다음을 통해 공유

Azure Cloud Services(클래식) 인증서 개요

  • 아티클

Important

이제 Cloud Services(클래식)는 2024년 9월 1일부터 모든 고객을 대상으로 더 이상 사용되지 않습니다. 기존 실행 중인 배포는 Microsoft에서 중지 및 종료되며 데이터는 2024년 10월부터 영구적으로 손실됩니다. 새 배포에서는 새로운 Azure Resource Manager 기반 배포 모델인 Azure Cloud Services(추가 지원)를 사용해야 합니다.

인증서는 Azure에서 클라우드 서비스(서비스 인증서)와 관리 API(관리 인증서)를 통한 인증에 사용됩니다. 이 아티클에서는 두 가지 인증서 형식에 대한 일반적인 개요와 인증서를 만들고 Azure에 배포하는 방법을 살펴봅니다.

Azure에서 사용되는 인증서는 x.509 v3 인증서입니다. 직접 서명하거나 신뢰할 수 있는 다른 인증서로 서명할 수 있습니다. 인증서는 작성자가 서명할 때 자체 서명됩니다. 자체 서명된 인증서는 기본적으로 신뢰되지 않지만 대부분의 브라우저에서는 이 문제를 무시할 수 있습니다. Cloud Services를 개발하고 테스트하는 경우에만 자체 서명된 인증서를 사용해야 합니다.

Azure에서 사용하는 인증서에는 퍼블릭 키가 포함될 수 있습니다. 인증서에는 지문이 포함되어 있어 모호하지 않은 방식의 식별 수단을 제공합니다. 이 지문은 Azure 구성 파일 에서 클라우드 서비스가 사용할 인증서를 식별하는 데 사용됩니다.

참고 항목

Azure Cloud Services는 AES256-SHA256 암호화 인증서를 수락하지 않습니다.

서비스 인증서란 무엇인가요?

서비스 인증서는 클라우드 서비스에 첨부되며 서비스와의 보안 통신이 가능하게 해 줍니다. 예를 들어 웹 역할을 배포한 경우 노출된 HTTPS 엔드포인트를 인증할 수 있는 인증서를 제공하려고 할 것입니다. 서비스 정의에 있는 서비스 인증서는 자동으로 해당 역할 인스턴스를 실행하는 가상 머신에 배포됩니다.

Azure Portal을 사용하거나 클래식 배포 모델을 사용하여 서비스 인증서를 Azure Portal에 업로드할 수 있습니다. 서비스 인증서는 특정 클라우드 서비스와 연관됩니다. 서비스 정의 파일은 배포에 할당합니다.

서비스 인증서는 서비스와 별도로 관리할 수 있으며 다른 개인이 관리할 수도 있습니다. 예를 들어 개발자는 IT 관리자가 이전에 Azure로 업로드한 인증서를 참조하는 서비스 패키지를 업로드할 수 있습니다. IT 관리자는 새 서비스 패키지를 업로드할 필요 없이 서비스 구성을 변경하는 해당 인증서를 관리하고 갱신할 수 있습니다. 새 서비스 패키지 없이 업데이트가 가능한 이유는 인증서의 논리적 이름과 저장소 이름 및 위치는 서비스 정의 파일에 있고 인증서 지문은 서비스 구성 파일에 지정되어 있기 때문입니다. 인증서를 업데이트하려면 새 인증서를 업로드하고 서비스 구성 파일의 지문 값을 변경하기만 하면 됩니다.

참고 항목

구성 및 관리 문서에는 인증서에 대한 몇 가지 유용한 정보가 포함되어 있습니다.

관리 인증서란 무엇인가요?

관리 인증서를 사용하면 클래식 배포 모델로 인증할 수 있습니다. Visual Studio 또는 Azure SDK와 같은 많은 프로그램 및 도구에서 이러한 인증서를 사용하여 다양한 Azure 서비스의 구성 및 배포를 자동화합니다. 이러한 인증서는 클라우드 서비스와 관련이 없습니다.

Warning

주의가 필요합니다! 이러한 형식의 인증서를 사용하면 해당 인증서로 인증된 사람은 누구나 연결된 구독을 관리할 수 있습니다.

제한 사항

관리 인증서는 구독당 100개로 제한됩니다. 특정 서비스 관리자의 사용자 ID에서 모든 구독에 대한 관리 인증서가 100개로 제한되기도 합니다. 계정 관리자의 사용자 ID가 이미 관리 인증서 100개를 추가하는 데 사용되었으나 인증서가 더 필요한 경우 공동 관리자를 추가하여 인증서를 더 추가할 수 있습니다.

또한 관리 인증서는 CSP(클라우드 솔루션 공급자) 구독이 Azure Resource Manager 배포 모델만 지원하고 관리 인증서는 클래식 배포 모델을 사용하기 때문에 CSP 구독과 함께 사용할 수 없습니다. CSP 구독 옵션에 대한 자세한 내용은 Azure Resource Manager와 클래식 배포 모델 비교.NET용 Azure SDK를 사용한 인증 이해를 참조하세요.

자체 서명된 새로운 인증서 만들기

어떠한 도구든 다음 설정을 준수하는 경우 자체 서명된 인증서를 만드는 데 사용할 수 있습니다.

  • X.509 인증서여야 합니다.

  • 퍼블릭 키를 포함합니다.

  • 키 교환용으로 만들어졌어야 합니다(.pfx 파일).

  • 주체 이름은 클라우드 서비스 액세스에 사용되는 도메인과 일치해야 합니다.

    cloudapp.net(또는 Azure 관련) 도메인용 TLS/SSL 인증서를 얻을 수 없으므로, 인증서의 주체 이름은 사용 중인 애플리케이션 액세스에 사용되는 사용자 지정 도메인 이름과 일치해야 합니다. 예를 들어, contoso.cloudapp.net이 아니라contoso.net입니다.

  • 최소한 2048비트 암호화를 사용해야 합니다.

  • 서비스 인증서에만 해당: 클라이언트 쪽 인증서는 개인 인증서 저장소에 있어야 합니다.

Windows에서는 두 가지 방법, makecert.exe 유틸리티 또는 IIS를 사용하여 쉽게 인증서를 만들 수 있습니다.

Makecert.exe

이 유틸리티는 사용 중지되었으며 더 이상 여기에 문서화되지 않습니다. 자세한 내용은 이 MSDN(Microsoft Developer Network) 문서를 참조하세요.

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

참고 항목

도메인 대신에 IP 주소가 들어 있는 인증서를 사용하려는 경우 -DnsName 매개 변수에서 IP 주소를 사용 합니다.

관리 포털에서 인증서를 사용하려는 경우 .cer 파일로 내보냅니다.

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

IIS(인터넷 정보 서비스)

인터넷에는 IIS에서 인증서를 만드는 방법을 다루는 많은 페이지가 있습니다(예: IIS 자체 서명 인증서를 사용하는 경우).

Linux

빠른 단계: Azure에서 Linux VM용 SSH 퍼블릭-프라이빗 키 쌍을 만들고 사용하는 방법은 SSH로 인증서를 만드는 방법을 설명합니다.

다음 단계

서비스 인증서를 Azure Portal에 업로드합니다.

관리 API 인증서를 Azure Portal에 업로드합니다.