[AWS] SSL

반응형

SSL이란?

인터넷 통신 보안 프로토콜 중 하나로, 클라이언트와 서버 간의 통신을 암호화하여 안전하게 전송하는 기능을 제공.

이를 통해 중간자 공격 및 데이터 탈취 등의 보안 위협으로부터 데이터를 보호할 수 있다.

또한 AWS에서는 ACM을 통해 SSL인증서를 무료로 발급받을 수 있다는 장점이 있다.

 

사용 방법

우선 본인의 도메인이 필요하다. 가비아에서 500~20000원 정도로 저렴하게 구매할 수 있다.

https://www.gabia.com/

 

1. 인증서 요청

Route 53 호스팅 영역에 구입한 도메인을 등록

 

NS와 SOA로 생성 확인

 

가비아 -> 도메인관리 창으로 들어가서 네임서버를 NS유형으로 생성된 주소로 등록해 주자. 이때 맨 뒤에 있는.(점)은 빼고 등록해야 한다.

 

 

다음은 ACM을 통해 인증서를 발급받아야 한다.

퍼블릭 인증서 요청

사진과 같이 *.도메인주소 로 이름을 적고 DNS검증을 선택 후 요청

만들어진 인증서로 들어가면 CNAME 이름과 값이 보일 것이다. 이 위에 Route 53에서 레코드 생성을 클릭하자

 

CNAME 값을 복사해둔 후 레코드 생성

가비아 DNS 설정 - 레코드 수정 에서 CNAME타입으로 복사한 값을 등록하자

성공적으로 검증이 됐으면 발급됨 이라고 표시된다

 

2. 로드밸런서 리스너에 등록

이 리스너를 로드밸런서 리스너에 등록하면 된다. 기본적인 nginx 페이지만 띄운 서버를 대상으로 하는 외부 로드밸런서를 만들어놨다. 로드밸런서 관련 내용은 이 글 참고(https://itstoryy.tistory.com/32)

현재 인증서가 없어서 주의 요함이라고 나온다

로드밸런서는 80포트 리스너만 있는 상태이다

a. 443 리스너 추가

당연히 해당 서버와 이 로드밸런서의 보안그룹을 443 포트와 0.0.0.0/0 대상을 허용해야 한다

HTTPS 443포트와 기본 작업에서 "전달"선택 후 트래픽을 보낼 대상그룹을 설정

ACM으로 발급받은 인증서 선택

 

 

b. 80 리스너 편집 or 추가(없을 시)

기존에 있던 80리스너 편집에서 기본작업 제거 후 "리디렉션"으로 443포트를 설정

 

3. Route 53 레코드 생성

Route 53 - 호스팅 영역 - 레코드 생성에서 원하는 레코드(도메인 앞부분) 설정 후 값에 위에서 설정한 로드밸런서 주소를 적으면 된다.

로드밸런서 도메인 이름으로 라우팅 해야하니 CNAME으로 선택하자

 

레코드 추가 확인

 

자물쇠 아이콘이 보이며 인증서가 적용되었음을 알 수 있다.

 

로드밸런서 리스너 추가한 부분 및 도메인 접속 원리에 대해 부가설명을 하자면

1. www.reddot.kr로 요청이 들어온다
2. 3번에서 설정한 로드밸런서 주소로 보낸다

3. HTTP(80)으로 요청이 들어왔으니 HTTPS(443)으로 리디렉션

4. HTTPS(443) 리스너에서는 해당 서버가 속해있는 대상그룹으로 요청 전달. 이 과정에서 SSL 인증서 적용

5. 인증이 적용된 웹페이지 접속 성공

이라고 보면 된다.