와일드카드 SSL 인증서 — 설정 방법과 주의사항

문제

여러 서브도메인을 하나의 SSL 인증서로 보호하고 싶은데, 와일드카드 인증서가 어떻게 작동하는지, 내 상황에 맞는지 확실하지 않습니다.

와일드카드 SSL 작동 원리

• *.example.com 와일드카드 인증서는 한 단계 서브도메인만 보호합니다.
• 커버됨: www.example.com, api.example.com, app.example.com
• 커버 안 됨: example.com (루트), staging.api.example.com (2단계)

TOP 3 실수

1. 루트 도메인이 자동 커버된다고 착각 — SAN 목록을 반드시 확인. 대부분의 CA가 example.com + *.example.com을 포함하지만 일부는 그렇지 않음.
2. 다단계 서브도메인 — *.example.com은 a.b.example.com에 매칭되지 않음. 별도 인증서 또는 멀티-SAN 인증서가 필요.
3. DNS-01 챌린지 자동화 실패 — Let’s Encrypt 와일드카드는 DNS-01 인증이 필수. DNS 공급자가 API 기반 TXT 레코드 업데이트를 지원하지 않으면 자동 갱신이 실패.

DechoNet으로 진단

• SSL 점검 — 인증서의 SAN 목록을 확인하여 어떤 도메인이 커버되는지 검증합니다.
• DNS 조회 — Let’s Encrypt 인증용 _acme-challenge TXT 레코드가 존재하는지 확인합니다.

해결 체크리스트

• 와일드카드 인증서의 SAN에 *.example.com과 example.com 둘 다 포함되어 있는지 확인.
• 다단계 서브도메인이 필요하면 별도 인증서 또는 멀티-SAN 인증서 발급.
• DNS 공급자 API(Cloudflare, Route53 등)로 DNS-01 챌린지 자동화 설정.
• certbot 또는 ACME 클라이언트로 자동 갱신을 설정하고 --dry-run으로 테스트.
• 설치 후 DechoNet SSL 점검으로 전체 체인을 검증.