자습서: Azure CDN 사용자 지정 도메인에서 HTTPS 구성

이 자습서에서는 Azure CDN 엔드포인트에 연결된 사용자 지정 도메인에 HTTPS 프로토콜을 사용하도록 설정하는 방법을 보여 줍니다.

사용자 지정 도메인의 HTTPS 프로토콜(예: https://www.contoso.com)은 중요한 데이터가 TLS/SSL을 통해 안전하게 전송되도록 보장합니다. 웹 브라우저가 HTTPS를 통해 연결되면 브라우저는 웹 사이트의 인증서의 유효성을 검사합니다. 브라우저는 인증서가 합법적인 인증 기관에서 발급되었는지 확인합니다. 이 프로세스는 보안을 제공하며 공격으로부터 웹 애플리케이션을 보호합니다.

Azure CDN은 기본적으로 CDN 엔드포인트에서 HTTPS를 지원합니다. 예를 들어, CDN 엔드포인트(예: https://contoso.azureedge.net)를 만들면 자동으로 HTTPS를 사용하도록 설정됩니다.

사용자 지정 HTTPS 기능의 몇 가지 주요 특성은 다음과 같습니다.

• 추가 비용 없음: 인증서 얻기 또는 갱신에 드는 비용이 없으며 HTTPS 트래픽에 대한 추가 비용도 없습니다. CDN에서 송신되는 양(GB)에 대한 비용만 지불합니다.

• 간단한 사용: Azure Portal에서 한 번 클릭으로 프로비전을 사용할 수 있습니다. REST API 또는 기타 개발자 도구를 사용하여 기능을 활성화할 수도 있습니다.

• 완전한 인증서 관리:

  • 사용자를 위해 모든 인증서 조달 및 관리가 처리됩니다.
  • 인증서는 만료되기 전에 자동으로 프로비저닝 및 갱신됩니다.

이 자습서에서는 다음 작업 방법을 알아봅니다.

Prerequisites

이 자습서의 단계를 완료하려면 먼저 CDN 프로필과 하나 이상의 CDN 엔드포인트를 만들어야 합니다. 자세한 내용은 빠른 시작: Azure CDN 프로필 및 엔드포인트 만들기를 참조하세요.

CDN 엔드포인트에서 Azure CDN 사용자 지정 도메인을 연결합니다. 자세한 내용은 자습서: Azure CDN 엔드포인트에 사용자 지정 도메인 추가를 참조하세요.

TLS/SSL 인증서

Azure CDN 사용자 지정 도메인에서 HTTPS를 사용하도록 설정하려면 TLS/SSL 인증서를 사용합니다. Azure CDN에서 관리되는 인증서를 사용하거나 사용자의 인증서를 사용하도록 선택합니다.

도메인의 유효성 검사

엔드포인트에 사용자 지정 도메인을 추가할 때 CDN 엔드포인트 호스트 이름에 매핑된 DNS 도메인 등록 기관에서 CNAME 레코드를 만들었습니다.

해당 CNAME 레코드가 여전히 있고 cdnverify 하위 도메인을 포함하지 않는 경우 DigiCert CA는 이 레코드를 사용하여 사용자 지정 도메인의 소유권을 자동으로 확인합니다.

사용자 고유의 인증서를 사용 중인 경우 도메인 유효성 검사가 필요하지 않습니다.

CNAME 레코드는 다음과 같은 형식이어야 합니다.

• 이름은 사용자 지정 도메인 이름입니다.
• 값은 콘텐츠 배달 네트워크 엔드포인트 호스트 이름입니다.

CNAME 레코드에 대한 자세한 내용은 CNAME DNS 레코드 만들기를 참조하세요.

CNAME 레코드가 올바른 형식이면 DigiCert는 사용자 지정 도메인 이름을 자동으로 확인하고 도메인에 대한 인증서를 만듭니다. 인증서는 1년 동안 유효하며 만료되기 전에 자동으로 갱신됩니다. 자동 유효성 검사는 일반적으로 몇 시간이 걸립니다. 24시간 내에 도메인의 유효성의 유효성이 검사되지 않으면 지원 티켓을 엽니다.

계속해서 전파 대기를 진행합니다.

