다음을 통해 공유

Azure Front Door(클래식) 사용자 지정 도메인에서 HTTPS 구성

  • 아티클

Important

Azure Front Door(클래식)는 2027년 3월 31일에 사용이 중지됩니다. 서비스가 중단되지 않도록 하려면 2027년 3월까지 Azure Front Door(클래식) 프로필을 Azure Front Door 표준 또는 프리미엄 계층으로 마이그레이션하는 것이 중요합니다. 자세한 내용은 Azure Front Door(클래식) 사용 중지를 참조하세요.

이 문서에서는 Front Door(클래식)와 연결된 사용자 지정 도메인에 대해 HTTPS를 사용하도록 설정하는 방법을 설명합니다. 사용자 지정 도메인(예 https://www.contoso.com: )에서 HTTPS를 사용하면 TLS/SSL 암호화를 통한 안전한 데이터 전송이 보장됩니다. 웹 브라우저가 HTTPS를 사용하여 웹 사이트에 연결하는 경우 웹 사이트의 보안 인증서의 유효성을 검사하고 정당성을 확인하여 보안을 제공하고 악의적인 공격으로부터 웹 애플리케이션을 보호합니다.

Azure Front Door는 기본적으로 기본 호스트 이름(예: https://contoso.azurefd.net)에서 HTTPS를 지원합니다. 그러나 다음과 같은 www.contoso.com사용자 지정 도메인에 대해 별도로 HTTPS를 사용하도록 설정해야 합니다.

사용자 지정 HTTPS 기능의 주요 특성은 다음과 같습니다.

  • 추가 비용 없음: 인증서 획득, 갱신 또는 HTTPS 트래픽에 대한 비용은 없습니다.
  • 간단한 사용: Azure Portal, REST API 또는 기타 개발자 도구를 통한 한 가지 선택 프로비저닝
  • 인증서 관리 완료: 자동 인증서 조달 및 갱신으로 인해 만료된 인증서로 인한 서비스 중단 위험이 제거됩니다.

이 자습서에서는 다음을 알아봅니다.

  • 사용자 지정 도메인에서 HTTPS를 사용하도록 설정합니다.
  • AFD 관리 인증서를 사용합니다.
  • 사용자 고유의 TLS/SSL 인증서를 사용합니다.
  • 도메인의 유효성 검사
  • 사용자 지정 도메인에서 HTTPS를 사용하지 않도록 설정합니다.

참고 항목

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

필수 조건

시작하기 전에 하나 이상의 사용자 지정 도메인이 온보딩된 Front Door가 있는지 확인합니다. 자세한 내용은 자습서: Front Door에 사용자 지정 도메인 추가를 참조하세요.

TLS/SSL 인증서

Front Door(클래식) 사용자 지정 도메인에서 HTTPS를 사용하도록 설정하려면 TLS/SSL 인증서가 필요합니다. Azure Front Door에서 관리하는 인증서 또는 사용자 고유의 인증서를 사용할 수 있습니다.

옵션 1(기본값): Front Door에서 관리되는 인증서 사용

Azure Front Door에서 관리하는 인증서를 사용하면 몇 가지 설정을 변경하여 HTTPS를 사용하도록 설정할 수 있습니다. Azure Front Door는 조달 및 갱신을 포함한 모든 인증서 관리 작업을 처리합니다. 사용자 지정 도메인이 이미 Front Door의 기본 프런트 엔드 호스트(){hostname}.azurefd.net에 매핑된 경우 추가 작업이 필요하지 않습니다. 그렇지 않으면 이메일을 통해 도메인 소유권의 유효성을 검사해야 합니다.

사용자 지정 도메인에서 HTTPS를 사용하도록 설정하려면 다음을 수행합니다.

  1. Azure Portal에서 Front Door 프로필로 이동합니다.

  2. 프런트 엔드 호스트 목록에서 HTTPS를 사용하도록 설정하려는 사용자 지정 도메인을 선택합니다.

