자동 갱신은 발급 명령이 아니라 검증, 배포, 관측의 루프다
Certbot이나 클라우드 CA가 갱신을 대신 실행해도 운영자는 도메인 검증이 가능한지, 새 인증서가 실제 서비스에 반영됐는지, 실패를 만료 전에 볼 수 있는지 확인해야 합니다.
01
만료 임박 감지
예: 30일 이하
스케줄러가 갱신 대상 인증서를 찾습니다.
02
도메인 검증
HTTP-01 또는 DNS-01
CA가 이 서버나 DNS 영역을 제어하는지 확인합니다.
03
새 인증서 발급
ACME order 완료
키와 체인을 저장하고 기존 인증서와 교체 준비를 합니다.
04
서비스 반영
reload 또는 LB 배포
Nginx, 로드 밸런서, CDN이 새 체인을 사용해야 합니다.
05
관측과 알림
만료 전 재시도
실패 로그, 만료일, 외부 접속 검사를 알림으로 묶습니다.
DNS-01 위임
CNAME 위임은 검증 레코드만 다른 영역으로 넘긴다
_acme-challenge.example.com
CNAME _acme-challenge.acme.example.net.
acme.example.net
자동화 계정이 TXT 값을 쓰는 별도 DNS 영역
주의
CNAME 이름에는 TXT/A 같은 다른 레코드를 같이 두지 않습니다.
구간
확인 지점
실패 신호
DNS 검증
TXT 전파 시간, CNAME 위임 대상, API 권한
NXDOMAIN, 기존 TXT 잔존, 권한 오류
HTTP 검증
80번 포트, 리버스 프록시, challenge 경로
방화벽 차단, CDN 캐시, redirect 오동작
배포
인증서 파일 권한, reload hook, LB/CDN 반영
파일만 바뀌고 실제 TLS 체인은 그대로임
관측
외부 만료일 검사, 갱신 로그, 알림 임계값
만료 7일 이하인데 성공 이벤트가 없음