적용 대상: ✔️ Front Door(클래식)
Important
- 2025년 8월 15일부터 Azure Front Door(클래식)는 더 이상 새로운 도메인 온보딩을 지원하지 않습니다. AFD 표준 및 프리미엄으로 마이그레이션하여 새 도메인 또는 프로필을 만들고 서비스 중단을 방지합니다. 자세히 알아보기
- 2025년 8월 15일부터 Azure Front Door(클래식)는 더 이상 관리 인증서를 지원하지 않습니다. 서비스 중단을 방지하려면 BYOC(Bring Your Own Certificate)로 전환 하거나 2025년 8월 15일까지 AFD 표준 및 프리미엄 으로 마이그레이션합니다. 기존 관리되는 인증서는 2025년 8월 15일 이전에 자동으로 갱신되며 2026년 4월 14일까지 유효합니다. 자세히 알아보기
- Azure Front Door(클래식)는 2027년 3월 31일에 사용이 중지됩니다. 서비스 중단을 방지하려면 AFD 표준 또는 프리미엄으로 마이그레이션합니다. 자세히 알아보세요.
이 문서에서는 Front Door(클래식)와 연결된 사용자 지정 도메인에 대해 HTTPS를 활성화하는 방법을 설명합니다. 사용자 지정 도메인(예: https://www.contoso.com)에서 HTTPS를 사용하면 TLS/SSL 암호화를 통한 안전한 데이터 전송이 보장됩니다. 웹 브라우저가 HTTPS를 사용하여 웹 사이트에 연결하는 경우 웹 사이트의 보안 인증서의 유효성을 검사하고 정당성을 확인하여 보안을 제공하고 악의적인 공격으로부터 웹 애플리케이션을 보호합니다.
Azure Front Door는 기본적으로 기본 호스트 이름(예: https://contoso.azurefd.net)에서 HTTPS를 지원합니다. 그러나 www.contoso.com 같은 사용자 지정 도메인에 대해 별도로 HTTPS를 활성화해야 합니다.
사용자 지정 HTTPS 기능의 주요 특성은 다음과 같습니다.
- 추가 비용 없음: 인증서 획득, 갱신 또는 HTTPS 트래픽에 대한 비용은 없습니다.
- 간단한 사용: Azure Portal, REST API 또는 기타 개발자 도구를 통한 하나의 선택 프로비전.
- 인증서 관리 완료: 만료된 인증서로 인한 서비스 중단 위험이 제거되는 자동 인증서 조달 및 갱신.
이 자습서에서는 다음에 대해 알아봅니다.
- 사용자 지정 도메인에서 HTTPS를 활성화합니다.
- AFD 관리 인증서를 사용합니다.
- 사용자 고유의 TLS/SSL 인증서를 사용합니다.
- 도메인의 유효성 검사
- 사용자 지정 도메인에서 HTTPS를 비활성화합니다.
Prerequisites
활성 구독이 있는 Azure 계정. 무료로 계정을 만듭니다.
하나 이상의 사용자 지정 도메인이 온보딩된 Azure Front Door. 자세한 내용은 자습서: Front Door에 사용자 지정 도메인 추가를 참조하세요.
Azure Cloud Shell 또는 Azure PowerShell은 사용자 고유의 인증서를 사용할 때 Front Door 서비스 주체를 Microsoft Entra ID에 등록합니다.
이 문서의 단계에서는 Azure Cloud Shell에서 Azure PowerShell cmdlet을 대화형으로 실행합니다. Cloud Shell에서 cmdlet을 실행하려면 코드 블록의 오른쪽 상단 모서리에 있는 Cloud Shell 열기를 선택합니다. 복사를 선택하여 코드를 복사한 다음, 복사한 코드를 Cloud Shell에 붙여넣어 실행합니다. Cloud Shell은 Azure Portal 내에서도 실행할 수 있습니다.