  3. 사용자 지정 도메인 HTTPS에서 [사용]을 선택하고 인증서 원본으로 관리되는 Front Door를 선택합니다.

  4. 저장을 선택합니다.

  5. 도메인 유효성 검사를 계속합니다.

참고 항목

  • DigiCert의 64자 제한은 Azure Front Door 관리 인증서에 적용됩니다. 이 제한을 초과하면 유효성 검사가 실패합니다.
  • Apex/root 도메인(예: contoso.com)에는 Front Door 관리 인증서를 통해 HTTPS를 사용하도록 설정할 수 없습니다. 이 시나리오에 사용자 고유의 인증서를 사용합니다(옵션 2 참조).

옵션 2: 사용자 고유의 인증서 사용

Azure Key Vault와의 통합을 통해 사용자 고유의 인증서를 사용할 수 있습니다. 인증서가 Microsoft 신뢰할 수 있는 CA 목록 의 인증서이고 완전한 인증서 체인이 있는지 확인합니다.

Key Vault 및 인증서 준비

  • Front Door와 동일한 Azure 구독에 키 자격 증명 모음 계정을 만듭니다.
  • 네트워크 액세스 제한을 사용하는 경우 신뢰할 수 있는 Microsoft 서비스 방화벽을 무시하도록 키 자격 증명 모음을 구성합니다.
  • Key Vault 액세스 정책 권한 모델을 사용합니다.
  • 인증서를 비밀아닌 인증서 개체로 업로드합니다.

참고 항목

Front Door는 EC(타원 곡선) 암호화 알고리즘을 사용하는 인증서를 지원하지 않습니다. 인증서에는 리프 및 중간 인증서를 포함하는 전체 인증서 체인이 있어야 하며, 루트 CA가 Microsoft 신뢰할 수 있는 CA 목록에 있어야 합니다.

Azure Front Door 등록

Azure PowerShell 또는 Azure CLI를 사용하여 Microsoft Entra ID에 Azure Front Door 서비스 주체를 등록합니다.

Azure PowerShell

  1. 필요한 경우 Azure PowerShell을 설치합니다.

  2. 다음 명령을 실행합니다.

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI

  1. 필요한 경우 Azure CLI를 설치합니다.

  2. 다음 명령을 실행합니다.

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

키 자격 증명 모음에 Azure Front Door 액세스 권한 부여

  1. Key Vault 계정에서 액세스 정책을 선택합니다.

  2. 만들기를 선택하여 새 액세스 정책을 만듭니다.

  3. 비밀 사용 권한에서 가져오기 선택합니다.

  4. 인증서 사용 권한에서 가져오기 선택합니다.

  5. 보안 주체 선택에서 ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037을 검색하고 Microsoft.Azure.Frontdoor를 선택합니다. 다음을 선택합니다.

  6. 애플리케이션에서 다음선택합니다.

  7. 검토에서 만들기 + 만들기를 선택합니다.

참고 항목

키 자격 증명 모음에 네트워크 액세스 제한이 있는 경우 신뢰할 수 있는 Microsoft 서비스 키 자격 증명 모음에 액세스하도록 허용합니다.

배포할 Azure Front Door 인증서 선택

  1. 포털에서 Front Door로 돌아갑니다.

  2. HTTPS를 사용하도록 설정할 사용자 지정 도메인을 선택합니다.

  3. 인증서 관리 유형에서 내 인증서 사용을 선택합니다.

  4. 키 자격 증명 모음, 비밀 및 비밀 버전을 선택합니다.

    참고 항목

    자동 인증서 회전을 사용하도록 설정하려면 비밀 버전을 '최신'으로 설정합니다. 특정 버전을 선택한 경우 인증서 회전을 위해 수동으로 업데이트해야 합니다.

    Warning

    서비스 주체에 Key Vault에 대한 GET 권한이 있는지 확인합니다. 포털 드롭다운에서 인증서를 보려면 사용자 계정에 Key Vault에 대한 LIST 및 GET 권한이 있어야 합니다.