전파 대기

도메인 이름이 확인된 후 사용자 지정 도메인 HTTPS 기능이 활성 상태가 될 때까지는 최대 6-8시간 소요됩니다. 프로세스가 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용으로 변경됩니다. 사용자 지정 도메인 대화 상자의 네 가지 작업 단계가 완료로 표시됩니다. 사용자 지정 도메인은 이제 HTTPS를 활성화할 준비가 되었습니다.

작업 진행률

다음 표에는 HTTPS를 활성화하도록 설정했을 때 나타나는 작업 진행률을 표시합니다. HTTPS를 사용하도록 설정하면 네 가지 작업 단계가 사용자 지정 도메인 대화 상자에 나타납니다. 각 단계가 활성화되면 진행되는 동안 단계 아래에 다른 하위 단계 정보가 표시됩니다. 이러한 하위 단계가 모두 발생하지는 않습니다. 단계가 성공적으로 완료되면 옆에 녹색 확인 표시가 나타납니다.

* 오류가 발생하지 않으면 이 메시지가 표시되지 않습니다.

요청을 제출하기 전에 오류가 발생하는 경우 다음과 같은 오류 메시지가 표시됩니다.

리소스 정리 - HTTPS를 사용하지 않도록 설정

이 섹션에서는 사용자 지정 도메인에 대해 HTTPS를 사용하지 않도록 설정하는 방법을 알아봅니다.

HTTPS 기능을 사용하지 않도록 설정

1. Azure Portal에서 CDN 프로필을 검색하고 선택합니다.

2. Microsoft 프로필의 Azure CDN 표준(클래식)을 선택합니다.

3. 엔드포인트 목록에서 사용자 지정 도메인을 포함하는 엔드포인트를 선택합니다.

4. HTTPS를 비활성화하도록 설정할 사용자 지정 도메인을 선택합니다.

5. 끄기를 선택하여 HTTPS를 비활성화한 다음, 적용을 선택합니다.

   

전파 대기

사용자 지정 도메인 HTTPS 기능을 비활성화한 후 최대 6-8시간까지 걸릴 수 있습니다. 프로세스가 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용 안 함으로 변경됩니다. 사용자 지정 도메인은 더 이상 HTTPS를 사용할 수 없습니다.

질문과 대답

1. 인증서 공급자는 누구이며 어떤 유형의 인증서가 사용되나요?

   Digicert에서 제공하는 전용 인증서는 Microsoft(클래식)의 Azure Content Delivery Network에 대한 사용자 지정 도메인에 사용됩니다.

2. IP 기반 또는 SNI(서버 이름 표시) TLS/SSL을 사용하나요?

   Microsoft의 Azure CDN 표준(클래식)은 NI TLS/SSL을 사용합니다.

3. DigiCert로부터 도메인 확인 메일을 받지 못한 경우 어떻게 하나요?

   cdnverify 하위 도메인을 사용하지 않고 CNAME 항목이 엔드포인트 호스트 이름용인 경우 도메인 확인 이메일을 받지 못합니다.

   유효성 검사가 자동으로 수행됩니다. 그렇지 않은 경우 CNAME 항목이 없고 24시간 내에 이메일을 받지 못했으면 Microsoft 지원에 문의하세요.

4. SAN 인증서를 사용하는 것보다 전용 인증서를 사용하는 것이 더 안전한가요?

   SAN 인증서는 전용 인증서와 동일한 암호화 및 보안 표준을 따릅니다. 발급된 모든 TLS/SSL 인증서는 향상된 서버 보안을 위해 SHA-256을 사용합니다.

5. 내 DNS 공급자에게 CAA(Certificate Authority Authorization) 레코드가 필요합니까?

   CAA 레코드는 현재 필요하지 않습니다. 그러나 이 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다.

6. 사용자 고유의 인증서 가져오기로 인증서를 갱신하는 방법

   최신 인증서가 POP 인프라에 배포되었는지 확인하려면 새 인증서를 Azure Key Vault에 업로드합니다. Azure Content Delivery Network의 TLS 설정에서 최신 인증서 버전을 선택하고 저장을 선택합니다. 그러면 Azure Content Delivery Network가 새로 업데이트된 인증서를 전파합니다.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

그 다음 자습서로 넘어가서 CDN 엔드포인트에서 캐싱을 구성하는 방법을 알아보세요.