웹앱에 대한 App Service 인증서 만들기 및 관리
이 문서에서는 App Service 인증서를 만들고 관리(예: 갱신, 동기화 및 삭제)하는 방법을 보여 줍니다. App Service 인증서가 있으면 App Service 앱으로 가져올 수 있습니다. App Service 인증서는 Azure에서 관리하는 프라이빗 인증서입니다. 간편한 자동 인증서 관리의와 유연한 갱신 및 내보내기 옵션이 결합되었습니다.
Azure에서 App Service 인증서를 구매하면 Azure에서 다음 작업을 관리합니다.
- GoDaddy의 구매 프로세스를 처리합니다.
- 인증서의 도메인 확인을 수행합니다.
- Azure Key Vault에 인증서를 유지합니다.
- 인증서 갱신을 관리합니다.
- App Service 앱에서 가져온 복사본과 인증서를 자동으로 동기화합니다.
참고 항목
인증서를 앱에 업로드하면 인증서는 App Service 요금제의 리소스 그룹, 지역 및 운영 체제 조합(내부적으로 웹 공간이라고 함)에 바인딩된 배포 단위에 저장됩니다. 그와 같이 인증서는 같은 리소스 그룹과 지역 조합에 있는 다른 앱에 액세스할 수 있습니다. App Service에 업로드되거나 가져온 인증서는 동일한 배포 단위의 App Services와 공유됩니다.
필수 조건
- App Service 앱을 만듭니다. 앱의 App Service 요금제는 기본, 표준, 프리미엄 또는 격리 계층에 있어야 합니다. 계층을 업데이트하려면 앱 강화를 참조하세요.
참고 항목
현재 App Service 인증서는 Azure National Clouds에서 지원되지 않습니다.
App Service 인증서 구매 및 구성
인증서 구매 시작
App Service Certificate 만들기 페이지로 이동하여 App Service 인증서 구매를 시작합니다.
참고 항목
Azure에서 구매한 App Service 인증서는 GoDaddy에 의해 발급됩니다. 일부 도메인의 경우
0 issue godaddy.com값으로 CAA 도메인 레코드를 만들어 GoDaddy를 인증서 발급자로 명시적으로 허용해야 합니다.
인증서를 구성하는 데 도움이 필요하면 다음 표를 사용합니다. 완료되면 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.
설정 설명 구독 인증서와 연결할 Azure 구독입니다. 리소스 그룹 인증서를 포함할 리소스 그룹입니다. 새로운 리소스 그룹을 만들거나 App Service 앱과 동일한 리소스 그룹을 선택할 수 있습니다. SKU 만들려는 인증서 형식을 표준 인증서나 와일드 카드 인증서 중 하나로 결정합니다. Naked 도메인 호스트 이름 루트 도메인을 지정합니다. 발급된 인증서는 루트 도메인과 www하위 도메인을 모두 보호합니다. 발급된 인증서에서 일반 이름 필드는 루트 도메인을 지정하고 주체 대체 이름 필드는www도메인을 지정합니다. 하위 도메인만 보호하려면 하위 도메인의 정규화된 도메인 이름을 지정합니다(예:mysubdomain.contoso.com).인증서 이름 App Service 인증서의 식별 이름입니다. 자동 갱신 사용 만료 전에 인증서를 자동으로 갱신할지 여부를 선택합니다. 각 갱신은 인증서 만료를 1년 연장하고 비용은 구독에 청구됩니다. 배포가 완료되면 리소스로 이동을 선택합니다.
Azure Key Vault에 인증서 저장
Key Vault는 클라우드 애플리케이션 및 서비스에서 사용되는 암호화 키 및 비밀을 보호하는데 도움이 되는 Azure 서비스입니다. App Service 인증서의 경우 Key Vault가 스토리지로 선택됩니다. 인증서 구매 프로세스를 완료한 후 이 인증서 사용하기 전에 몇 가지 단계를 추가로 완료해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 인증서 메뉴에서 인증서 구성>1단계: 저장을 선택합니다.
Key Vault 상태 페이지에서 Key Vault에서 선택을 선택합니다.
새 자격 증명 모음을 만드는 경우 다음 표에 따라 자격 증명 모음을 설정하고 App Service 앱과 동일한 구독 및 리소스 그룹을 사용해야 합니다.
