Export 기능은 ACM(Amazon Certification Manager) 공용 인증서(Public Certifcate)를 내보내는 신규 기능입니다.
AWS Certificate Manager exportable public certificates - AWS Certificate Manager
AWS Certificate Manager, 어디서나 사용 가능한 SSL/TLS 인증서 내보내기 기능 출시 | Amazon Web Services
-
기존에는 ACM에서 발급한 공용 인증서는 지원하는 일부 AWS Managed Service(예: ELB, CloudFront, API Gateway 등..)에서만 적용이 가능하였습니다.
금융 및 의료 등 높은 보안 수준을 요구하는 특정 산업에서는 전 구간 암호화를 의무화 하는 경우, ACM 만으로 이를 충족하기에는 어려움이 있었습니다.
하지만 Export 기능의 등장으로 발급받은 공용 인증서를 On-Premise의 서버, EC2 Instance, Container 등 다양한 상황에서 사용하는게 가능해졌습니다.
-
이미 발급한 공용 인증서에 대해서는 Export 기능을 사용할 수 없으며, 생성 후 수정이 불가능합니다.
-
AWS ACM에서 Certifcate 발급 시, 기본적으로
Allow export옵션이 비활성화 상태입니다. -
Export 기능 출시 이전에 생성된 Certifcate는
Allow export옵션이 비활성화 상태입니다.
-
-
Export 를 통해 공용 인증서를 사용자 임의로 사용한다면, 별도의 인증서 배포 프로세스 구현이 필요할 수 있습니다.
ACM에서 발급한 인증서를 갱신될 때, AWS Managed Service(예: ELB, CloudFront 등..)에 적용된 인증서는 자동으로 새로은 인증서로 교체되기 때문에, 사용자가 별도의 인증서 배포 프로세스를 구현 및 관리할 필요가 없었습니다.
하지만 Export를 통해 사용자 임의로 사용하고 있는 주체(예: 서버)의 인증서는 자동으로 교체되지 않습니다. 그러므로 인증서 갱신 시, 함께 교체되도록 배포 프로세스 구현이 필요할 수 있습니다.
-
ACM 인증서의 Validation method가 DNS Validation이라면, 인증서가 자동 갱신되기 때문에 관리자가 인지못하는 순간 문제가 발생할 수 있기 때문에 주의가 필요합니다.
필요 시, EventBridge 설정을 통해, 인증서 Expired Evenet를 식별할 수 있습니다
Amazon EventBridge support for ACM - AWS Certificate Manager
-
-
Export 기능을 사용하면 비용이 발생합니다.
-
Export 옵션을 사용하기 위해서 ACM Certifcate 생성 시, Allow export 옵션을 활성화한 공용 인증서는 최초 발행 시와 인증서 갱신 시 마다 비용이 발생합니다
-
ACM Certifcate 생성 시, 등록한 Domain Name의 정규화 여부에 따라서 비용이 달라집니다.
-
표준 정규화된 Domain Name(예: www.example.com) 의 경우, $ 15
-
Wildcard Domain Name(예: *.example.com)의 경우, $ 149
-
-
