웹앱에 대한 App Service 인증서 만들기 및 관리
이 문서에서는 App Service 인증서를 만들고 인증서 갱신, 동기화 및 삭제와 같은 관리 작업을 수행하는 방법을 보여 줍니다. App Service 인증서가 있으면 App Service 앱으로 가져올 수 있습니다. App Service 인증서는 Azure에서 관리하는 프라이빗 인증서입니다. 간편한 자동 인증서 관리의와 유연한 갱신 및 내보내기 옵션이 결합되었습니다.
Azure에서 App Service 인증서를 구매하면 Azure에서 다음 작업을 관리합니다.
- GoDaddy의 구매 프로세스를 처리합니다.
- 인증서의 도메인 확인을 수행합니다.
- Azure Key Vault에 인증서를 유지합니다.
- 인증서 갱신을 관리합니다.
- App Service 앱에서 가져온 복사본과 인증서를 자동으로 동기화합니다.
참고 항목
인증서를 앱에 업로드하면 인증서는 App Service 요금제의 리소스 그룹, 지역 및 운영 체제 조합(내부적으로 웹 공간이라고 함)에 바인딩된 배포 단위에 저장됩니다. 그와 같이 인증서는 같은 리소스 그룹과 지역 조합에 있는 다른 앱에 액세스할 수 있습니다. App Service에 업로드되거나 가져온 인증서는 동일한 배포 단위의 App Services와 공유됩니다.
필수 조건
- App Service 앱을 만듭니다. 앱의 앱 서비스 플랜은 기본, 표준, 프리미엄 또는 격리 계층에 있어야 합니다. 계층을 업데이트하려면 앱 강화를 참조하세요.
참고 항목
현재 App Service 인증서는 Azure 국가별 클라우드에서 지원되지 않습니다.
App Service 인증서 구매 및 구성
인증서 구입
App Service 인증서 만들기 페이지로 이동하여 구매를 시작합니다.
참고 항목
Azure에서 구매한 App Service 인증서는 GoDaddy에 의해 발급됩니다. 일부 도메인의 경우
0 issue godaddy.com
값이 CAA 도메인 레코드를 만들어 GoDaddy를 인증서 발급자로 명시적으로 허용해야 합니다.인증서를 구성하려면 다음 표를 사용합니다. 완료되면 검토 + 만들기를 선택한 다음 만들기를 선택합니다.
설정 설명 구독 인증서와 연결할 Azure 구독입니다. 리소스 그룹 인증서를 포함할 리소스 그룹입니다. 새로운 리소스 그룹을 만들거나 App Service 앱과 동일한 리소스 그룹을 선택할 수 있습니다. SKU 만들려는 인증서 형식을 표준 인증서나 와일드 카드 인증서 중 하나로 결정합니다. Naked 도메인 호스트 이름 루트 도메인을 지정합니다. 발급된 인증서는 루트 도메인과 www
하위 도메인 모두의 보안을 제공합니다. 발급된 인증서에서 일반 이름 필드는 루트 도메인을 지정하고 주체 대체 이름 필드는www
도메인을 지정합니다. 하위 도메인에 대해서만 보안을 제공하려면 하위 도메인의 정규화된 도메인 이름(예:mysubdomain.contoso.com
)을 지정합니다.인증서 이름 App Service 인증서의 식별 이름입니다. 자동 갱신 사용 만료 전에 인증서를 자동으로 갱신할지 여부를 선택합니다. 각 갱신은 인증서 만료를 1년 연장합니다. 비용은 구독에 청구됩니다. 배포가 완료되면 리소스로 이동을 선택합니다.
Azure Key Vault에 인증서 저장
Key Vault는 클라우드 애플리케이션 및 서비스에서 사용되는 암호화 키 및 비밀을 보호하는데 도움이 되는 Azure 서비스입니다. App Service 인증서의 경우 Key Vault를 사용하는 것이 좋습니다. 인증서 구매 프로세스를 완료한 후 인증서 사용을 시작하기 전에 몇 가지 단계를 더 완료해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 인증서 메뉴에서 인증서 구성>1단계: 저장을 선택합니다.