설정 설명 리소스 그룹 권장 사항: App Service 인증서와 동일한 리소스 그룹 Key Vault 이름 영숫자와 대시만 사용하는 고유한 이름 지역 App Service 앱과 동일한 위치 가격 책정 계층 자세한 내용은 Azure Key Vault 가격 책정 정보를 참조하세요. 삭제된 자격 증명 모음을 보존할 기간(일) 삭제 후 개체가 복구 가능한 상태로 유지되는 일 수입니다(Azure Key Vault 일시 삭제 개요 참조). 7에서 90 사이의 값을 설정합니다. 제거 보호 일시 삭제된 st 개체를 수동으로 제거할 수 없도록 합니다. 이 옵션을 사용하도록 설정하면 삭제된 모든 개체가 보존 기간 동안 일시 삭제된 상태로 유지됩니다. 다음을 선택하고 키 자격 증명 모음 액세스 정책을 선택합니다. 현재 App Service Certificate에서는 Key Vault 액세스 정책만 지원하고 RBAC 모델을 지원하지 않습니다.
검토 + 생성를 선택한 다음, 생성를 선택합니다.
키 자격 증명 모음을 만든 후 리소스로 이동을 선택하지 않고 Azure Key Vault에서 키 자격 증명 모음 선택 페이지에서 다시 로드할 때까지 기다립니다.
선택을 선택합니다.
자격 증명 모음을 선택한 후 Key Vault 리포지토리 페이지를 닫습니다. 1단계: 저장 옵션에 성공을 나타내는 녹색 확인 표시가 나타나야 합니다. 다음 단계를 위해 페이지를 열어둡니다.
도메인 소유권 확인
이전 섹션과 동일한 인증서 구성 페이지에서 2단계: 확인을 클릭합니다.
App Service 확인을 선택합니다. 그러나 이전에 필수 구성 요소에 따라 도메인을 웹앱에 매핑했으므로 도메인이 이미 확인되었습니다. 이 단계를 완료하려면 확인을 선택한 다음, 인증서 도메인이 확인됨 메시지가 표시될 때까지 새로 고침을 선택합니다.
다음 도메인 확인 방법이 지원됩니다.
| 메서드 | 설명 |
|---|---|
| App Service 확인 | App Service 앱에서 이미 도메인 소유권을 확인했으므로 도메인이 같은 구독의 App Service 앱에 이미 매핑된 경우에 가장 편리한 옵션입니다. 도메인 소유권 확인의 마지막 단계를 검토합니다. |
| 도메인 확인 | Azure에서 구매한 App Service 도메인을 확인합니다. Azure는 사용자에게 자동으로 확인 TXT 레코드를 추가하고 프로세스를 완료합니다. |
| 메일 확인 | 도메인 관리자에게 이메일을 보내 도메인을 확인합니다. 옵션을 선택하면 지침이 제공됩니다. |
| 수동 확인 | DNS TXT 레코드 또는 HTML 페이지를 사용하여 도메인을 확인합니다. 이 페이지는 다음 메모에 따라 표준 인증서에만 적용됩니다. 이 단계는 옵션을 선택한 후에 제공됩니다. ‘HTTPS 전용’을 사용하는 경우에는 HTML 페이지 옵션은 웹앱에서 작동하지 않습니다. 두 루트 도메인에 대한 DNS TXT 레코드를 통한 도메인 확인의 경우(예: "contoso.com") 또는 하위 도메인(예: "www.contoso.com", "test.api.contoso.com") 및 인증서 SKU에 관계없이 이름에 '@'을 사용하고 DNS 레코드의 값에 대한 도메인 확인 토큰을 사용하여 루트 도메인 수준에서 TXT 레코드를 추가해야 합니다. |
Important
표준 인증서를 사용하여 요청된 최상위 도메인 및www 하위 도메인(예: contoso.com 및 www.contoso.com)에 대한 인증서를 가져옵니다. 그러나 App Service 확인 및 수동 확인은 모두 인증서를 발급하거나, 키를 다시 입력하거나, 갱신할 때 www 하위 도메인을 지원하지 않는 HTML 페이지 확인을 사용합니다. 표준 인증서의 경우 도메인 확인 및 메일 확인을 사용하여 인증서에 요청된 최상위 도메인에 www 하위 도메인을 포함합니다.
인증서가 도메인으로 확인되면 App Service 앱으로 가져올 준비가 된 것입니다.
App Service 인증서 갱신
기본적으로 App Service 인증서의 유효 기간은 1년입니다. 만료 날짜 전후에 App Service 인증서를 1년 단위로 자동 또는 수동으로 갱신할 수 있습니다. 갱신 프로세스는 만료 날짜가 기존 인증서의 만료 날짜로부터 1년 더 연장된 새 App Service 인증서를 효과적으로 제공합니다.
참고 항목
2021년 9월 23일부터 지난 395일 동안 도메인을 확인하지 않은 경우 App Service 인증서를 사용하려면 갱신 또는 키 다시 입력 프로세스 중에 도메인을 확인해야 합니다. 도메인 확인을 완료할 때까지 갱신 또는 키 다시 입력 프로세스 중에 새 인증서 주문은 “발급 보류 중” 모드로 유지됩니다.
