이 페이지 정보

· 동일한 하위 도메인의 SSL 인증서의 DNS 인증은 AWS의 다른 리전별로 CNAME 레코드를 등록할 필요가 없음을 확인합니다.

경위

・전날, 고객의 환경에서 파일 업로드하면 「504 Gateway Timeout Error」가 발생해, 원인이 CloudFront의 「Origin Request Timeout」값이 30초이었기 때문이었습니다.
당치의 상한은 60초(AWS 상한 완화 신청으로 60초 이상으로 상한을 올리는 것은 가능하지만 몇 초까지 상한 완화할 수 있을지는 모릅니다..) 이었으므로, 이하 구성으로 변경하려고 하게 된다 네.
(CLB의 "Idle Timeout"값을 600초로 설정하면 504 오류를 해결할 수 있다고 생각했기 때문에.)

・변경 전

・변경 후


CloudFront용 SSL 인증서 발급은 버지니아 북부 지역에서 발급되었으며 CLB를 배치하는 지역이 도쿄 지역이었기 때문에 도쿄 지역에서 별도로 인증서를 발급해야 했습니다.
그 때, 인증서의 검증을 DNS에서 실시하려고 생각하고 있었습니다만, 버지니아 북부와 동일한 CNAME 레코드가 발행되었기 때문에, Route53에 DNS 검증용 CNAME 레코드의 등록은 실시할 필요가 없는 것을 처음으로 알고 기사로하기로 결정했습니다.

검증

1. 지역 "버지니아 북부"에서 하위 도메인에 대한 SSL 인증서를 발급합니다.

2. "1"은 CNAME 레코드를 발행합니다 (DNS 서버에 레코드를 등록하지 않았기 때문에 유효성 검사 상태가 "확인 보류 중"임).

3. 확인 CNAME 레코드를 Route53에 등록합니다.

4. 잠시 후 Route53에 CNAME 레코드를 등록했으므로 유효성 검사 상태가 '성공'이 되었습니다.

5. 다음은 지역 "도쿄"에서 동일한 하위 도메인의 SSL 인증서를 발행합니다.

6. 지역 "버지니아 북부"와 마찬가지로 검증 상태는 "검증 보류 중"입니다.

7. 잠시 후(Route53에 CNAME 레코드를 등록하지 않은 상태에서) 유효성 검사 상태가 "성공"이 되었습니다.

후기

DNS 서버에의 레코드 등록은, 다른 회사가 관리하고 있는 경우, 매번 레코드의 등록을 의뢰해야 하기 때문에 번거롭습니다.
이번 지식에 의해, 쓸데없는 레코드 등록 의뢰를 하지 않고 끝난 것 같습니다(이번, 레코드 등록 의뢰를 하고, 나중에 굳어졌습니다만..).
다만, 왜 리전마다 다른 CNAME 레코드가 토출되지 않는지를 이해할 수 없기 때문에 공부하는 방법이 있다고 하는 것이 현상입니다(1 서브 도메인당 1 CNAME 레코드인가..??).