모든 환경에서 공통으로 필요한 사전 작업입니다. 환경별 가이드 진행 전 반드시 완료해 주십시오.
시작하기 전에
환경별 가이드를 시작하기 전 다음 항목을 모두 준비해 주십시오.
- EAB 자격증명: Certificate Manager 콘솔에서 발급한 EAB Key ID 및 EAB HMAC Key를 준비해 주십시오.
- EAB 키는 1회용입니다. 계정 등록 완료 후 재사용할 수 없으므로 발급 즉시 안전한 곳에 보관해 주십시오.
- 도메인 검증 방식 결정: 사용할 도메인 검증 방식을 미리 결정해 주십시오.
- 조직 사전 등록 (OV 인증서 한정): OV 인증서를 사용하는 경우, Certificate Manager > Organization 메뉴에서 조직 검증이 완료되어 있어야 합니다.
- DNS TXT 레코드 등록 (사전 검증 방식 한정): 사전 검증 방식을 사용하는 경우, Certificate Manager > Domains 메뉴에서 TXT 레코드 등록 및 검증을 완료해 주십시오.
ACME를 통해 OV 인증서를 요청하는 경우, Certificate Manager > Organization 메뉴에서 해당 조직의 사전 검증이 완료되어 있어야 합니다. 검증되지 않은 조직으로 요청하면 발급이 실패합니다.
1단계: 조직 사전 등록 (OV 인증서 한정)
OV 인증서를 사용하는 경우에만 필요한 단계입니다. DV 인증서를 사용하는 경우 이 단계를 건너뛰고 2단계: EAB 자격증명 발급으로 진행해 주십시오.
- 네이버 클라우드 플랫폼 콘솔에서 Menu > Services > Security > Certificate Manager 메뉴를 차례대로 클릭해 주십시오.
- Organization 메뉴를 클릭해 주십시오.
- [조직 추가] 버튼을 클릭한 후 담당자 정보, 조직명, 주소 등을 입력해 주십시오.
- 검증이 완료될 때까지 대기해 주십시오. 검증 완료 후 ACME 요청 시 즉시 발급됩니다.
조직 등록 및 검증 방법에 대한 자세한 내용은 조직 추가 및 검증을 참조해 주십시오.
2단계: EAB 자격증명 발급
EAB(External Account Binding) 자격증명은 ACME 계정 등록 시 사용하는 인증 정보입니다.
- 네이버 클라우드 플랫폼 콘솔에서 Menu > Services > Security > Certificate Manager 메뉴를 차례대로 클릭해 주십시오.
- ACME 메뉴를 클릭해 주십시오.
- [EAB 발급] 버튼을 클릭해 주십시오.
- 발급된 자격증명 정보를 확인해 주십시오.
| 항목 | 설명 |
|---|---|
| EAB Key ID (KID) | ACME 계정 등록 시 사용하는 키 식별자 |
| EAB HMAC Key | ACME 계정 등록 시 사용하는 서명 키 |
EAB 키는 1회용입니다. 계정 등록에 사용하면 소진되며 재사용할 수 없으므로, 발급 즉시 안전한 곳에 보관해 주십시오. 분실 시 콘솔에서 재발급할 수 있습니다.
3단계: DNS TXT 레코드 등록 (사전 검증 방식 한정)
사전 검증 방식을 사용하는 경우에만 필요한 단계입니다. Certificate Manager > Domains 메뉴에서 TXT 레코드를 등록하고 검증을 완료해 주십시오. 한 번 등록하면 이후 모든 갱신에서 재사용됩니다.
DNS-01 동적 검증 방식을 사용하는 경우(Ncloud Global DNS 훅 스크립트, cert-manager webhook 등) 이 단계는 불필요합니다. TXT 레코드가 자동으로 생성 및 삭제됩니다.
도메인 검증 방식 비교
도메인 검증 방식은 EAB 설정에 따라 두 가지 방식으로 구분됩니다. 환경별 가이드 시작 전 사용할 방식을 결정해 주십시오.
DNS-01 동적 검증 방식
| 항목 | 내용 |
|---|---|
| 설명 | 발급 및 갱신 시마다 ACME 프로토콜을 통해 동적으로 도메인 검증 수행 |
| 특징 | ACME 표준 프로토콜을 그대로 사용합니다. |
| 자동화 조건 | Ncloud Global DNS API 연동 스크립트 또는 Certbot DNS 플러그인 필요 |
| 와일드카드 지원 | 지원 |
사전 검증 방식
| 항목 | 내용 |
|---|---|
| 설명 | Certificate Manager의 Domains 메뉴에서 미리 완료한 DNS TXT 검증 정보를 재사용 |
| 특징 | Certificate Manager가 자체 검증 데이터로 자동 처리합니다. |
| 자동화 조건 | 별도의 DNS 레코드 조작 없이 클라이언트에서 자동 처리됨 |
| 와일드카드 지원 | 지원 |
DNS-01 동적 검증 방식에서 완전한 자동화를 구현하려면 사용 중인 DNS 서비스에서 제공하는 Certbot DNS 플러그인을 활용하거나, DNS API를 호출하는 스크립트를 작성하여 Certbot 클라이언트와 연동해야 합니다. 이를 통해 DNS TXT 레코드의 생성 및 삭제 과정을 자동화할 수 있습니다.
ACME Directory URL
환경별 가이드 진행 시 아래 URL을 ACME 디렉터리 주소로 사용해 주십시오.
| 구분 | URL |
|---|---|
| 운영 환경 | https://acme.navercloudtrust.com/acme/directory |