Azure PowerShell을 로컬로 설치하여 cmdlet을 실행할 수도 있습니다. PowerShell을 로컬로 실행하는 경우 Connect-AzAccount cmdlet을 사용하여 Azure에 로그인합니다.
TLS/SSL 인증서
Front Door(클래식) 사용자 지정 도메인에서 HTTPS를 활성화하려면 TLS/SSL 인증서가 필요합니다. Azure Front Door에서 관리하는 인증서 또는 사용자 고유의 인증서를 사용할 수 있습니다.
옵션 1(기본값): Front Door에서 관리되는 인증서 사용
Azure Front Door 클래식에서 관리하는 인증서를 사용하면 몇 가지 설정을 변경하여 HTTPS를 사용하도록 설정할 수 있습니다. Azure Front Door 클래식은 조달 및 갱신을 포함한 모든 인증서 관리 작업을 처리합니다. 이는 Azure Front Door 클래식 엔드포인트에 직접 CNAME을 사용하는 사용자 지정 도메인에 대해 지원됩니다.
Important
- 2025년 5월 8일 현재 DigiCert는 더 이상 WHOIS 기반 도메인 유효성 검사 방법을 지원하지 않습니다. 도메인에서 Azure Front Door 클래식 엔드포인트에 대한 간접 CNAME 매핑을 사용하는 경우 BYOC(Bring Your Own Certificate) 기능을 사용해야 합니다.
- WHOIS 기반 도메인 유효성 검사의 변경으로 인해 AZURE Front Door 클래식을 가리키는 직접 CNAME이 있을 때까지 WHOIS 기반 도메인 유효성 검사를 사용하여 발급된 관리되는 인증서를 자동으로 갱신할 수 없습니다.
- 관리되는 인증서는 루트 또는 최상위 도메인(예:
contoso.com)에 사용할 수 없습니다. Azure Front Door 클래식 사용자 지정 도메인이 루트 또는 정점 도메인인 경우 사용자 지정 인증서 사용 (BYOC: Bring Your Own Certificate) 기능을 사용해야 합니다. - 관리형 인증서 자동 갱신을 사용하려면 사용자 지정 도메인을 CNAME 레코드를 사용하여 Azure Front Door Classic 엔드포인트에 직접 매핑해야 합니다.
사용자 지정 도메인에서 HTTPS를 활성화하려면 다음을 수행합니다.
Azure Portal에서 Front Door 프로필로 이동합니다.
프런트 엔드 호스트 목록에서 HTTPS를 활성화하려는 사용자 지정 도메인을 선택합니다.
사용자 지정 도메인 HTTPS에서 사용을 선택하고, 인증서 원본으로 Front Door 관리됨을 선택합니다.
저장을 선택합니다.
도메인의 유효성 검사를 진행합니다.
Note
- DigiCert의 64자 제한은 Azure Front Door 관리 인증서에 적용됩니다. 이 제한을 초과하면 유효성 검사가 실패합니다.
- Apex/root 도메인(예: contoso.com)에는 Front Door 관리 인증서를 통해 HTTPS를 사용하도록 설정할 수 없습니다. 이 시나리오에 사용자 고유의 인증서를 사용합니다(옵션 2 참조).
옵션 2: 사용자 고유의 인증서 사용
Azure Key Vault와의 통합을 통해 사용자 고유의 인증서를 사용할 수 있습니다. 인증서가 Microsoft 신뢰할 수 있는 CA 목록의 인증서이고 완전한 인증서 체인이 있는지 확인합니다.
Key Vault 및 인증서 준비
- Front Door와 동일한 Azure 구독에서 키 자격 증명 모음 계정을 만듭니다.
- 네트워크 액세스 제한을 사용하는 경우 신뢰할 수 있는 Microsoft 서비스가 방화벽을 우회할 수 있도록 키 자격 증명 모음을 구성합니다.
- Key Vault 액세스 정책 권한 모델을 사용합니다.
- 인증서를 비밀이 아닌 인증서 개체로 업로드합니다.
