IBM Cloud Docs
에지 인증서 관리

에지 인증서 관리

Edge 인증서는 사용자가 HTTPS 를 통해 도메인에 액세스할 때 사용자에게 표시되는 TLS 인증서입니다. 이러한 인증서는 브라우저와 IBM Cloud® Internet Services 에지 네트워크 간의 연결을 보호합니다. CIS 에서는 세 가지 유형의 에지 인증서를 제공합니다: 범용, 고급 및 사용자 지정.

에지 인증서 다이어그램
에지 인증서 다이어그램

범용 인증서

기본적으로 CIS 은 CIS에 추가된 모든 도메인에 무료, 비공유, 공개적으로 신뢰할 수 있는 SSL 인증서를 발행합니다. 이러한 범용 인증서의 경우, CIS 은 유효 기간 및 인증 기관 (CA) 을 제어하여 항상 갱신이 발생하는지 확인합니다. Let's Encrypt 또는 Google 신뢰 서비스에서 발급한 범용 인증서의 유효 기간은 90일입니다.

CIS 는 사전 통지 없이 범용 인증서의 CA를 변경할 수 있으며 이러한 변경 사항을 사용자에게 알립니다. 직접 발급 인증 기관을 선택하려면 고급 인증서를 주문하세요.

API에서 범용 인증서 설정을 변경하려면 범용 인증서 사용 또는 사용 안 함을 참조하세요. 이 인증서는 기본적으로 활성화되어 있으며, 다른 유효한 인증서가 이미 구성되어 있지 않는 한 활성화된 상태로 유지해야 합니다.

고급 인증서

고급 인증서는 인증서를 발행하고 관리하기 위한 유연하고 사용자 정의할 수 있는 방법을 제공합니다. 범용 SSL보다 사용자 정의할 수 있는 것을 원하지만 SSL 인증서 발행 및 갱신의 편리성을 원하는 경우에는 고급 인증서를 사용하십시오.

이 둘의 차이점은 범용 인증서는 고정된 90일 유효 기간과 자동 선택된 인증 기관으로 CIS 에서 자동으로 발급된다는 것입니다. 그러나 고급 인증서를 사용하면 인증 기관을 선택하고, 14일, 30일, 90일 또는 365일 등 다양한 유효 기간을 선택하고, 갱신 시작 시기를 구성할 수 있습니다. 또한 고급 인증서는 도메인 유효성 검사에 대한 더 많은 제어를 지원하며 규정 준수, 더 엄격한 보안 정책 또는 자동화된 워크플로로의 통합이 필요한 환경에 더 적합합니다.

고급 인증서는 CIS을 통해 직접 주문됩니다.

일반 및 고급 인증서의 인증서 유효 기간 및 갱신 기간

범용 인증서는 항상 90일동안 유효하며 만기 30일전에 자동으로 갱신됩니다.

고급 인증서를 사용하면 다음 표와 같이 유효 기간 및 자동 갱신 날짜를 선택할 수 있습니다.

CIS 인증서 유효 기간
인증서 유효 기간 자동 갱신 기간 세부사항
3개월 30일
1개월 7일 Let's Encrypt에서 지원되지 않음
2주 3일 Let's Encrypt에서 지원되지 않음

갱신 기간은 백엔드에서 자동화되며 사용자 정의할 수 없습니다.

백업 인증서

CIS 에서 도메인에 권한 DNS를 제공하는 경우 CIS 에서는 발급된 모든 표준 범용 인증서에 대해 백업 범용 SSL 인증서를 발급합니다.

백업 인증서는 다른 개인 키로 래핑되며 다른 인증 기관에서 발급합니다. 예를 들어, 이러한 인증서는 도메인의 기본 범용 SSL 인증서 대신 Google Trust Services, Let's Encrypt, Sectigo 또는 SSL.com 에서 발급됩니다.

이러한 백업 인증서는 일반적으로 배포되지 않지만 인증서가 해지되거나 키가 손상된 경우 CIS 에서 자동으로 배포합니다.

