우리는 west-2에서 우리의 인프라 설치에 필요한 모든 것을 갖추고 있습니다. 우리는 우리 - 동쪽 -1에 SSL 인증서 설치 프로그램이 있습니다. API 게이트웨이가이 지역에 있어야합니다.AWS ACM을 올바르게 사용하는 방법은 무엇입니까?
us-west-2에서는 API 게이트웨이에서 인증서를 사용하고 있습니다. ELB에서도 ELB를 사용하고 싶습니다. 그러나 ELB는 ACM 인증서가 동일한 지역에 있어야합니다.
인증서는 * .domain.com이므로 모든 하위 도메인에서 사용할 수 있습니다. API 게이트웨이와 ELB 모두에서 인증서를 사용하는 적절한 방법은 무엇입니까?
이것은 여러 번 경험 한 시나리오입니다. ACM이있는 API 게이트웨이는 실제로 배경 뒤에서 CloudFront Distribution을 만듭니다 (Set up Custom Domain Name for API Host Name 참조). CloudFront는 us-east-1 지역의 AWS Global을 실행합니다.
여기서 제한은 ELB requires the certificate to be in the same region as the ELB입니다.
좋은 소식은 us-west-2에 두 번째 와일드 카드 인증서를 만들고 ELM에서 인증서를 사용할 수 있다는 것입니다. ACM은 인증서 전체에서 중복 된 도메인을 신경 쓰지 않기 때문입니다.
동일한 인증서를 사용하기 위해 ELB와 API 게이트웨이가 절대적으로 필요한 경우 인프라를 us-east-1으로 옮기는 것이 유일한 방법입니다. 내 의견으로는 두 가지 인증서가 훨씬 좋은 옵션처럼 보입니다.
"여러 지역에 인증서 중복". 이 인증서가 동일한 인증서를 생성합니까? 아니면 다른 인증서를 생성합니까? 한 공개 키를 사용하여 수행 한 암호화는 다른 개인 키를 사용하여 암호 해독 할 수 없으므로 동일한 도메인에 속해 있습니다. – Kannaiyan
각 인증서는 특정 컨텍스트에서 사용되며 공개 키는 핸드 셰이크 중에 공유됩니다. 누군가가 ELB 공개 키를 가져 와서 API 게이트웨이로 가서 데이터를 해독하려고하는 것은 아닙니다. 그러나 모든 인증서는 동일한 도메인에 대해 서명됩니다. –
즉, 클라이언트가 인증서를 고정하는 경우 @ Kannaiyan이 맞고 하나의 인증서가 있어야하지만 마지막으로 하나의 인증서를 사용해야하는 경우, us-east-1'이 유일한 옵션입니다. –