  5. 사용자 고유의 인증서를 사용하는 경우 도메인 유효성 검사가 필요하지 않습니다. 전파 대기를 진행합니다.

도메인의 유효성 검사

사용자 지정 도메인이 CNAME 레코드를 사용하여 사용자 지정 엔드포인트에 매핑되거나 사용자 고유의 인증서를 사용하는 경우 사용자 지정 도메인이 Front Door매핑됩니다. 그렇지 않으면 사용자 지정 도메인의 지침에 따라 Front Door에 매핑되지 않습니다.

CNAME 레코드를 통해 사용자 지정 도메인이 CNAME 레코드에 매핑됨

CNAME 레코드가 여전히 존재하고 afdverify 하위 도메인을 포함하지 않는 경우 DigiCert는 사용자 지정 도메인의 소유권의 유효성을 자동으로 검사합니다.

CNAME 레코드는 다음과 같은 형식이어야 합니다.

속성 타입
<www.contoso.com> CNAME contoso.azurefd.net

CNAME 레코드에 대한 자세한 내용은 CNAME DNS 레코드 만들기를 참조하세요.

CNAME 레코드가 올바른 경우 DigiCert는 자동으로 사용자 지정 도메인을 확인하고 전용 인증서를 만듭니다. 인증서는 1년 동안 유효하며 만료되기 전에 자동으로 갱신됩니다. 계속해서 전파 대기를 진행합니다.

참고 항목

DNS 공급자가 포함된 CAA(Certificate Authority Authorization) 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다. 자세한 내용은 CAA 레코드 관리를 참조 하세요.

사용자 지정 도메인이 Front Door에 매핑되지 않음

엔드포인트에 대한 CNAME 레코드 항목이 더 이상 없거나 afdverify 하위 도메인을 포함하는 경우 다음 지침을 따릅니다.

사용자 지정 도메인에서 HTTPS를 사용하도록 설정한 후 DigiCert는 WHOIS 등록에 나열된 전자 메일 또는 전화를 통해 도메인 등록 기관에 문의하여 소유권의 유효성을 검사합니다. 영업일 기준 6일 이내에 도메인 유효성 검사를 완료해야 합니다. DigiCert 도메인 유효성 검사는 하위 도메인 수준에서 작동합니다.

WHOIS 레코드의 스크린샷.

또한 DIGiCert는 WHOIS 등록자 정보가 비공개인 경우 다음 주소로 확인 이메일을 보냅니다.

  • <admin@your-domain-name.com>
  • <administrator@your-domain-name.com>
  • <webmaster@your-domain-name.com>
  • <hostmaster@your-domain-name.com>
  • postmaster@<your-domain-name.com>

요청을 승인하라는 전자 메일을 받아야 합니다. 24시간 이내에 전자 메일을 받지 못하면 Microsoft 지원에 문의하세요.

승인 후 DigiCert는 인증서 만들기를 완료합니다. 인증서는 1년 동안 유효하며 CNAME 레코드가 Azure Front Door의 기본 호스트 이름에 매핑된 경우 autorenews입니다.

참고 항목

관리되는 인증서 autorenewal을 사용하려면 사용자 지정 도메인을 CNAME 레코드로 Front Door의 기본 .azurefd.net 호스트 이름에 직접 매핑해야 합니다.

전파 대기

도메인 유효성 검사 후에는 사용자 지정 도메인 HTTPS 기능을 활성화하는 데 최대 6~8시간이 걸릴 수 있습니다. 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용으로 설정됩니다.

작업 진행 상태

다음 표에서는 HTTPS를 사용하도록 설정할 때의 작업 진행률을 보여 줍니다.

작업 단계 작업 하위 단계 정보
1. 요청 제출 요청 제출
HTTPS 요청을 제출하는 중입니다.
HTTPS 요청이 성공적으로 제출되었습니다.
2. 도메인 유효성 검사 CNAME이 기본 .azurefd.net 프런트 엔드 호스트에 매핑되면 도메인의 유효성이 자동으로 검사됩니다. 그렇지 않으면 도메인의 등록 레코드(WHOIS 등록자)에 나열된 이메일로 확인 요청이 발송됩니다. 최대한 신속하게 도메인을 확인하세요.
도메인 소유권의 유효성이 성공적으로 검사되었습니다.
도메인 소유권 유효성 검사 요청이 만료되었습니다(고객이 6일 이내에 응답하지 않았을 가능성이 높임). 도메인에서 HTTPS를 사용할 수 없습니다. *
고객에 의해 도메인 소유권 유효성 검사 요청이 거부되었습니다. 도메인에서 HTTPS를 사용할 수 없습니다. *
3. 인증서 프로비저닝 인증 기관에서 도메인에서 HTTPS를 사용하도록 설정하는 데 필요한 인증서를 발급하고 있습니다.
인증서가 발급되었으며 Front Door용으로 배포되고 있습니다. 이 프로세스는 몇 분에서 1시간 정도 걸릴 수 있습니다.
인증서가 Front Door에 성공적으로 배포되었습니다.
4. 완료 도메인에서 HTTPS를 사용하도록 설정했습니다.

* 이 메시지는 오류가 발생한 경우에만 표시됩니다.

요청을 제출하기 전에 오류가 발생하는 경우 다음과 같은 오류 메시지가 표시됩니다.

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

자주 묻는 질문

  1. 인증서 공급자는 누구이며 어떤 유형의 인증서가 사용되나요?

    DigiCert에서 제공하는 전용/단일 인증서는 사용자 지정 도메인에 사용됩니다.

  2. IP 기반 또는 SNI TLS/SSL을 사용하나요?

    Azure Front Door는 SNI TLS/SSL을 사용합니다.

  3. DigiCert로부터 도메인 확인 메일을 받지 못한 경우 어떻게 하나요?

    엔드포인트 호스트 이름을 직접 가리키는 사용자 지정 도메인에 대한 CNAME 항목이 있고 afdverify 하위 도메인 이름을 사용하지 않는 경우 도메인 확인 이메일을 받지 못합니다. 유효성 검사가 자동으로 수행됩니다. 그렇지 않은 경우 CNAME 항목이 없고 24시간 이내에 전자 메일을 받지 못한 경우 Microsoft 지원에 문의하세요.

  4. SAN 인증서를 사용하는 것보다 전용 인증서를 사용하는 것이 더 안전한가요?

    SAN 인증서는 전용 인증서와 동일한 암호화 및 보안 표준을 따릅니다. 발급된 모든 TLS/SSL 인증서는 향상된 서버 보안을 위해 SHA-256을 사용합니다.

  5. 내 DNS 공급자에게 CAA(Certificate Authority Authorization) 레코드가 필요합니까?

    아니요, CAA 레코드는 현재 필요하지 않습니다. 그러나 이 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다.

리소스 정리

사용자 지정 도메인에서 HTTPS를 사용하지 않도록 설정하려면 다음을 수행합니다.

HTTPS 기능을 사용하지 않도록 설정

  1. Azure Portal에서 Azure Front Door 구성으로 이동합니다.

  2. HTTPS를 사용하지 않도록 설정할 사용자 지정 도메인을 선택합니다.

  3. 사용 안 함으로 선택하고 저장을 선택합니다.

전파 대기

사용자 지정 도메인 HTTPS 기능을 사용하지 않도록 설정하면 적용하는 데 최대 6~8시간이 걸릴 수 있습니다. 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용 안 함으로 설정됩니다.

작업 진행 상태

다음 표에서는 HTTPS를 사용하지 않도록 설정하는 경우의 작업 진행률을 보여 줍니다.

작업 진행 상태 작업 세부 정보
1. 요청 제출 요청 제출
2. 인증서 프로비전 해제 인증서 삭제
3. 완료 인증서 삭제됨

다음 단계

Front Door에 대한 지역 필터링 정책을 설정하는 방법을 알아보려면 다음 자습서를 계속 진행합니다.