ACM인증서 특성

요청하는 공개 인증서는 아마존에서 관리하는 공인 인증 기관 (CA) 인 Amazon Trust Services에서 발급합니다. ACM Amazon 루트 CAs 1~4에는 Starfield G2 루트 인증 기관 - G2라는 오래된 루트가 상호 서명합니다. Starfield 루트는 최신 버전의 Gingerbread부터 시작하여 Android 기기에서 신뢰할 수 있으며 버전 4.1부터 iOS에서도 신뢰할 수 있습니다. 버전 11부터 iOS가 Amazon 루트를 신뢰합니다. Amazon 또는 Starfield 루트를 포함하는 모든 브라우저, 애플리케이션 또는 OS는 에서 ACM 발급한 공인 인증서를 신뢰합니다.

고객에게 ACM 발급하는 리프 또는 최종 엔티티 인증서는 Amazon Trust Services 루트 CA에서 여러 중간 인증서를 통해 권한을 얻습니다. CAs ACM요청된 인증서 유형 (또는) 에 따라 중간 CA를 무작위로 할당합니다. RSA ECDSA 요청이 생성된 후 중간 CA가 임의로 선택되므로 중간 CA 정보를 ACM 제공하지 않습니다.

ACM인증서는 구글 크롬, 마이크로소프트 인터넷 익스플로러와 마이크로소프트 엣지, 모질라 파이어폭스, 애플 사파리를 포함한 모든 주요 브라우저에서 신뢰됩니다. ACM인증서를 신뢰하는 브라우저가 인증서를 사용하는 사이트에 SSL TLS /로 연결되면 상태 표시줄이나 주소 표시줄에 자물쇠 아이콘이 표시됩니다. ACM ACMJava에서도 인증서를 신뢰합니다.

Amazon은 복원력이 뛰어나고 민첩한 인증서 인프라를 유지하기 위해 언제든지 사전 통지 없이 중간 CA를 중단하도록 선택할 수 있습니다. 이러한 종류의 변경은 고객에게 영향을 미치지 않습니다. 자세한 내용은 블로그 게시물 "Amazon introduces dynamic intermediate certificate authorities"(Amazon, 동적 중간 인증 기관 도입)를 참조하세요.

드문 경우이긴 하지만 Amazon에서 루트 CA를 중단하는 경우 상황에 따라 즉시 변경이 발생할 것입니다. 이러한 변경의 영향이 크기 때문에 Amazon은 계정 소유자에게 이메일을 보내고 기술 계정 관리자에게 연락하는 등 가능한 모든 메커니즘을 사용하여 AWS 고객에게 알릴 것입니다. AWS Health Dashboard

최종 엔티티 인증서를 더 이상 신뢰할 수 없는 경우 해당 인증서가 해지됩니다. OCSP및 CRLs 는 인증서 취소 여부를 확인하는 데 사용되는 표준 메커니즘입니다. OCSP및 CRLs 는 해지 정보를 게시하는 데 사용되는 표준 메커니즘입니다. 이러한 메커니즘이 작동하도록 하기 위해 일부 고객 방화벽에는 추가 규칙이 필요할 수 있습니다.

다음 예제 URL 와일드카드 패턴을 사용하여 해지 트래픽을 식별할 수 있습니다. 별표(*) 와일드카드는 하나 이상의 영숫자 문자에 해당하고, 물음표(?)는 단일 영숫자를 나타내고, 해시 마크(#)는 숫자를 나타냅니다.

ACM 인증서의 도메인을 검증합니다. 즉, ACM 인증서의 제목 필드는 도메인 이름만 식별할 수 있습니다. ACM인증서를 요청할 때는 요청에 지정한 모든 도메인을 소유하고 있거나 제어하고 있는지 확인해야 합니다. 이메일 또는 를 사용하여 소유권을 검증할 수 DNS 있습니다. 자세한 내용은 이메일 검증 및 DNS유효성 검사 단원을 참조하세요.

ACM인증서 유효 기간은 13개월 (395일) 입니다.

ACM인증서를 갱신하고 갱신한 후 ACM 인증서를 제공하는 프로세스를 관리합니다. 자동 갱신을 사용하면 잘못된 구성, 취소 또는 만료된 인증서로 인한 가동 중지를 방지할 수 있습니다. 자세한 내용은 ACM인증서에 대한 관리형 갱신 단원을 참조하십시오.

각 ACM 인증서에는 최소한 하나의 정규화된 도메인 이름 (FQDN) 이 포함되어야 하며, 원하는 경우 이름을 더 추가할 수 있습니다. 예를 들어, ACM 인증서를 생성할 때 고객이 두 이름 중 하나를 사용하여 사이트에 접속할 수 있도록 www.example.net 하려면 이름을 추가할 수도 있습니다. www.example.com 이는 베어 도메인(zone apex 또는 naked 도메인이라고도 함)의 경우데 마찬가지입니다. 즉, www.example.com에 대한 ACM 인증서를 요청하고 example.com이라는 이름을 추가할 수 있습니다. 자세한 내용은 퍼블릭 인증서 요청 단원을 참조하십시오.

ACM도메인 이름에 별표 (*) 를 사용하여 동일한 도메인의 여러 사이트를 보호할 수 있는 와일드카드 이름이 포함된 ACM 인증서를 만들 수 있습니다. 예를 들어 *.example.com은 www.example.com 및 images.example.com을 보호합니다.

인증서는 반드시 알고리즘과 키 크기를 지정해야 합니다. 현재 에서는 다음과 같은 RSA 타원 곡선 디지털 서명 알고리즘 (ECDSA) 공개 키 알고리즘을 지원합니다. ACM ACM별표 (*) 로 표시된 알고리즘을 사용하여 새 인증서 발급을 요청할 수 있습니다. 나머지 알고리즘은 가져온 인증서에 대해서만 지원됩니다.

ECDSA키는 더 작아서 키에 필적하는 RSA 보안을 제공하지만 컴퓨팅 효율성은 더 높습니다. 그러나 모든 네트워크 클라이언트에서 지원되는 ECDSA 것은 아닙니다. 에서 NIST발췌한 다음 표에는 다양한 크기의 키의 대표적인 보안 강도가 RSA 나와 ECDSA 있습니다. 모든 값에 대한 단위는 비트입니다.

2의 거듭제곱으로 이해되는 보안 강도는 암호화를 해제하는 데 필요한 추측의 수와 연관되어 있습니다. ^{예를 들어, 3072비트 키와 256비트 RSA ECDSA 키 모두 최대 2 128 추측으로 검색할 수 있습니다.}

알고리즘 선택에 도움이 되는 자세한 내용은 인증서 평가 및 사용 방법에 대한 AWS 블로그 게시물을 참조하십시오. ECDSA AWS Certificate Manager

다국어 도메인 이름과 관련된 다음 Punycode 요구 사항을 충족해야 합니다.

유의할 사항: