이 문서에서는 Azure App Service 인증서를 만들고 인증서 갱신, 동기화 및 삭제와 같은 관리 작업을 수행하는 방법을 보여 줍니다. App Service 인증서가 있으면 App Service 앱으로 가져올 수 있습니다. App Service 인증서는 Azure에서 관리하는 프라이빗 인증서입니다. 간편한 자동 인증서 관리의와 유연한 갱신 및 내보내기 옵션이 결합되었습니다.
Azure에서 App Service 인증서를 구매하면 Azure에서 다음 작업을 관리합니다.
- GoDaddy의 구매 프로세스를 처리합니다.
- 인증서의 도메인 확인을 수행합니다.
- Azure Key Vault에 인증서를 유지합니다.
- 인증서 갱신을 관리합니다.
- App Service 앱에서 가져온 복사본과 인증서를 자동으로 동기화합니다.
인증서를 앱에 업로드한 후 인증서는 App Service 계획의 리소스 그룹, 지역 및 운영 체제 조합에 바인딩된 배포 단위에 저장됩니다. 내부적으로 웹스페이스라고 합니다. 그와 같이 인증서는 같은 리소스 그룹과 지역 조합에 있는 다른 앱에 액세스할 수 있습니다. App Service로 업로드되거나 가져온 인증서는 동일한 배포 단위의 앱 서비스와 공유됩니다.
필수 구성 요소
- App Service 앱을 만듭니다. 앱의 App Service 요금제는 기본, 표준, 프리미엄 또는 격리 계층에 있어야 합니다. 계층을 업데이트하려면 앱 강화를 참조하세요.
현재 App Service 인증서는 Azure 국가별 클라우드에서 지원되지 않습니다.
App Service 인증서 구매 및 구성
인증서 구입
App Service 인증서 만들기 페이지로 이동하여 구매를 시작합니다.
참고
GoDaddy는 Azure에서 구매한 App Service 인증서를 발급합니다. 일부 도메인의 경우 값이 있는
0 issue godaddy.com를 만들어 GoDaddy를 인증서 발급자로 명시적으로 허용해야 합니다.
인증서를 구성하려면 다음 표를 사용합니다. 완료되면 검토 + 만들기를 선택한 다음 만들기를 선택합니다.
설정 설명 구독 인증서와 연결할 Azure 구독입니다. 리소스 그룹 인증서를 포함하는 리소스 그룹입니다. 새로운 리소스 그룹을 만들거나 App Service 앱과 동일한 리소스 그룹을 선택할 수 있습니다. SKU 만들려는 인증서 형식을 표준 인증서나 와일드 카드 인증서 중 하나로 결정합니다. Naked 도메인 호스트 이름 루트 도메인을 지정합니다. 발급된 인증서는 루트 도메인과 하위 도메인 www의 보안을 제공합니다. 발급된 인증서에서 공통 이름 필드는 루트 도메인을 지정합니다. 주체 대체 이름 필드는 도메인을www지정합니다. 하위 도메인에 대해서만 보안을 제공하려면 하위 도메인의 정규화된 도메인 이름(예:mysubdomain.contoso.com)을 지정합니다.인증서 이름 App Service 인증서의 식별 이름입니다. 자동 갱신 사용 만료 전에 인증서를 자동으로 갱신할지 여부를 선택합니다. 각 갱신은 인증서 만료를 1년 연장합니다. 비용은 구독에 청구됩니다. 배포가 완료되면 리소스로 이동을 선택합니다.
Azure Key Vault에 인증서 저장
Key Vault는 클라우드 애플리케이션 및 서비스에서 사용되는 암호화 키 및 비밀을 보호하는데 도움이 되는 Azure 서비스입니다. App Service 인증서의 경우 Key Vault를 사용하는 것이 좋습니다. 인증서 구매 프로세스를 완료한 후 인증서 사용을 시작하기 전에 몇 가지 단계를 더 완료해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 인증서 창에서 인증서 구성>1단계: 저장을 선택합니다.
Key Vault 상태 페이지에서 Key Vault에서 선택을 선택합니다.
새 금고를 만들 때 다음 표에 따라 금고를 설정하십시오. App Service 앱과 동일한 구독 및 리소스 그룹을 사용해야 합니다.
