[실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-2편

안녕하세요 서후아빠입니다. ^_^

이번 세션은 지난 세션에 이어서 ACM에서 Private 도메인을 등록하고 Private 인증서를 발급하여 ALB에 연결하는 과정을 실습해보겠습니다.

 

---

1~5단계는 아래 링크 클릭

2022.07.26 - [Security] - [실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-1편

[실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-1편

6단계 : Route 53에서 Private domain 등록

Route 53 > Registered domains > Register Domain 

구분	Hosted zone configuration			VPCs to associate with the hosted zone
내용	Domain name : private.com  Type(Public, Private) : Private hosted zone			Region : ap-northeast-2 VPC ID : vpcA

Route 53 > Hosted zones : 등록 결과 확인

7단계 : ACM에서 Private CA 생성

AWS Certificate Manager Private Certificate Authority > Create a private CA

Select CA type	Configure CA subject name (옵션)			Configure CA key algorithm
Type options : Root CA (or Subordinate CA)	Organization : privateRoot Common Name(CN) : privateCN			RSA 2048  (or RSA 4096, ECDSA P256/P384)

Configure revocation	Configure revocation			Review and create
CRL distribution (or OCSP) S3 bucket : crl-bucket	Authorize ACM access to renew certificates requested by this account : Check			Pricing : Check

첫번째로 생성하는 Private CA는 30일동안 무료입니다. CRL distribution으로 선택 시 필히 S3 bucket을 선택해야 합니다. bucket에 설정할 것이 복잡하므로 가급적 신규 생성으로 진행하시기 바랍니다.  기존 bucket을 이용하여 설정 중 "The ACM Private CA Service Principal 'acm-pca.amazonaws.com' requires 's3:GetBucketAcl' permissions for your S3 bucket 'crl-bucket'. Check your S3 bucket permissions and try again." 에러 메시지가 팝업되는 경우 https://aws.amazon.com/ko/premiumsupport/knowledge-center/acm-ca-crl-s3-getbucketacl/ 참조하시기 바랍니다.

AWS Certificate Manager Private Certificate Authority > 생성된 Private CA 선택 > Actions > Install root CA certificate

Validity value	Validity type			Signature algorithm
10	Years			SHA256WITHRSA

사설 인증서의 유효기간(10년)과 알고리즘을 설정하는 부분으로 회사 정책에 맞추어 설정하시면 됩니다.

AWS Certificate Manager Private Certificate Authority > 생성된 Private CA 선택 > Status “Active” 확인

8단계 : ACM에서 Private 인증서 발급

ACM > Request certificate

Certificate type	Certificate authority details			Certificate renewal permissions
Request a private certificate	Certificate authority : privateCN Domain names : *.private.com			Check (인증서 자동 갱신)

ACM > List certificates > 생성된 certificate의 Status “Issued” : 약 1분 이상 소요

9단계 : ALB (albA2) 생성 (상세 설명 생략)

2022.07.13 - [Networking] - Amazon ELB 중 ALB+NLB 구성에 대해서 알아보기

[실습] Amazon ELB (ALB+NLB) 구성하기

ALB(HTTPS) 생성 과정은 위 링크를 참조 바랍니다.  ALB 생성 시 Default SSL/TLS Certificate에 8단계에 생성한 Private 인증서를 지정합니다. ALB Private domain 예시 : internal-alb-832899811.ap-northeast-2.elb.amazonaws.com

10단계 : Route 53에 ALB 도메인 등록

Route 53 > Hosted zones > private.com 선택 > Create record

Record name	Record type	Alias	Route traffic to	Choose region	Choose load balancer	Routing policy
-	A	Enable	Alias to Application and Classic Load Balancer	ap-northeast-2	internal-alb-832899811.ap-northeast-2.elb.amazonaws.com	Simple routing

11단계 : 접속 테스트

bastion에서 Private domain(https://www.private.com)으로 접속 시도합니다. 

옵션 : 인증서 비정상 동작하는 경우 조치 방법

발생 원인 : Client(bastion)가 Server(gtekprivate.com)를 접속하면서 받은 인증서를 Client가 신뢰성 검증을 하게 되는데, 만약 Client가 root인증서 목록에서 검증할 root인증서가 없다면 이와 같은 오류 메시지가 출력됩니다. 조치 방법 : bastion에 root인증서를 등록합니다.

AWS Certificate Manager Private Certificate Authority > 생성된 Private CA 선택 > Actions > Get CA certificate > Export to a file > Certificate.pem 다운로드

# Linux PC 준비하여 다운로드한 pem 업로드하여 crt로 변환 
yum install openssl
openssl x509 -outform der -in Certificate.pem -out Certificate.crt
ll
-rw-r--r-- 1 root     root     844  Jul 26 05:35 Certificate.crt
-rw-r--r-- 1 ec2-user ec2-user 1199 Jul 26 05:34 Certificate.pem

Certificate.crt파일을 bastion으로 이동

bastion에서 아래 진행

① 검색창에서 “Manage computer certificates”로 검색하여 실행

② Certificates > Trusted Root Certification Authorities > Certificates > All Tasks > Import > Next > Browse 클릭하여 crt파일 선택 > Next > Place all certificates in the following store > Next > Certificate Store Selected by User > Finish