Skip to main content

호스트 자동화를 위해 타사 ACME 클라이언트 사용

CertCentral을 사용하면 선호하는 타사 ACME 클라이언트를 사용하여 인증서 배포를 자동화하고 TLS 관리 오버헤드를 줄일 수 있습니다.

CertCentral의 ACME 지원을 통해 짧은 유효 기간 또는 다년 배포를 위해 공개 및 비공개 OV 및 EV 인증서를 모두 자동화할 수 있습니다. 또한 서명한 HTTP 교환 인증서 프로필 옵션을 지원하여 서명한 HTTP 교환 인증서 배포를 자동화할 수 있습니다 (참조: 서명한 HTTP 교환 인증서를 위한 ACME 디렉터리 URL).

CertCentral 관리형 자동화와 비교

CertCentral 관리형 자동화는 DigiCert의 턴키 자동화 솔루션입니다. CertCentral 웹 콘솔에서 모든 자동화를 관리할 수 있으며 ACME 및 기타 소프트웨어 구성 요소가 항상 업데이트되도록 하는 기능이 포함되어 있습니다.

타사 ACME 클라이언트를 사용하는 경우 관리 자동화 솔루션의 외부에서 작업하게 됩니다. 인증서를 받기 위해 CertCentral에서 기본 자격 증명을 얻지만, 자체 ACME 소프트웨어를 설치하여 유지 관리하고 각 시스템에서 로컬로 자동화 작업을 시작해야 합니다.

참고

CertCentral 관리형 자동화 솔루션을 사용하려면 계정에 대해 이를 활성화해야 합니다. 관리형 자동화를 활성화하지 않은 경우 CertCentral 자동화 메뉴 아래에 나열된 ACME 디렉터리 URLAPI 키만 표시됩니다.

타사 ACME 클라이언트의 경우 ACME 디렉터리 URL 기능을 사용하여 자동화 옵션을 구성하고 DigiCert 인증서를 받는 데 필요한 자격 증명을 얻습니다.

시작하기 전에

시작하기 전에 다음 사전 요구 사항을 충족하는지 확인합니다.

  • CertCentral 계정에 대한 자동 인증서 요청 승인을 사용합니다.

    참조: 자동 인증서 요청 승인 사용.

  • 즉각적인 인증서 발급에 필요한 인증서를 받으려는 도메인 및 조직에 대해 사전 유효성 검사를 수행합니다.

    ACME 즉시 인증서 발급이 작동하려면 ACME 인증서 요청에 사용된 도메인 및 조직에 대해 사전 유효성 검사를 수행해야 합니다. 참조: 조직 관리도메인 관리.

워크플로

다음은 타사 ACME 클라이언트로 DigiCert 인증서를 자동화할 때 필요한 일반 워크플로입니다.

  1. 타사 ACME 클라이언트 소프트웨어 설치

    타사 공급자로부터 ACME 소프트웨어를 다운로드하여 자동화 클라이언트 역할을 하는 모든 시스템에 설치합니다.

  2. 타사 ACME 클라이언트 구성

    타사 공급자의 지침에 따라 각 시스템에 설치된 ACME 소프트웨어를 구성합니다.

  3. 하나 이상의 ACME 디렉터리 URL 작성

    CertCentral ACME 디렉터리 URL 메뉴에서 허용된 타사 ACME 자동화를 정의합니다.

  4. 자동화 이벤트 시작

    마지막으로 타사 공급자의 지침을 따르고 ACME Directory URL 메뉴에서 얻은 자격 증명을 사용하여 ACME 클라이언트에서 인증서 자동화 이벤트를 시작합니다.

타사 ACME 클라이언트 소프트웨어 설치

업계 표준 ACME 프로토콜을 지원하는 타사 자동화 클라이언트를 사용하여 CertCentral에서 인증서를 받을 수 있습니다. 예를 들어 EFF의 Certbot을 참조하십시오.

소프트웨어 공급자의 지침에 따라 타사 ACME 클라이언트를 다운로드하고 설치합니다. 예를 들어, EFF는 Certbot 소프트웨어에 대한 설치 가이드를 제공합니다.

인증서 자동화를 실행할 각 시스템에 별도로 ACME 클라이언트 소프트웨어를 설치해야 합니다.

타사 ACME 클라이언트 구성

자동화를 실행할 각 시스템에 별도로 타사 ACME 클라이언트 소프트웨어를 구성합니다.