설정 설명 리소스 그룹 권장 사항: App Service 인증서와 동일한 리소스 그룹 Key Vault 이름 영숫자와 대시만 사용하는 고유한 이름 지역 App Service 앱과 동일한 위치 가격 책정 계층 자세한 내용은 Azure Key Vault 가격 책정 정보를 참조하세요. 삭제된 자격 증명 모음을 보존할 기간(일) 삭제 후 해당 개체를 복구할 수 있는 일 수입니다. (Azure Key Vault 일시 삭제 개요를 참조하세요.) 7에서 90 사이의 값을 설정합니다. 제거 보호 이 옵션을 사용하도록 설정하면 삭제된 모든 개체가 보존 기간 동안 일시 삭제된 상태로 유지됩니다. 다음을 선택한 다음 자격 증명 모음 액세스 정책을 선택합니다. 현재 App Service 인증서는 역할 기반 액세스 제어 모델이 아닌 Key Vault 액세스 정책만 지원합니다.
검토 + 만들기를 선택한 다음, 만들기를 선택합니다.
키 자격 증명 모음을 만든 후에는 리소스로 이동하기를 선택하지 마세요. Azure Key Vault에서 키 중요 보관소 선택 페이지에서 다시 로드할 때까지 기다립니다.
선택합니다.
자격 증명 모음을 선택한 후 Key Vault 리포지토리 페이지를 닫습니다. 1단계: 저장 옵션에 성공을 나타내는 녹색 확인 표시가 나타나야 합니다. 다음 단계를 위해 페이지를 열어둡니다.
도메인 소유권 확인
이전 섹션과 동일한 인증서 구성 페이지에서 2단계: 확인을 선택합니다.
App Service 확인을 선택합니다. 이 섹션의 앞부분에서 웹앱에 도메인을 매핑했으므로 도메인이 이미 확인되었습니다. 이 단계를 완료하려면 확인을 선택한 다음 인증서가 도메인 확인됨으로 표시될 때까지 새로 고침을 선택합니다.
다음 도메인 확인 방법이 지원됩니다.
| 방법 | 설명 |
|---|---|
| App Service 검증 | App Service 앱이 도메인 소유권을 확인했기 때문에 도메인이 동일한 구독의 App Service 앱에 이미 매핑된 경우 가장 편리한 옵션입니다. 도메인 소유권 확인의 마지막 단계를 검토합니다. |
| 도메인 확인 | Azure에서 구매한 App Service 도메인을 확인합니다. Azure는 자동으로 확인 TXT 레코드를 추가하고 프로세스를 완료합니다. |
| 메일 확인 | 도메인 관리자에게 이메일을 보내 도메인을 확인합니다. 옵션을 선택하면 지침이 제공됩니다. |
| 수동 확인 | DNS(도메인 이름 시스템) TXT 레코드 또는 HTML 페이지를 사용하여 도메인을 확인합니다. (후자는 표준 인증서에만 적용됩니다. 다음 참고 사항을 참조하세요.) 이 단계는 옵션을 선택한 후에 제공됩니다.
HTTPS만 사용하도록 설정된 웹앱에는 HTML 페이지 옵션이 작동하지 않습니다. 루트 도메인(예: ) 또는 하위 도메인(예contoso.comwww.contoso.com: 또는test.api.contoso.com)에 대한 DNS TXT 레코드를 통한 도메인 확인의 경우 인증서 SKU에 관계없이 루트 도메인 수준에서 TXT 레코드를 추가해야 합니다. DNS 레코드에서 이름으로 @를 사용하고 값으로 도메인 확인 토큰을 사용합니다. |
중요
표준 인증서를 사용하면, 요청된 최상위 도메인 및www 하위 도메인에 대한 인증서(예: contoso.com 및 www.contoso.com)을(를) 제공합니다. App Service 확인 및 수동 확인은 모두 인증서 발급, 키 다시 지정 또는 갱신 시, 하위 도메인 'www'을 지원하지 않는 HTML 페이지 확인을 사용합니다. 표준 인증서의 경우 도메인 확인 및 메일 확인을 사용하여 인증서에 www 요청된 최상위 도메인에 하위 도메인을 포함합니다.
인증서가 도메인 확인되면 App Service 앱으로 가져올 수 있습니다.
App Service 인증서 갱신
기본적으로 App Service 인증서의 유효 기간은 1년입니다. 만료 날짜 전에 App Service 인증서를 1년 단위로 자동으로 또는 수동으로 갱신할 수 있습니다. 갱신 프로세스는 만료 날짜가 기존 인증서의 만료 날짜로부터 1년 더 연장된 새 App Service 인증서를 효과적으로 제공합니다.