Note
Front Door는 EC(타원 곡선) 암호화 알고리즘을 사용하는 인증서를 지원하지 않습니다. 인증서에는 리프 및 중간 인증서를 포함하는 전체 인증서 체인이 있어야 하며, 루트 CA가 Microsoft 신뢰할 수 있는 CA 목록에 있어야 합니다.
Azure Front Door 등록
Azure PowerShell 또는 Azure CLI를 사용하여 Microsoft Entra ID에 Azure Front Door 서비스 주체를 등록합니다.
New-AzADServicePrincipal cmdlet을 사용하여 Microsoft Entra ID에 Front Door 서비스 주체를 등록합니다.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
키 자격 증명 모음에 Azure Front Door 액세스 권한 부여
Key Vault 계정에서 액세스 정책을 선택합니다.
만들기를 선택하여 새 액세스 정책을 만듭니다.
비밀 권한에서 가져오기를 선택합니다.
인증서 권한에서 가져오기를 선택합니다.
주체 선택에서 ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037을 검색하고 Microsoft.Azure.Frontdoor를 선택합니다. 다음을 선택합니다.
애플리케이션에서 다음을 선택합니다.
검토+만들기에서 만들기를 선택합니다.
Note
키 자격 증명 모음에 네트워크 액세스 제한이 있는 경우 신뢰할 수 있는 Microsoft 서비스가 키 자격 증명 모음에 액세스하도록 허용합니다.
배포할 Azure Front Door 인증서 선택
포털에서 Front Door로 돌아갑니다.
HTTPS를 활성화할 사용자 지정 도메인을 선택합니다.
인증서 관리 유형에서 내 인증서 사용을 선택합니다.
키 자격 증명 모음, 비밀 및 비밀 버전을 선택합니다.
Note
자동 인증서 회전을 활성화하려면 비밀 버전을 '최신'으로 설정합니다. 특정 버전을 선택한 경우 인증서 회전을 위해 수동으로 업데이트해야 합니다.
Warning
서비스 주체에 Key Vault에 대한 GET 권한이 있는지 확인합니다. 포털 드롭다운에서 인증서를 보려면 사용자 계정에 Key Vault에 대한 LIST 및 GET 권한이 있어야 합니다.
사용자 고유의 인증서를 사용하는 경우 도메인 유효성 검사가 필요하지 않습니다. 전파 대기를 진행합니다.
도메인의 유효성 검사
CNAME 레코드가 여전히 존재하고 하위 도메인을 afdverify 포함하지 않는 경우 DigiCert는 사용자 지정 도메인의 소유권에 대한 유효성을 자동으로 검사합니다.
CNAME 레코드는 다음과 같은 형식이어야 합니다.
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
CNAME 레코드에 대한 자세한 내용은 CNAME DNS 레코드 만들기를 참조하세요.
CNAME 레코드가 올바른 형식이면 DigiCert는 사용자 지정 도메인 이름을 자동으로 확인하고 도메인에 대한 인증서를 만듭니다. 인증서는 1년 동안 유효하며 만료되기 전에 자동으로 갱신됩니다. 자동 유효성 검사는 일반적으로 몇 시간이 걸립니다. 24시간 내에 도메인의 유효성의 유효성이 검사되지 않으면 지원 티켓을 엽니다.
계속해서 전파 대기를 진행합니다.
Note
DNS 공급자가 포함된 CAA(Certificate Authority Authorization) 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다. 자세한 내용은 CAA 레코드 관리를 참조하세요.
전파 대기
도메인 유효성 검사 후에는 사용자 지정 도메인 HTTPS 기능을 활성화하는 데 최대 6~8시간이 걸릴 수 있습니다. 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 ㅏ용으로 설정됩니다.
