AWS Certificate Manager에서 프라이빗 인증서 갱신 - AWS 인증서 관리자
갱신된 인증서 내보내기 자동화관리형 갱신 테스트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Certificate Manager에서 프라이빗 인증서 갱신

AWS Private CA에서 프라이빗 CA가 서명한 ACM 인증서는 관리형 갱신에 적합합니다. 공개적으로 신뢰할 수 있는 ACM 인증서와 달리 프라이빗 PKI에 대한 인증서에는 검증이 필요하지 않습니다. 트러스트는 관리자가 클라이언트 트러스트 스토어에 적절한 루트 CA 인증서를 설치할 때 설정됩니다.

참고

ACM 콘솔 또는 ACM API의 RequestCertificate 작업을 사용하여 획득한 인증서만 관리형 갱신 자격이 있습니다. AWS Private CA API의 IssueCertificate 작업을 사용하여 AWS Private CA에서 직접 발급한 인증서는 ACM이 관리하지 않습니다.

관리형 인증서의 만료일이 60일 앞으로 다가오면 ACM은 인증서 자동 갱신을 시도합니다. 여기에는 수동으로 내보내고 설치한 인증서(예: 온프레미스 데이터 센터의 경우)가 포함됩니다. 또한 고객은 언제든지 ACM API의 RenewCertificate 작업을 사용하여 강제로 갱신할 수 있습니다. 강제 갱신의 Java 구현 샘플은 인증서 갱신 섹션을 참조하세요.

갱신 후 다음 중 한 가지 방법으로 인증서의 서비스가 배포됩니다.

갱신된 인증서 내보내기 자동화

다음 절차에서는 ACM이 인증서를 갱신할 때 프라이빗 PKI 인증서의 내보내기를 자동화하는 예제 솔루션을 제공합니다. 이 예제에서는 인증서와 해당 프라이빗 키만 ACM에서 내보냅니다. 내보낸 후에는 인증서를 대상 디바이스에 설치해야 합니다.

콘솔을 사용하여 인증서 내보내기 자동화

  1. AWS Lambda 개발자 안내서의 절차에 따라 ACM 내보내기 API를 호출하는 Lambda 함수를 생성하고 구성합니다.

    1. Lambda 함수를 생성합니다.

    2. 함수에 대해 Lambda 실행 역할을 생성하고 다음 신뢰 정책을 추가합니다. 정책은 ACM API의 ExportCertificate 작업을 호출하여 함수의 코드에 갱신된 인증서 및 프라이빗 키를 검색할 수 있는 권한을 부여합니다.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Amazon EventBridge에서 규칙을 생성하여 ACM 상태 이벤트를 수신하고 Lambda 함수가 감지되면 Lambda 함수를 호출합니다. ACM은 인증서 갱신을 시도할 때마다 AWS Health 이벤트에 기록합니다. 이러한 알림에 대한 자세한 내용은 Personal Health Dashboard(PHD)를 사용하여 상태 확인 섹션을 참조하세요.

    다음 이벤트 패턴을 추가하여 규칙을 구성합니다.

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. 대상 시스템에 인증서를 수동으로 설치하여 갱신 프로세스를 완료합니다.

프라이빗 PKI 인증서의 관리형 갱신 테스트

ACM API 또는 AWS CLI를 사용하여 ACM 관리형 갱신 워크플로의 구성을 수동으로 테스트할 수 있습니다. 이렇게 하면 인증서가 만료 전 ACM에 의해 자동으로 갱신되는지 확인할 수 있습니다.

참고

AWS Private CA에서 발급하고 내보낸 인증서의 갱신만 테스트할 수 있습니다.

아래에 설명된 API 작업 또는 CLI 명령을 사용하면 ACM이 인증서 갱신을 시도합니다. 갱신이 성공하면 ACM은 관리 콘솔 또는 API 출력에 표시된 인증서 메타데이터를 업데이트합니다. 인증서가 ACM 통합 서비스와 연결된 경우 새 인증서가 배포되고 Amazon CloudWatch Events에 갱신 이벤트가 생성됩니다. 갱신이 실패하면 ACM이 오류를 반환하고 해결 조치를 제안합니다. (이 정보는 describe-certificate 명령을 사용하여 볼 수 있음) 통합 서비스를 통해 인증서가 배포되지 않은 경우에도 인증서를 내보내고 리소스에 수동으로 설치해야 합니다.

중요

ACM으로 AWS Private CA 인증서를 갱신하려면, 먼저 ACM 서비스 보안 주체에 해당 권한을 부여해야 합니다. 자세한 내용은 ACM에 인증서 갱신 권한 할당을 참조하세요.

인증서 갱신(AWS CLI)을 수동으로 테스트하려면

  1. renew-certificate 명령을 사용하여 내보낸 사설 인증서를 갱신합니다.

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. 그런 다음 describe-certificate 명령을 사용하여 인증서의 갱신 세부 정보가 업데이트되었는지 확인합니다.

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
인증서 갱신을 수동으로 테스트하려면(ACM API)

  • RenewCertificate 요청을 보내어 갱신할 사설 인증서의 ARN을 지정합니다. 그런 다음 DescribeCertificate 작업을 사용하여 인증서의 갱신 세부 정보가 업데이트되었는지 확인합니다.