무료 App Service 관리 인증서와 달리 App Service 인증서에 대한 도메인 재확인은 자동화되지 않습니다. 도메인 소유권을 확인하지 못하면 갱신이 실패합니다. App Service 인증서를 확인하는 방법에 대한 자세한 내용은 도메인 소유권 확인을 검토하세요.
갱신 프로세스를 수행하려면 App Service의 잘 알려진 서비스 주체에게 키 자격 증명 모음에 대한 필수 권한이 있어야 합니다. 이러한 권한은 Azure Portal 통해 App Service 인증서를 가져올 때 자동으로 설정됩니다. 키 자격 증명 모음에서 이러한 권한을 제거하지 않아야 합니다.
언제든지 App Service 인증서의 자동 갱신 설정을 변경하려면 App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 자동 갱신 설정을 선택합니다.
켜기 또는 끄기를 선택하고 저장을 선택합니다.
자동 갱신을 활성화하면 인증서가 만료 32일 전에 자동으로 갱신됩니다.
대신 인증서를 수동으로 갱신하려면 수동 갱신을 선택합니다. 만료 60일 전에 인증서를 수동으로 갱신하도록 요청할 수 있지만 최대 만료 날짜는 397일입니다.
갱신 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
참고 항목
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 키 다시 입력
인증서의 프라이빗 키가 손상되었다고 생각되는 경우 인증서 키를 다시 입력할 수 있습니다. 이 작업은 인증서를 인증 기관에서 발급한 새 인증서로 롤링합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 왼쪽 메뉴에서 키 다시 입력 및 동기화를 선택합니다.
프로세스를 시작하려면 키 다시 입력을 선택합니다. 이 프로세스는 완료하는 데 1-10분 정도 걸릴 수 있습니다.
도메인 소유권을 다시 확인해야 할 수도 있습니다.
키 다시 입력 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
참고 항목
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 가져오기
App Service 인증서는 Key Vault 비밀이므로 복사본을 PFX 파일로 내보내서 다른 Azure 서비스나 Azure 외부에서 사용할 수 있습니다.
Important
내보낸 인증서는 관리되지 않는 아티팩트입니다. App Service는 App Service 인증서가 갱신될 때 이러한 아티팩트를 동기화하지 않습니다. 갱신된 인증서를 내보내고 필요한 위치에 설치해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 인증서 내보내기를 선택합니다.
Key Vault 비밀 열기를 선택합니다.
인증서의 현재 버전을 선택합니다.
인증서로 다운로드를 선택합니다.
다운로드한 PFX 파일은 공용 인증서와 프라이빗 인증서를 모두 포함하는 원시 PKCS12 파일이며 빈 문자열인 가져오기 암호가 있습니다. 암호 필드를 비워 두면 파일을 로컬로 설치할 수 있습니다. 파일이 암호로 보호되지 않으므로 파일을 있는 그대로 App Service 업로드할 수 없습니다.
App Service 인증서 삭제
App Service 인증서를 삭제하는 경우 삭제 작업은 되돌릴 수 없으며 최종적입니다. 결과는 철회된 인증서이며 이 인증서를 사용하는 App Service에서 바인딩은 유효하지 않습니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 개요>삭제를 선택합니다.
확인 상자가 열리면 인증서 이름을 입력하고 확인을 선택합니다.
자주 묻는 질문
내 App Service 인증서의 Key Vault에 값이 없습니다.
App Service 인증서는 아직 도메인이 확인되지 않았을 가능성이 높습니다. 도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다. 키 자격 증명 모음 비밀로 Initialize 태그를 유지 관리하며 해당 값과 콘텐츠 형식은 비어 있습니다. 도메인 소유권이 확인되면 키 자격 증명 모음 비밀에 값과 콘텐츠 형식이 표시되고 태그가 Ready로 변경됩니다.
PowerShell을 사용하여 App Service 인증서를 내보낼 수 없습니다.
App Service 인증서는 아직 도메인이 확인되지 않았을 가능성이 높습니다. 도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다.
App Service 인증서 만들기 프로세스로 인한 기존 Key Vault의 변경 내용은 무엇인가요?
만들기 프로세스를 통해 다음과 같이 변경됩니다.
- 자격 증명 모음에 다음 두 개의 액세스 정책을 추가합니다.
- Microsoft.Azure.WebSites(또는
Microsoft Azure App Service) - Microsoft 인증서 재판매인 CSM 리소스 공급자(또는
Microsoft.Azure.CertificateRegistration)
- Microsoft.Azure.WebSites(또는
- 키 자격 증명 모음을 실수로 삭제하지 않도록
AppServiceCertificateLock이라는 자격 증명 모음에 삭제 잠금을 만듭니다.