TheKoguryo's 기술 블로그

16.3 단일 Load Balancer 포트에 2개의 인증서 적용하기

OCI Load Balancer의 Listener에는 하나의 인증서를 적용할 수 있습니다. 멀티 도메인 또는 와일드카드 도메인 기반의 인증서를 사용하지 않고, 인증서 발급 비용 등을 이유로 개별 인증서로 발급받는 경우가 있습니다. 이때 하나의 Load Balancer에 같은 443 포트에 인증서를 2개 적용하려는 요구사항이 생기게 됩니다.

하나의 Load Balancer 내에 같은 포트로 Listener를 2개 만드는 것은 포트 충돌 문제로 기본적으로는 생성되지 않습니다. 이때는 Virual Hostname를 사용하면, 같은 포트를 사용하더라도, Virtual Hostname이 다르면, Listener를 여러개 생성할 수 있습니다.

이를 이용하여, Virtual Hostname을 사용하여, Listener를 2개 생성하고, 각 Listener에 Virtual Hostname에 맞는 각각 인증서를 등록하면 됩니다.

Load Balancer 생성 및 첫번째 OCI Certificate 등록

• 16.1 Load Balancer의 인증서를 OCI Certificate로 관리하기으로 이미 관련 자원이 있다고 가정하고 추가로 인증서를 만들어서 사용해 보겠습니다.

두번째 OCI Certificate 만들기

첫번째 OCI Certificate 만드는 것과 동일절차에 따라 새 주소 ui.example.com를 위한 인증서를 만듭니다.

1. 앞서 만든 CA 화면으로 이동합니다.

2. Resources > Certificates에서 Issue Certificate을 클릭합니다.

3. Certificate 생성 정보를 입력합니다.

   • 기본 정보
     • CA 타입: Issued by internal CA
     • Name: 예시, ui.example.com
     • Subject Information
       • Common Name:
         • 예시, ui.example.com
       • Subject Alternative Names
         • DNS Name: HTTPS로 접속시 사용할 주소명을 입력합니다.
           • 예시, ui.example.com
         • 필요하면, 접속시 사용할 DNS Name 또는 LB의 고정 IP를 IP Address 더 추가합니다.
     • Certificate Configuration
       • 나머지는 기본설정 그대로 사용
     • Rules
       • 그대로 사용
     • Summary
       • 설정 내용 확인후 Certificate를 만듭니다.

2번째 Listener 만들기

하나의 Load Balancer에서 같은 포트로 Listener를 추가하면 다음 오류와 함께 생성이 되지 않습니다.

• Default Listener on port '443' refer to VIP 'public-vip' twice

가상 호스트이름(Virtual Hostname) 만들기

1. 사용하는 OCI Load Balancer 페이지로 이동합니다.

2. Hostnames 탭을 클릭합니다.

3. Create hostname을 클릭하여 가상 호스트를 추가합니다.

   • Name: web.example.com
   • Hostname: web.example.com

4. 같은 방법으로 하나 더 추가합니다.

   • ui.example.com

5. 생성결과

   

가상 호스트이름 기반 Listener 설정 변경 및 추가 생성하기

1. Listeners 탭을 클릭합니다.

2. 앞서 생성한 첫번째 Listener를 우측 액션 메뉴를 클릭하여 Edit 화면으로 이동합니다.

3. Hostnames에 web.example.com을 추가하고 저장합니다.

   

4. 두 번째 Listener 생성을 위해 Create Listener를 클릭합니다.

5. Create Listener 생성 정보

   • Name:

     • 이름 입력, 예) ExampleLB-Listener-2

   • Protocal: HTTPS 선택

     • OCI Certificate의 SSL 인증서 연동을 테스트하기 위해 HTTPS를 선택합니다.

   • Port: 첫번째 Listner와 같은 디폴트 443

   • SSL certificate

     • Certificate service managed certificate 서비스 선택
     • 앞서 만든 인증서 선택, 예, ui.example.com

   • Hostnames:

     • ui.example.com 추가

   • Backend set:

     • web.example.com에서 쓰는 것과 편의상 같은 것을 사용합니다. 라우팅 대상이 다른 경우, 별도의 Backed Set을 만들어 사용할 수 있습니다.

6. 위 정보로 Listener를 생성합니다.

7. 생성 완료 결과

   

Load Balancer 연결확인

1. 생성한 Load Balancer의 Public IP(예, 144.22.xx.xx)를 확인합니다.

2. 여기서는 테스트 편의상 클라이언트 호스트 파일에 등록합니다. (구매한 도메인을 사용하는 경우, DNS 서버에 등록하면 됩니다.)

   # Mac / Linux
   # /etc/hosts
   144.22.xx.xx  web.example.com
   144.22.xx.xx  ui.example.com
   

3. 웹브라우저에서 2개의 주소로 차례대로 접속해 봅니다. 접속 후 적용된 인증서를 확인합니다.

   • https://web.example.com

     

   • https://ui.example.com

     

4. 하나의 OCI Load Balancer를 사용하여, 2개의 인증서가 잘 적용된 것을 확인할 수 있습니다.