2021년 9월 23일 현재, 지난 395일 동안 도메인을 확인하지 않은 경우 App Service 인증서는 갱신, 자동 갱신 또는 키 다시 만들기 프로세스 중에 도메인 확인이 필요합니다. 도메인 확인을 완료할 때까지 갱신, 자동 갱신, 또는 재키 프로세스 중에 새 인증서 주문은 발급 보류 중 상태로 유지됩니다.
무료 App Service 관리 인증서와 달리 구매한 App Service 인증서에는 자동화된 도메인 복원이 없습니다. 도메인 소유권을 확인하지 못하면 갱신이 실패합니다. App Service 인증서를 확인하는 방법에 대한 자세한 내용은 도메인 소유권 확인을 검토하세요.
갱신 프로세스를 수행하려면 App Service의 서비스 주체에 키 자격 증명 모음에 필요한 권한이 있어야 합니다. 이러한 권한은 Azure Portal 통해 App Service 인증서를 가져올 때 자동으로 설정됩니다. 키 자격 증명 모음에서 이러한 권한을 제거하지 않아야 합니다.
언제든지 App Service 인증서의 자동 갱신 설정을 변경하려면 App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 창에서 자동 갱신 설정을 선택합니다.
켜기 또는 끄기를 선택한 다음 저장을 선택합니다.
자동 갱신을 활성화하면 인증서가 만료 32일 전에 자동으로 갱신됩니다.
대신 인증서를 수동으로 갱신하려면 수동 갱신을 선택합니다. 만료 60일 전에 인증서를 수동으로 갱신하도록 요청할 수 있지만 인증서는 397일 이상 발급할 수 없습니다.
갱신 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 키 다시 입력
인증서의 프라이빗 키가 손상되었다고 생각되는 경우 인증서 키를 다시 입력할 수 있습니다. 이 작업은 인증 기관에서 발급한 새 인증서를 사용하여 인증서를 순환합니다.
2021년 9월 23일 현재, 지난 395일 동안 도메인을 확인하지 않은 경우 App Service 인증서는 갱신, 자동 갱신 또는 키 다시 만들기 프로세스 중에 도메인 확인이 필요합니다. 도메인 확인을 완료할 때까지 갱신, 자동 갱신, 또는 재키 프로세스 중에 새 인증서 주문은 발급 보류 중 상태로 유지됩니다.
무료 App Service 관리 인증서와 달리 구매한 App Service 인증서에는 자동화된 도메인 복원이 없습니다. 도메인 소유권을 확인하지 못하면 갱신이 실패합니다. App Service 인증서를 확인하는 방법에 대한 자세한 내용은 도메인 소유권 확인을 검토하세요.
키 다시 입력 프로세스를 수행하려면 App Service의 서비스 주체에 키 자격 증명 모음에 필요한 권한이 있어야 합니다. 이러한 권한은 Azure Portal 통해 App Service 인증서를 가져올 때 자동으로 설정됩니다. 키 자격 증명 모음에서 이러한 권한을 제거하지 않아야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다. 왼쪽 창에서 키 다시 입력 및 동기화를 선택합니다.
프로세스를 시작하려면 키 다시 입력을 선택합니다. 이 프로세스를 완료하는 데 1~10분이 걸릴 수 있습니다.
도메인 소유권을 다시 확인해야 할 수도 있습니다.
키 다시 만들기 작업이 완료되면 동기화를 선택합니다.
동기화 작업에서는 앱 가동 중지 시간 없이 App Service의 인증서에 대한 호스트 이름 바인딩을 자동으로 업데이트합니다.
동기화를 선택하지 않으면 App Service에서 24시간 이내에 인증서를 자동으로 동기화합니다.
App Service 인증서 내보내기
App Service 인증서는 Key Vault 비밀이므로 복사본을 다른 Azure 서비스 또는 Azure 외부에서 사용할 수 있는 .pfx 파일로 내보낼 수 있습니다.
내보낸 인증서는 관리되지 않는 아티팩트입니다. App Service 인증서가 갱신될 때 App Service는 이러한 아티팩트가 동기화되지 않습니다. 갱신된 인증서를 내보내고 필요한 위치에 설치해야 합니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 창에서 인증서 내보내기를 선택합니다.
Key Vault 비밀 열기를 선택합니다.
인증서의 현재 버전을 선택합니다.
인증서로 다운로드를 선택합니다.