인증 기관

공개적으로 신뢰할 수 있는 인증서의 경우 Cloudflare는 다양한 인증 기관(CA)과 협력합니다. 다음 CA를 선택할 수 있습니다. CIS:

  • Let's Encrypt
    • 90일의 유효 기간을 지원합니다.
    • DCV 토큰은 7일 동안 유효합니다.
    • 호환성 문서
  • Google 신뢰 서비스
    • 14일, 30일, 90일의 유효 기간을 지원합니다.
    • DCV 토큰은 14일 동안 유효합니다.
    • 호환성 문서
  • SSL.com
    • 14일, 30일, 90일의 유효 기간을 지원합니다.
      • 기업 고객은 1년의 유효 기간을 사용할 수 있습니다.
    • DCV 토큰은 14일 동안 유효합니다.
    • 호환성 문서
  • DigiCert 사용 중단
    • 14일, 30일, 90일의 유효 기간을 지원합니다.
    • DCV 토큰은 30일 동안 유효합니다.
    • 호환성 문서
  • Sectigo
    • CIS 에서 도메인에 대한 권한 DNS를 제공하는 경우 백업 인증서에만 사용됩니다.
    • 90일의 유효 기간을 지원합니다.
    • 호환성 문서

사용자 정의 인증서

사용자 정의 인증서는 자체 SSL 인증서를 사용하려는 고객을 위한 것입니다. 이러한 인증서를 CIS에 업로드합니다.

범용 또는 고급 인증서와 달리 CIS 에서는 사용자 지정 인증서의 발급 또는 갱신을 관리하지 않습니다. 사용자는 사용자 정의 인증서의 만료 날짜를 업로드, 업데이트 및 추적할 책임이 있습니다.

사용할 수 있는 인증서 개수는 요금제에 따라 다릅니다. 자세한 내용은 CIS 요금제 비교를 참조하세요. 도움이 더 필요하면 지원 케이스를 제출하세요. 지원 사례 만들기 참조

인증서 갱신 실패 및 교체

CIS에서 관리하는 인증서의 경우, 자동 갱신 기간에 갱신 시도가 시작되고 만기 24시간전까지 계속됩니다. 인증서 갱신에 실패하고 호스트 이름에 대해 다른 유효한 인증서가 존재하는 경우, CIS 은 최근 24시간내에 유효한 인증서를 배치합니다.

CAA 레코드

CAA(인증 기관 인증)DNS 레코드 도메인에 대한 인증서를 발급할 수 있는 인증 기관(CA)을 지정합니다. 이 기록은 무단 인증서 발급 가능성을 줄이고 조직 전체의 표준화를 촉진합니다.

다음 표에는 각 CA에 대한 CAA 레코드 내용이 나열되어 있습니다.

각 CA에 대한 CAA 레코드 콘텐츠
인증 기관 CAA 레코드 내용
Let's Encrypt letsencrypt.org
Google 신뢰 서비스 pki.goog; cansignhttpexchanges=yes
SSL.com ssl.com
DigiCert digicert.com; cansignhttpexchanges=yes
Sectigo sectigo.com

인증서 상태

각 인증서 상태는 발급 절차에서 현재 위치를 설명하며 인증서 유형에 따라 다를 수 있습니다.

새로운 인증서 상태

새 인증서를 주문하면 에지 인증서든 사용자 지정 호스트 이름에 대한 인증서든, 글로벌 네트워크로 진행하면서 다음 단계를 통해 상태가 이동합니다.

  1. 초기화 중
  2. 보류 중인 유효성 검증
  3. 보류 중인 발행
  4. 배포 보류 중
  5. 활성

인증서를 발급한 후에는 '검증 대기' 상태 로 전환되고, 검증이 완료되면 '활성' 으로 변경됩니다. 오류가 표시되면 인증서의 유효성을 확인하기 위해 추가 조치를 취해야 할 수도 있습니다.

인증서를 비활성화하면 비활성화 중으로 이동한 다음 비활성 상태로 이동합니다.

사용자 정의 인증서 상태

사용자 지정 인증서를 사용하고 영역 상태가 보류 중 또는 이동됨 인 경우 인증서 상태가 배포 보류 중일 수 있습니다.

영역이 활성화되면 사용자 지정 인증서가 자동으로 배포되고 활성 상태로 변경됩니다. 그러나 사용자 지정 인증서를 업로드할 때 영역이 이미 활성화되어 있으면 이 상태가 표시되지 않습니다.