무료로 제공하는 TLS Certificate로 패스틀리(Fastly) CDN을 설정해 보자

 예전에는 Trial account에서는 Fastly에서 제공하는 무료 TLS certificate(Let's Ecrypt)를 사용하지 못하고 사용하기 위해서는 Paid Account로 전환을 해야 했지만, 이제는 Trial Account에서도 2개의 도메인까지는 Let's Ecrypt혹은 Fastly에서 발급하는 Certainly라는 인증서를 사용할 수 있습니다.

이번 포스트에서는 어떻게 인증서를 발급하고 그것을 서비스로 연결을 해서 사용할 수 있을지에 대해서 알아 보도록 하겠습니다.

 

 

먼저 새롭게 생긴 기능 부터 소개하도록 하겠습니다. 그 동안 UI에도 많은 변화가 생겨서 최초 Service를 생성할 때에 기본적인 항목들을 설정할 수 있게 되었습니다. 위의 화면을 기준으로 관련 항목에 대해서 차례대로 설명하도록 하겠습니다. 아래 설정이 모두 끝나면 Activate를 누르면 해당 서비스의 기본적인 설정이 완료되고 활성화 되게 됩니다.

1. Name your service: 해당 서비스가 어떤 서비스인지 운영자가 알아보기 편하게 이름을 정하는 메뉴입니다, CDN설정에는 아무런 영향을 끼지지 않으니 알아보기 편한 내용으로 기입하면 됩니다.
   
   
2. Add your own domain: 서비스에 사용하기 위한 domain을 기입합니다. 
   
   
3. Add an origin: 서비스를 위한 Origin domain 혹은 IP를 기입합니다.
   
   
4. Recommanded Settings
   1. Override default host:  일반적으로 Origin으로 Host header가 보내질때에 Client의 Request Header를 참조해서 보내지게 됩니다. Origin이 해당 Host header에 올바르게 작동되도록 설정되어 있다면 문제가 없지만, Origin이 특정한 Host header만을 받도록 설정하고 싶다면, 여기에 origin.abc.com이라고 설정하게 되면 예를들면 Client가 보낸 Host Header가 www.abc.com이라도, 오리진에는 origin.abc.com으로 전해지게 됩니다.
      
      
   2. Default compression: Gzip compression을 이용할 수 있게 해줍니다. 해당 기능을 사용하게 되면 text기반의 파일들, 예를들면 css, js 같은 파일들은 압축이 되서 Client에게 전달 되기 때문에 더 빠르게 사이트를 로딩 시키는 것이 가능합니다. 물론 전송량도 줄어 들기 때문에 CDN과금에도 많은 도움이 됩니다.
      
      
   3. Force TLS & HSTS: 최근 많은 사이트들은 https로의 접속만을 client에게 허용하고 있습니다. 해당 기능을 사용하게 되면 http로 접속을 시도하는 Client도 자동적으로 https로 Redirect해서 접속하도록 만듭니다.

 

다음으로는 무료 TLS Certificate를 설정하는 방법에 대해서 설명하도록 하겠습니다.

 

위의 화면 처럼 상단의 Secure로 들어가시면 TLS management라는 메뉴를 확인할 수 있습니다, 메뉴로 들어가시면 화면 아래의 파란색의 Get started를 클릭 합니다.

 

그러면 위와 같은 설정 화면이 나타나면 먼저 Domains부분에 인증서에 사용될 Domain을 기입합니다, 여기에 기입할 도메인은 서비스에 미리 등록이 되어 있어야 합니다. 그러므로, 기본적인 설정값을 가지는 서비스를 미리 만들어 놓고 인증서 발급 작업을 실시하는 것이 좋습니다. Add를 클릭하고 Certification Authorith에서 사용할 인증서를 선택합니다. 참고로 Certainly는 Fastly에서 발급하는 인증서입니다. 해당 작업이 끝나면 Submit을 클릭해서 인증서 발급 프로세스가 시작됩니다.

 

 

 

인증서 발급 프로세스가 시작되면 인증서에 사용될 도메인의 주인이 나다라는 것을 증명하기 위한 도메인 오너쉽 작업을 진행해야 합니다. 작업은 간단하며, 해당 도메인을 관리하는 DNS에서 위의 화면에 표시된 특정 도메인을 ***.fastly-validations.com으로 CNAME 처리 해주면 됩니다. DNS에서 해당 작업이 끝나고 인증이 완료되면 인증서가 발급되게 됩니다. 인증서 발급이 끝나면 Fastly Edge서버에 인증서가 배포되었기 때문에 해당 인증서가 배포된 CNAME Record를 서비스에 이용할 도메인에 설정해주면 됩니다.

 

 

그럼 서비스 도메인에 이용할 CNAME Record는 어디서 확인하냐고 말씀드리면, TLS management의 Domains메뉴에 들어가시면 내가 사용하는 도메인에 어떤 인증서가 사용되고 있는지 그리고 어떤 CNANE record를 사용해야는 확인할 수 있습니다. 해당 CNAME record를 확인해서 DNS에 설정만 해주면 바로 CDN서비스를 사용할 수 있게 됩니다.

 

지금까지 간단하게 서비스 생성에서 TLS Certificate의 설정까지 알아 봤습니다. 예전에는 인증서를 사용해서 테스트를 하고 싶어도 Paid Account가 아니면 불가능했지만 이제 Trial Account에서도 Domain 2개 까지는 인증서를 사용해서 테스트 할 수 있기 때문에, 특별히 요금을 지불하지 않더라도 더욱 더 실제 환경과 비슷하게 CDN테스트가 가능하게 되었습니다. CDN을 검토하시는 분들에게 도움이 되었으면 합니다. 긴 글 끝까지 읽어 주셔서 정말 감사합니다.