS 인증서 발급 및 갱신 자동화 구현
Automate public TLS certificate issuance with ACME support in AWS Certificate Manager
AI 요약
Context
CA/Browser Forum의 인증서 유효기간 단축 정책으로 인한 수동 갱신 프로세스의 한계 발생. ACM 외부의 ACME 클라이언트 사용 시 가시성 파편화 및 PKI 관리자의 제어 권한 부재라는 구조적 문제 존재.
Technical Solution
- Managed ACME Server Endpoint 도입을 통한 표준 ACMEv2 프로토콜 기반의 통합 인증서 관리 체계 구축
- External Account Binding(EAB) 메커니즘을 적용하여 DNS 권한 노출 없이 애플리케이션 소유자의 인증서 요청 가능 구조 설계
- IAM Role과 ACME Account의 바인딩을 통한 도메인별 세밀한 접근 제어(Fine-grained Access Control) 구현
- Domain Scope(Exact, Subdomains, Wildcards) 설정을 통한 조직 차원의 인증서 발급 정책 강제화
- Route 53 연동 기반의 DNS CNAME 레코드 자동 생성으로 도메인 검증 단계의 운영 오버헤드 제거
- CloudTrail 및 CloudWatch 통합을 통한 인증서 요청 이력 추적 및 만료 알림의 중앙 집중화
실천 포인트
- 인증서 유효기간 단축(최대 100일/47일)에 대비한 ACME 기반 자동 갱신 파이프라인 검토 - DNS 관리 권한과 인증서 요청 권한을 분리하여 보안 위협 최소화 여부 확인 - Wildcard 인증서 발급 범위를 제한하는 Domain Scope 정책 수립 및 적용 - Certbot, cert-manager 등 기존 ACMEv2 호환 클라이언트와의 통합 테스트 수행