Key Vault 상태 페이지에서 Key Vault에서 선택을 선택합니다.
새 자격 증명 모음을 만드는 경우 다음 표에 따라 자격 증명 모음을 설정하고 App Service 앱과 동일한 구독 및 리소스 그룹을 사용해야 합니다.
설정 설명 리소스 그룹 권장 사항: App Service 인증서와 동일한 리소스 그룹 Key Vault 이름 영숫자와 대시만 사용하는 고유한 이름 지역 App Service 앱과 동일한 위치 가격 책정 계층 자세한 내용은 Azure Key Vault 가격 책정 정보를 참조하세요. 삭제된 자격 증명 모음을 보존할 기간(일) 삭제 후 해당 개체를 복구할 수 있는 일 수입니다. (Azure Key Vault 일시 삭제 개요를 참조하세요.) 7에서 90 사이의 값을 설정합니다. 제거 보호 이 옵션을 사용하도록 설정하면 삭제된 모든 개체가 보존 기간 동안 일시 삭제된 상태로 유지됩니다. 다음을 선택한 다음 자격 증명 모음 액세스 정책을 선택합니다. 현재 App Service Certificate에서는 Key Vault 액세스 정책만 지원하고 RBAC 모델을 지원하지 않습니다.
검토 및 생성를 선택한 후 생성를 선택합니다.
키 자격 증명 모음을 만든 후에는 리소스로 이동하기를 선택하지 마세요. Azure Key Vault에서 키 중요 보관소 선택 페이지에서 다시 로드할 때까지 기다립니다.
선택을 선택합니다.
자격 증명 모음을 선택한 후 Key Vault 리포지토리 페이지를 닫습니다. 1단계: 저장 옵션에 성공을 나타내는 녹색 확인 표시가 나타나야 합니다. 다음 단계를 위해 페이지를 열어둡니다.
도메인 소유권 확인
이전 섹션과 동일한 인증서 구성 페이지에서 2단계: 확인을 선택합니다.
App Service 확인을 선택합니다. 이 섹션의 앞부분에서 웹앱에 도메인을 매핑했으므로 도메인이 이미 확인되었습니다. 이 단계를 완료하려면 확인을 선택한 다음, 인증서 도메인이 확인됨 메시지가 표시될 때까지 새로 고침을 선택합니다.
다음 도메인 확인 방법이 지원됩니다.
메서드 | 설명 |
---|---|
App Service 확인 | App Service 앱에서 이미 도메인 소유권을 확인했으므로 도메인이 같은 구독의 App Service 앱에 이미 매핑된 경우에 가장 편리한 옵션입니다. 도메인 소유권 확인의 마지막 단계를 검토합니다. |
도메인 확인 | Azure에서 구매한 App Service 도메인을 확인합니다. Azure는 사용자에게 자동으로 확인 TXT 레코드를 추가하고 프로세스를 완료합니다. |
메일 확인 | 도메인 관리자에게 이메일을 보내 도메인을 확인합니다. 옵션을 선택하면 지침이 제공됩니다. |
수동 확인 | DNS TXT 레코드 또는 HTML 페이지를 사용하여 도메인을 확인합니다. (후자는 표준 인증서에만 적용됩니다. 다음 참고 사항을 참조하세요.) 이 단계는 옵션을 선택한 후에 제공됩니다. HTTPS만 사용하도록 설정된 웹앱에는 HTML 페이지 옵션이 작동하지 않습니다. 루트 도메인(예: contoso.com ) 또는 하위 도메인(예: www.contoso.com 또는 test.api.contoso.com )에 대한 DNS TXT 레코드를 통한 도메인 확인의 경우 인증서 SKU에 관계없이 DNS 레코드의 값에 대한 이름 및 도메인 확인 토큰에 대한 @ 을(를) 사용하여 루트 도메인 수준에서 TXT 레코드를 추가해야 합니다. |
Important
표준 인증서를 사용하면, 요청된 최상위 도메인 및 www
하위 도메인에 대한 인증서(예: contoso.com
및 www.contoso.com
)을(를) 제공합니다. 그러나 App Service 확인 및 수동 확인은 모두 HTML 페이지 확인을 사용하며 인증서를 발급하거나 키를 다시 입력하거나 갱신할 때 www
하위 도메인을 지원하지 않습니다. 표준 인증서의 경우 도메인 확인 및 메일 확인을 사용하여 인증서에 요청된 최상위 도메인에 www
하위 도메인을 포함합니다.