다운로드한 .pfx 파일은 공용 인증서와 프라이빗 인증서를 모두 포함하고 빈 문자열인 가져오기 암호를 포함하는 원시 PKCS12 파일입니다. 암호 필드를 비워 두면 파일을 로컬로 설치할 수 있습니다. 파일이 암호로 보호되지 않으므로 App Service에 파일을 업로드할 수 없습니다.
App Service 인증서에 Azure Advisor 사용
App Service 인증서는 Azure Advisor 와 통합되어 인증서에 도메인 확인이 필요한 경우에 대한 안정성 권장 사항을 제공합니다. 지난 395일 동안 도메인을 확인하지 않은 경우 갱신, 자동 갱신 또는 키 다시 만들기 프로세스 중에 인증서에 대한 도메인 소유권을 확인해야 합니다. 확인이 필요하거나 인증서가 만료될 위험이 있는 인증서를 놓치지 않도록 하려면 Advisor를 사용하여 App Service 인증서에 대한 경고를 보고 설정합니다.
Advisor 권장 사항 보기
App Service 인증서에 대한 Advisor 권장 사항을 보려면 다음을 수행합니다.
Azure Advisor 페이지로 이동합니다.
왼쪽 창에서 권장 사항>을 선택합니다.
필터 옵션 형식이 다음과 같은을 선택하고 드롭다운 목록에서 App Service 인증서를 검색합니다. 드롭다운 목록에 값이 없으면 도메인 소유권 확인이 필요하지 않으므로 App Service 인증서 리소스에 대한 권장 사항이 생성되지 않았습니다.
Advisor 경고 만들기
다른 구성을 사용하여 새 권장 사항에 대한 Advisor 경고를 만듭니다. 인증서에 도메인 소유권 유효성 검사가 필요할 때 알림을 받을 수 있도록 App Service 인증서에 대한 Advisor 경고를 특별히 설정하려면 다음을 수행합니다.
Azure Advisor 페이지로 이동합니다.
왼쪽 창에서 경고 모니터링>을 선택합니다.
위쪽의 표시줄에서 + 새 어드바이저 경고를 선택하여 어드바이저 경고 생성 창을 엽니다.
조건 아래에서 다음 옵션을 선택합니다.
다음에 의해 구성됨 추천 유형 추천 유형 App Service 인증서를 발급하는 데 필요한 도메인 확인입니다. 나머지 필수 필드를 입력한 다음 경고 만들기를 선택합니다.
App Service 인증서 삭제
App Service 인증서를 삭제하는 경우 삭제 작업은 되돌릴 수 없으며 최종적입니다. 결과는 해지된 인증서입니다. 인증서를 사용하는 App Service의 모든 바인딩은 유효하지 않습니다.
App Service 인증서 페이지에서 인증서를 선택합니다.
왼쪽 창에서 개요>삭제를 선택합니다.
확인 상자가 열리면 인증서 이름을 입력한 다음 확인을 선택합니다.
질문과 대답
내 App Service 인증서에 Key Vault에 값이 없는 이유는 무엇인가요?
App Service 인증서가 아직 도메인이 확인되지 않았을 수 있습니다.
도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다. 키 볼트 비밀은 Initialize 태그를 유지하며, 그 값과 콘텐츠 유형은 비어 있습니다. 도메인 소유권이 확인되면 키 자격 증명 모음의 비밀에 값과 콘텐츠 형식이 표시되고, 태그가 Ready로 변경됩니다.
PowerShell을 사용하여 App Service 인증서를 내보낼 수 없는 이유는 무엇인가요?
App Service 인증서가 아직 도메인이 확인되지 않았을 수 있습니다. 도메인 소유권이 확인될 때까지 App Service 인증서를 사용할 준비가 되지 않습니다.
App Service 인증서 만들기 프로세스에서 기존 키 자격 증명 모음을 변경하려면 어떻게 해야 합니까?
만들기 프로세스를 통해 다음과 같이 변경됩니다.
- 자격 증명 모음에 다음 두 개의 액세스 정책을 추가합니다.
-
Microsoft Azure App Service (또는
Microsoft.Azure.WebSites) -
Microsoft 인증서 재판매인 CSM 리소스 공급자(또는
Microsoft.Azure.CertificateRegistration)
-
Microsoft Azure App Service (또는
- 자격 증명 모음에서 이라는
AppServiceCertificateLock을 만들어 실수로 키 자격 증명 모음을 삭제하지 않도록 합니다.