Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

ACME 프로토콜

ACME 프로토콜 이해하기

ACME(Automated Certificate Management Environment) 프로토콜은 Let's Encrypt와 같은 여러 PKI 서버에서 사용하는 새로운 PKI 등록 표준입니다. Let's encrypt 인증서를 사용하면 SRX 시리즈 방화벽에서 웹 서버 인증서를 무료로 사용할 수 있으며, 이는 Juniper Secure Connect 및 J-Web에서 사용할 수 있습니다. Junos OS는 25일마다 Let's Encrypt 인증서를 자동으로 재등록합니다.

ACME 프로토콜을 사용하면 Let's Encrypt 서버 또는 ACME 지원 서버에서 인증서를 등록할 수 있습니다. SRX 시리즈 방화벽은 Let's Encrypt 서버의 인증서를 등록하고 Juniper Secure Connect는 CA 인증서를 복사 및 다운로드하지 않고 인증서를 검증합니다.

Let's Encrypt를 사용할 때는 에 표시된 그림 1대로 Let's Encrypt 서버가 도메인 이름을 SRX 시리즈 방화벽 인터페이스의 IP 주소로 확인할 수 있는지 확인합니다. TCP 포트 80에서 SRX 시리즈 방화벽 인터페이스에 연결할 수 있어야 합니다. 인증서를 등록하는 동안 SRX 시리즈 방화벽은 이 수신 요청을 자동으로 일시적으로 허용합니다. SRX 시리즈 방화벽, 중간 방화벽 또는 라우터가 TCP 포트 80을 차단하는 경우 인증서 등록이 실패합니다.

그림 1: Let's Encrypt에 대한 이름 확인Let's Encrypt에 대한 이름 확인

제한

  • ACME 사양 - dns-01 및 외부 계정 바인딩은 지원되지 않습니다.

  • J-Web이 포트 80을 수신할 때 ACME를 사용할 수 없습니다.

  • 와일드카드 인증서는 지원되지 않으며, 대신 여러 DNS 이름을 등록할 수 있습니다.*.mydomain.com

Let's Encrypt Server를 사용하여 로컬 인증서 등록

이 예제에서는 Let's Encrypt를 사용하여 로컬 인증서를 등록하는 방법을 보여 줍니다.

  1. CA 프로필을 지정합니다.

  2. 구성을 커밋합니다.

  3. CA 인증서를 로드합니다.

  4. ACME 키 ID를 생성합니다.

  5. 로컬 인증서 등록을 준비합니다.

  6. 하나의 도메인 이름으로 인증서를 등록합니다.

    여러 도메인 이름으로 인증서를 등록합니다.

  7. 등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.

로컬 인증서 수동 재등록

온라인으로 로컬 인증서를 다시 등록하려면:

  1. 재등록 요청을 시작합니다.

  2. 재등록이 완료되면 발급된 인증서가 certificate-id service-mydomian에 로드됩니다.

ACME 계정 삭제

ACME 계정을 삭제하려면 다음을 수행합니다.

  1. ACME 계정을 삭제합니다.

    등록에 의해 ACME가 활성화되거나 생성된 경우에만 ACME 계정 키를 삭제할 수 있습니다.