URGENT Action Required - Your certificate renewal
회사에서 운영 중인 AWS계정에 긴급히 처리해줄것을 권고하는 메일을 한통 받았다.
자꾸 처리안하니까 urgent로 왔다(사실 받은지 좀 되었는데 방관하고 있다가 황급히 문제를 살펴봤다..)
왜 자동갱신이 되지 않았는가?
메일에서는 AWS Certificate Manager(ACM)에서 보유한 SSL/TLS 인증서가
만료일이 되기전에 갱신 작업을 수행해야 하는데 갱신이 되지 않는다고 했다.
만약 인증서가 갱신되지 않고 현재 인증서가 만료될 경우 관련 인증서를 사용 중인 애플리케이션이 동작하지 않을 수 있다는 내용이었다.
현재 사내 DNS는 AWS Route53에서 관리중이다,
이메일에 언급된 도메인에 대한 CNAME 레코드가 Route53상에 올바른 형태로 존재해야 한다.
최초 도메인 매핑할때 CNAME레코드가 등록되었을 텐데, 무언가 문제가 있어보이는것같다.
용어정리
- CNAME 레코드
DNS(Domain Name System)에서 도메인 이름을 다른 도메인 이름 또는 호스트 이름으로 매핑하는 데 사용되는 설정
집으로 가기 위해 지도를 사용한다고 가정해 보자. 지도에는 "집"이라는 목적지가 표시되어 있지만 실제로 집에 도착하기 위해서는 주소를 알아야 합니다. 이때 CNAME레코드는 주소를 제공하는 역할로 CNAME레코드를 설정하면 "집"이라는 목적지에 도착이 가능하다.
- AWS Certificate Manager(ACM)과 SSL/TLS 인증서
ACM은 SSL/TLS 인증서를 손쉽게 관리하고 프로비저닝 할 수 있는 도구.
회사가 있는 건물에 들어가려면 출입카드가 있어야 하고, 출입카드가 있어야 들어갈 수 있는데
이때 비유하자면 회사는 우리웹, 출입카드는 SSL/TLS 인증서, ACM은 보안 카드키를 관리하는 역할을 한다.
ACM을 사용하면 SSL/TLS를 편리한 방식으로 생성하고 갱신할 수 있는 기능을 제공해 준다.
또한 자동으로 인증서의 갱신을 관리하여 인증서의 유효 기간이 만료되지 않도록 도와준다.
정상적인 CNAME레코드를 확인하는 방법은
ACM 콘솔에서 인증서와 해당 도메인 항목을 확장하여 CNAME 레코드를 확인하거나
ACM API의 DescribeCertificate 명령이나 ACM CLI의 describe-certificate 명령을 사용하여 인증서의 CNAME 레코드를 찾을 수 있다.
AWS에서 도메인으로 사용 중인 API 빌딩으로 접근하는 보안키의 기간이 만료돼서 알아서 갱신 좀 해주려 했더니
CNAME 레코드를 찾을 수 없는 상황임(주소가 어딘지 모른다.)
주소를 찾아서 적어주거나, 새로운 주소를 발급받아 알려줘야 하는 상황이었다.
CNAME 레코드 부재
Rooute53에 해당도메인을 인증하는 CNAME레코드가 사라져 있었고
ACM의 표시된 도메인 매핑용 레코드를 제대로 등록하고 5분 정도 기다리면 정상적으로 상태가 처리된다.
후일담이지만 route53에 누군가가 지저분해서 지워보셨고 그래도 정상적으로 잘 작동하셔서 두셨다는데, 문제를 찾아서 다행이다.....
'AWS' 카테고리의 다른 글
| Next.js 정적 웹사이트 S3 + CloudFront + Route53 (가비아 도메인적용) (0) | 2023.09.08 |
|---|---|
| Next13 App router SSR(server side rendering) Amplify 배포 이슈(feat.슬랙에 배포알림 연동하기) (0) | 2023.08.24 |
| [AWS]DynamoDB Scan vs Query 성능 및 비용테스트 및 DB설계의 중요성 (0) | 2023.02.03 |
| [AWS Amplify Studio] - 초스피드 풀스택 서비스 만들기(React) (0) | 2022.06.24 |