인증서가 도메인으로 확인되면 App Service 앱으로 가져올 준비가 된 것입니다.
App Service 인증서 갱신
기본적으로 App Service 인증서의 유효 기간은 1년입니다. 만료 날짜 전에 App Service 인증서를 1년 단위로 자동으로 또는 수동으로 갱신할 수 있습니다. 갱신 프로세스는 만료 날짜가 기존 인증서의 만료 날짜로부터 1년 더 연장된 새 App Service 인증서를 효과적으로 제공합니다.
참고 항목
2021년 9월 23일부터 지난 395일 동안 도메인을 확인하지 않은 경우 App Service 인증서는 갱신, 자동 갱신 또는 키 다시 키 프로세스 중에 도메인 확인을 요구합니다. 도메인 확인을 완료할 때까지 갱신, 자동 갱신 또는 키 다시 입력 프로세스 중에 새 인증서 주문이 "발급 보류 중" 모드로 유지됩니다.
무료 App Service 관리 인증서와 달리 구매한 App Service 인증서에는 자동화된 도메인 다시 확인이 없습니다. 도메인 소유권을 확인하지 못하면 갱신이 실패합니다. App Service 인증서를 확인하는 방법에 대한 자세한 내용은 도메인 소유권 확인을 검토하세요.
갱신 프로세스를 수행하려면 App Service의 서비스 주체에 키 자격 증명 모음에 필요한 권한이 있어야 합니다. 이러한 권한은 Azure Portal 통해 App Service 인증서를 가져올 때 자동으로 설정됩니다. 키 자격 증명 모음에서 이러한 권한을 제거하지 않아야 합니다.
언제든지 App Service 인증서의 자동 갱신 설정을 변경하려면 App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 자동 갱신 설정을 선택합니다.
켜기 또는 끄기를 선택한 다음 저장을 선택합니다.
자동 갱신을 활성화하면 인증서가 만료 32일 전에 자동으로 갱신됩니다.
대신 인증서를 수동으로 갱신하려면 수동 갱신을 선택합니다. 만료 60일 전에 인증서를 수동으로 갱신하도록 요청할 수 있지만 인증서는 397일 이상 발급할 수 없습니다.
갱신 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
참고 항목
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 키 다시 입력
인증서의 프라이빗 키가 손상되었다고 생각되는 경우 인증서 키를 다시 입력할 수 있습니다. 이 작업은 인증 기관에서 발급한 새 인증서를 사용하여 인증서를 회전합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 왼쪽 메뉴에서 키 다시 입력 및 동기화를 선택합니다.
프로세스를 시작하려면 키 다시 입력을 선택합니다. 이 프로세스는 완료하는 데 1-10분 정도 걸릴 수 있습니다.
도메인 소유권을 다시 확인해야 할 수도 있습니다.
키 다시 입력 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
참고 항목
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 가져오기
App Service 인증서는 Key Vault 비밀이므로 복사본을 PFX 파일로 내보내서 다른 Azure 서비스나 Azure 외부에서 사용할 수 있습니다.
Important
내보낸 인증서는 관리되지 않는 아티팩트입니다. App Service는 App Service 인증서가 갱신될 때 이러한 아티팩트를 동기화하지 않습니다. 갱신된 인증서를 내보내고 필요한 위치에 설치해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 인증서 내보내기를 선택합니다.
Key Vault 비밀 열기를 선택합니다.
인증서의 현재 버전을 선택합니다.
인증서로 다운로드를 선택합니다.
다운로드한 PFX 파일은 공용 인증서와 프라이빗 인증서를 모두 포함하는 원시 PKCS12 파일이며 빈 문자열인 가져오기 암호가 있습니다. 암호 필드를 비워 두면 파일을 로컬로 설치할 수 있습니다. 파일이 암호로 보호되지 않으므로 파일을 있는 그대로 App Service 업로드할 수 없습니다.