작업 진행률
다음 표에서는 HTTPS를 활성화할 때의 작업 진행률을 보여 줍니다.
| 작업 단계 | 작업 하위 단계 정보 |
|---|---|
| 1. 요청 제출 | 요청 제출 |
| HTTPS 요청을 제출하는 중입니다. | |
| HTTPS 요청이 성공적으로 제출되었습니다. | |
| 2. 도메인 유효성 검사 | CNAME이 기본 .azurefd.net 프런트 엔드 호스트에 매핑되면 도메인의 유효성이 자동으로 검사됩니다. |
| 도메인 소유권의 유효성이 성공적으로 검사되었습니다. | |
| 도메인 소유권 유효성 검사 요청이 만료되었습니다(고객이 6일 이내에 응답하지 않았을 가능성이 높음). 도메인에서 HTTPS를 사용할 수 없습니다. * | |
| 고객에 의해 도메인 소유권 유효성 검사 요청이 거부되었습니다. 도메인에서 HTTPS를 사용할 수 없습니다. * | |
| 3. 인증서 프로비전 | 인증 기관에서 도메인에서 HTTPS를 활성화하는 데 필요한 인증서를 발급하고 있습니다. |
| 인증서가 발급되었으며 Front Door용으로 배포되고 있습니다. 이 프로세스는 몇 분에서 1시간 정도 걸릴 수 있습니다. | |
| 인증서가 Front Door에 성공적으로 배포되었습니다. | |
| 4. 완료 | 도메인에서 HTTPS를 활성화했습니다. |
* 이 메시지는 오류가 발생한 경우에만 표시됩니다.
요청을 제출하기 전에 오류가 발생하는 경우 다음과 같은 오류 메시지가 표시됩니다.
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
질문과 대답
인증서 공급자는 누구이며 어떤 유형의 인증서가 사용되나요?
DigiCert에서 제공하는 전용/단일 인증서는 사용자 지정 도메인에 사용됩니다.
IP 기반 또는 SNI TLS/SSL을 사용하나요?
Azure Front Door는 SNI TLS/SSL을 사용합니다.
DigiCert로부터 도메인 확인 메일을 받지 못한 경우 어떻게 하나요?
엔드포인트 호스트 이름을 직접 가리키는 사용자 지정 도메인에 대한 CNAME 항목이 있고 afdverify 하위 도메인 이름을 사용하지 않는 경우 도메인 확인 메일을 받지 못합니다. 유효성 검사가 자동으로 수행됩니다. 그렇지 않은 경우 CNAME 항목이 없고 24시간 내에 이메일을 받지 못했으면 Microsoft 지원에 문의하세요.
SAN 인증서를 사용하는 것보다 전용 인증서를 사용하는 것이 더 안전한가요?
SAN 인증서는 전용 인증서와 동일한 암호화 및 보안 표준을 따릅니다. 발급된 모든 TLS/SSL 인증서는 향상된 서버 보안을 위해 SHA-256을 사용합니다.
내 DNS 공급자에게 CAA(Certificate Authority Authorization) 레코드가 필요합니까?
아니요, CAA 레코드는 현재 필요하지 않습니다. 그러나 이 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다.
리소스 정리
사용자 지정 도메인에서 HTTPS를 비활성화하려면 다음을 수행합니다.
HTTPS 기능을 사용하지 않도록 설정
Azure Portal에서 Azure Front Door 구성으로 이동합니다.
HTTPS를 비활성화할 사용자 지정 도메인을 선택합니다.
사용 안 함으로 선택하고 저장을 선택합니다.
전파 대기
사용자 지정 도메인 HTTPS 기능을 비활성화하면 적용하는 데 최대 6~8시간이 걸릴 수 있습니다. 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용 안 함으로 설정됩니다.
작업 진행률
다음 표에서는 HTTPS를 비활성화하는 경우의 작업 진행률을 보여 줍니다.
| 작업 진행률 | 작업 세부 정보 |
|---|---|
| 1. 요청 제출 | 요청 제출 |
| 2. 인증서 프로비전 해제 | 인증서 삭제 |
| 3. 완료 | 인증서 삭제됨 |