소프트웨어 제공자의 지침에 따라 필요한 구성 매개 변수를 결정합니다. 각 ACME 클라이언트가 다음을 수행할 수 있어야 합니다.

  • HTTPS(포트 443)에 대한 아웃바운드 연결.

  • 공용 IP 주소 216.168.244.42(acme.digicert.com용)에 대한 아웃바운드 연결.

  • DNS 또는 로컬 "hosts" 파일을 통해 로컬 서버의 FQDN(정규화된 도메인 이름)을 확인.

하나 이상의 ACME 디렉터리 URL 작성

CertCentral ACME 디렉터리 URL 기능을 사용하여 자동화 옵션을 구성하고 선호하는 ACME 클라이언트가 DigiCert 클라우드와 통신하는 데 필요한 자격 증명을 얻습니다.

  1. CertCentral 계정의 왼쪽 메인 메뉴에서 자동화 > ACME 디렉터리 URL을 선택합니다.

  2. ACME 디렉터리 URL 보기에서 ACME 디렉터리 URL 추가를 선택합니다.

  3. ACME 디렉터리 URL 추가 팝업 창에서 쉽게 식별할 수 있는 URL 이름을 입력합니다.

  4. 제품 드롭다운에서 발급하려는 인증서 유형을 선택합니다.

  5. 부서 드롭다운에서 이 ACME 디렉터리 URL에서 발급된 인증서와 연결할 부서를 선택합니다.

  6. 조직 드롭다운에서 발급된 인증서를 위해 사전 유효성 검사를 수행한 조직을 선택합니다.

  7. 이 ACME 디렉터리 URL에서 발급된 인증서의 유효 기간을 선택합니다.

    • 여러 해 계정인 경우, 먼저 드롭다운에서 여러 해 적용 기간을 선택합니다.

    • 원하는 인증서 유효 기간 옵션을 선택합니다.

    • 사용자 지정 기간 유효 기간의 경우 원하는 일 수를 입력합니다.

  8. (선택 사항) 서명된 HTTP Exchange 인증서 프로필 옵션을 활성화하려면 추가 인증서 옵션을 확장하고 인증서에 CanSignHttpExchanges 확장 포함을 선택합니다. 이 옵션에 대한 자세한 내용 알아보기: 서명한 HTTP 교환 인증서를 위한 ACME 디렉터리 URL.

  9. ACME 디렉터리 URL 추가를 선택합니다.

  10. 새 ACME 디렉터리 URL 팝업 창에서 외부 계정 바인딩 정보와 함께 고유한 ACME URL을 복사하여 저장합니다.

    이 정보는 타사 ACME 클라이언트가 CertCentral에서 인증서를 받을 때 필요합니다. 한 번만 표시됩니다.

    안전한 위치에 복사하여 저장한 후 이것을 다시 볼 수 없다는 것을 이해합니다를 선택하여 닫습니다.

중요

ACME 디렉터리 URL을 생성할 때 URL, KID 및 HMAC 키는 한 번만 표시됩니다. 이 정보에서 벗어나면 이 정보를 검색할 방법이 없습니다. ACME URL 세부 정보를 분실한 경우 분실한 URL을 취소하고 새 URL을 생성해야 합니다.

새 ACME 디렉터리 URL이 ACME 디렉터리 URL 페이지의 URL 목록에 추가됩니다.

ACME 디렉터리 URL을 통해 받은 인증서에 대한 자세한 내용을 보려면 URL 설명 옆에 있는 정보 아이콘을 선택합니다.

자동화 이벤트 시작

선호하는 타사 ACME 클라이언트를 설치하여 구성하고 CertCentral에 정의된 ACME 디렉터리 URL이 있으면 ACME 클라이언트를 사용하여 DigiCert 인증서를 받을 준비가 된 것입니다.

타사 ACME 클라이언트의 경우 각 시스템에서 로컬로 자동화 작업을 시작해야 합니다. 소프트웨어 제공업체의 지침을 따르고 CertCentral에서 설정한 ACME 디렉터리 URL에서 얻은 자격 증명을 사용하십시오.

EFF Certbot 클라이언트로 자동화 작업을 시작하는 예는 타사 ACME 클라이언트를 사용한 자동화 예를 참조합니다.

관련된 항목