App Service 인증서용 Azure Advisor 사용
App Service 인증서는 Azure Advisor와 통합되어 인증서에 도메인 확인이 필요한 경우에 대한 안정성 권장 사항을 제공합니다. 지난 395일 동안 도메인을 확인하지 않은 경우 갱신, 자동 갱신 또는 키 다시 키 프로세스 중에 인증서에 대한 도메인 소유권을 확인해야 합니다. 확인이 필요하거나 인증서가 만료될 위험이 있는 인증서를 놓치지 않도록 하려면 Azure Advisor를 활용하여 App Service 인증서에 대한 경고를 보고 설정할 수 있습니다.
Advisor 권장 사항 보기
App Service 인증서에 대한 Advisor 권장 사항을 보려면 다음을 수행합니다.
Azure Advisor 페이지로 이동합니다.
왼쪽 메뉴에서 권장 사항 안정성을 선택합니다.>
필터 옵션 형식을 선택하고 드롭다운 목록에서 App Service 인증서를 검색합니다. 드롭다운 메뉴에 값이 없으면 도메인 소유권 확인이 필요하지 않으므로 App Service 인증서 리소스에 대한 권장 사항이 생성되지 않았습니다.
Advisor 경고 만들기
다양한 구성을 사용하여 [새 권장 사항에 대한 Azure Advisor 경고를 만듭니다]. 인증서에 도메인 소유권 유효성 검사가 필요한 경우 알림을 받을 수 있도록 App Serivice 인증서에 대한 Advisor 경고를 특별히 설정하려면 다음을 수행합니다.
Azure Advisor 페이지로 이동합니다.
왼쪽 메뉴에서 경고 모니터링(미리 보기)을>선택합니다.
위쪽의 작업 표시줄에서 + 새 관리자 경고를 클릭합니다. 그러면 "관리자 경고 만들기"라는 새 블레이드가 열립니다.
조건 아래에서 다음을 선택합니다.
구성 주체 권장 사항 종류 권장 사항 종류 App Service Certificate 발급에 필요한 도메인 확인 필요한 필드의 나머지 부분을 채운 다음 아래쪽에서 경고 만들기 단추를 선택합니다.
App Service 인증서 삭제
App Service 인증서를 삭제하는 경우 삭제 작업은 되돌릴 수 없으며 최종적입니다. 결과는 해지된 인증서이며, 인증서를 사용하는 App Service의 바인딩은 유효하지 않습니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 메뉴에서 개요>삭제를 선택합니다.
확인 상자가 열리면 인증서 이름을 입력한 다음 확인을 선택합니다.
자주 묻는 질문
내 App Service 인증서의 Key Vault에 값이 없습니다.
App Service 인증서가 아직 도메인으로 확인되지 않았을 수 있습니다. 도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다. Key Vault 비밀은 Initialize
태그를 유지 관리하며 해당 값과 콘텐츠 형식은 비어 있습니다. 도메인 소유권이 확인되면 키 자격 증명 모음 비밀에 값과 콘텐츠 형식이 표시되고 태그가 Ready
로 변경됩니다.
PowerShell을 사용하여 App Service 인증서를 내보낼 수 없습니다.
App Service 인증서가 아직 도메인으로 확인되지 않았을 수 있습니다. 도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다.
App Service 인증서 만들기 프로세스에서 기존 키 자격 증명 모음을 변경하려면 어떻게 해야 합니까?
만들기 프로세스를 통해 다음과 같이 변경됩니다.
- 자격 증명 모음에 다음 두 개의 액세스 정책을 추가합니다.
- Microsoft.Azure.WebSites(또는
Microsoft Azure App Service
) - Microsoft 인증서 재판매인 CSM 리소스 공급자(또는
Microsoft.Azure.CertificateRegistration
)
- Microsoft.Azure.WebSites(또는
- 자격 증명 모음에서
AppServiceCertificateLock
(이)라는 삭제 잠금을 만들어 실수로 키 자격 증명 모음을 삭제하지 않도록 합니다.