멀티 도메인(SAN) 인증서란 무엇입니까?
새로운 TLS/SSL 인증서를 주문하거나 발급할 때 단일 TLS/SSL 인증서(예: 멀티 도메인(SAN) 또는 확장 유효성 검사 멀티 도메인 인증서)로 보호할 추가 호스트 이름(예: 사이트, IP 주소, 일반 이름 등)을 지정할 수 있는 주체 대체 이름 필드를 확인할 수 있습니다.
주체 대체 이름 확장은 1999년 이전에는 X509 인증서 표준의 일부였지만, Microsoft Exchange Server 2007이 출시된 이후 시점부터 일반적으로 사용되고 있습니다. 이러한 변경 사항은 서버 구성을 단순화하는 데 도움이 되었습니다. 이제 주체 대체 이름은 여러 도메인과 하위 도메인에서 다양한 웹사이트 이름을 보호해야 하는 환경 또는 플랫폼에 널리 사용됩니다.
SAN(주체 대체 이름)은 어떤 용도로 사용됩니까?
SAN(주체 대체 이름)을 사용하는 세 가지 주요 용도는 다음과 같습니다.
- 하나의 TLS/SSL 인증서로 서로 다른 기본 도메인의 호스트 이름에 보안을 제공합니다. 와일드카드 인증서는 *.example.com과 같은 전체 도메인의 모든 1차 하위 도메인을 보호할 수 있습니다. 그러나 와일드카드 인증서는 www.example.com 및 www.example.net을 모두 보호하지는 못합니다.
- 단일 IP 주소에서 여러 TLS/SSL 사이트 가상 호스트를 지원합니다. 일반적으로 단일 서버에서 여러 TLS/SSL 지원 사이트를 호스팅하려면 사이트마다 고유한 IP 주소가 필요하지만, 주체 대체 이름이 있는 멀티 도메인(SAN) 인증서를 사용하면 이 문제를 해결할 수 있습니다. Microsoft IIS 및 Apache는 모두 멀티 도메인(SAN) 인증서를 사용하여 HTTPS 사이트를 가상 호스팅할 수 있습니다.
- 서버의 TLS/SSL 구성을 큰 폭으로 단순화합니다. 멀티 도메인(SAN) 인증서를 사용하면 서버에서 여러 IP 주소를 구성하고, 각 IP 주소를 서로 다른 인증서에 연결하고, 이를 모두 통합하는 데 들여야 하는 수고를 줄이고 시간을 절약할 수 있습니다.
사용 중인 주체 대체 이름은 어디에서 볼 수 있습니까?
주체 대체 이름의 예를 보려면 페이지의 주소창에서 브라우저의 자물쇠를 클릭하여 TLS/SSL 인증서를 확인합니다. 인증서 상세 정보에는 www.digicert.com/kr 및 digicert.com과 DigiCert 인증서로 보호되는 추가 SAN이 모두 나열된 주체 대체 이름 확장이 나와 있습니다. digicert.com이라는 이름이 인증서에 나열되어 있으므로, 이름에 'www'가 표시되지 않은 상태에서 https://digicert.com 사이트를 방문하면 브라우저에서 경고 메시지가 표시되지 않습니다.
브라우저는 TLS/SSL 인증서의 주체 대체 이름 필드를 어떻게 사용합니까?
브라우저가 HTTPS를 사용하여 서버에 연결할 때 TLS/SSL 인증서가 주소창의 호스트 이름과 일치하는지 확인합니다.
브라우저에서 세 가지 방법으로 일치 항목을 찾을 수 있습니다.
- 주소창의 호스트 이름은 인증서의 제목에 있는 일반 이름과 정확히 일치합니다.
- 호스트 이름은 와일드카드 일반 이름과 일치합니다. 예를 들어, www.example.com은 일반 이름 *.example.com과 일치합니다.
- 호스트 이름이 주체 대체 이름 필드에 나열됩니다.
TLS/SSL 이름 일치의 가장 일반적인 형식은 TLS/SSL 클라이언트가 연결된 서버의 이름을 서버 인증서의 일반 이름과 비교하는 것입니다. 모든 TLS 클라이언트는 정확한 일반 이름 일치를 지원합니다.
TLS 인증서에 SAN(주체 대체 이름) 필드가 있는 경우 TLS 클라이언트는 일반 이름 값을 무시하고 SAN 목록에서 일치 항목을 검색합니다. 이러한 이유로 DigiCert는 인증서의 첫 번째 SAN으로 항상 일반 이름을 반복합니다.
어떤 TLS/SSL 클라이언트가 주체 대체 이름을 지원합니까?
일부 모바일 장치는 주체 대체 이름을 지원하고 일부는 와일드카드 인증서를 지원하지만, 정확한 일반 이름 일치는 모든 장치에서 지원합니다.
Internet Explorer, Firefox, Opera, Safari, Netscape: 모두 2003년부터 주체 대체 이름을 지원하고 있습니다. Internet Explorer의 경우 Windows 98부터 이를 지원했습니다.
Micrsoft Edge: Microsoft의 최신 브라우저는 주체 대체 이름을 지원합니다.
Windows Phone: 주체 대체 이름 및 와일드카드 일치를 지원합니다.
최신 버전의 Palm Treo: 최신 버전의 장치는 WM5를 사용하지만, 이전 버전의 장치는 PalmOS를 실행하고 ActiveSync용 VersaMail을 사용합니다. 이전 Treos는 주체 대체 이름 일치를 지원하지 않습니다.
Symbian OS를 실행하는 최신 버전의 스마트폰: Symbian OS는 9.2 이후 버전부터 주체 대체 이름을 지원합니다.
Symbian OS를 실행하는 이전 버전의 스마트폰: Symbian OS 9.1 이전 버전을 실행하는 경우 주체 대체 이름 일치를 지원하지 않습니다. 이 문제는 Symbian OS 9.2(S60 3차 에디션, 기능 팩 1)에서 해결된 것으로 알려져 있습니다.
이전 버전의 Palm Treo: 이전 버전의 장치는 PalmOS를 실행하며 ActiveSync용 VersaMail을 사용합니다. 이전 Treos는 주체 대체 이름 일치를 지원하지 않습니다.
일부 모바일 장치는 주체 대체 이름 필드를 지원하지 않으므로, 일반 이름을 대부분의 모바일 장치에서 사용할 이름으로 설정하는 것이 가장 안전합니다.
