CA 인증서 설치 - AWS Private Certificate Authority
호환되는 서명 알고리즘루트 CA 인증서 설치에서 호스팅하는 하위 CA 인증서 설치 AWS Private CA외부 상위 CA가 서명한 하위 CA 인증서 설치

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CA 인증서 설치

사설 CA 인증서를 생성 및 설치하려면 다음 절차를 수행하십시오. 그러면 CA를 사용할 준비가 완료됩니다.

AWS Private CA 는 CA 인증서를 설치하기 위한 세 가지 시나리오를 지원합니다.

  • 에서 호스팅하는 루트 CA에 대한 인증서 설치 AWS Private CA

  • 상위 기관이 AWS Private CA에 의해 호스팅되는 하위 CA 인증서 설치

  • 상위 기관이 외부에서 호스팅되는 하위 CA 인증서 설치

다음 단원에서는 각 시나리오에 대한 절차에 대해 설명합니다. 콘솔 절차는 콘솔 페이지 프라이빗 CAs에서 시작됩니다.

호환되는 서명 알고리즘

CA 인증서에 대한 서명 알고리즘 지원은 상위 CA의 서명 알고리즘과 AWS 리전에 따라 달라집니다. 다음 제약 조건은 콘솔과 AWS CLI 작업 모두에 적용됩니다.

  • RSA 서명 알고리즘이 있는 상위 CA는 다음 알고리즘으로 인증서를 발급할 수 있습니다.

    • SHA256 RSA

    • SHA384 RSA

    • SHA512 RSA

  • 레거시 에서 EDCSA 서명 알고리즘이 있는 상위 CA AWS 리전는 다음 알고리즘으로 인증서를 발급할 수 있습니다.

    • SHA256 ECDSA

    • SHA384 ECDSA

    • SHA512 ECDSA

    레거시에는 다음이 AWS 리전 포함됩니다.

    지역명

    지리적 위치

    eu-north-1

    유럽(스톡홀름)

    me-south-1

    중동(바레인)

    ap-south-1

    아시아 태평양(뭄바이)

    eu-west-3

    유럽(파리)

    us-east-2

    미국 동부(오하이오)

    af-south-1

    아프리카(케이프타운)

    eu-west-1

    유럽(아일랜드)

    eu-central-1

    유럽(프랑크푸르트)

    sa-east-1

    남아메리카(상파울루)

    ap-east-1

    아시아 태평양(홍콩)

    us-east-1

    미국 동부(버지니아 북부)

    ap-northeast-2

    아시아 태평양(서울)

    eu-west-2

    유럽(런던)

    ap-northeast-1

    아시아 태평양(도쿄)

    us-gov-east-1

    AWS GovCloud (미국 동부)

    us-gov-west-1

    AWS GovCloud (미국 서부)

    us-west-2

    미국 서부(오레곤)

    us-west-1

    미국 서부(캘리포니아 북부)

    ap-southeast-1

    아시아 태평양(싱가포르)

    ap-southeast-2

    아시아 태평양(시드니)

  • 비레거시 에서는 AWS 리전에 다음 규칙이 적용됩니다EDCSA.

    • EC_prime256v1 서명 알고리즘이 있는 상위 CA는 ECDSA P256으로 인증서를 발급할 수 있습니다.

    • EC_secp384r1 서명 알고리즘이 있는 상위 CA는 ECDSA P384로 인증서를 발급할 수 있습니다.

루트 CA 인증서 설치

AWS Management Console 또는 에서 루트 CA 인증서를 설치할 수 있습니다 AWS CLI.

프라이빗 루트 CA(콘솔)에 대한 인증서를 생성 및 설치하는 방법

  1. (선택 사항) CA의 세부 정보 페이지에 아직 없는 경우 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA 콘솔을 엽니다. 프라이빗 인증 기관 페이지에서 보류 중인 인증서 또는 활성 상태인 루트 CA를 선택합니다.

  2. 작업, CA 인증서 설치를 선택하여 루트 CA 인증서 설치 페이지를 엽니다.

  3. 루트 CA 인증서 파라미터 지정에서 다음과 같은 인증서 파라미터를 지정합니다.

    설정이 올바른지 검토한 다음 확인 및 설치를 선택합니다.CA에 CSR 대한 를 AWS Private CA 내보내고 루트 CA 인증서 템플릿 을 사용하여 인증서를 생성한 다음 인증서를 자체 서명합니다. AWS Private CA 그런 다음 자체 서명된 루트 CA 인증서를 가져옵니다.

  4. CA의 세부 정보 페이지 상단에 설치 상태(성공 또는 실패)가 표시됩니다. 설치가 성공하면 새로 완료된 루트 CA의 일반 창에 활성 상태가 표시됩니다.

프라이빗 루트 CA에 대한 인증서를 생성 및 설치하는 방법(AWS CLI)

  1. 인증서 서명 요청()을 생성합니다CSR.

    $ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --output text \
     --region region > ca.csr

    base64 형식으로 인코딩된 파일ca.csr인 결과 PEM 파일 의 모양은 다음과 같습니다.

    -----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

    열기SSL를 사용하여 의 내용을 보고 확인할 수 있습니다CSR.

    openssl req -text -noout -verify -in ca.csr

    그러면 다음과 유사한 출력이 생성됩니다.

    verify OK
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
         0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
         7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
         9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
         bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
         81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
         b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
         6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
         54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
         9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
         9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
         3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
         66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
         31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
         e9:75:4a:e4

  2. 이전 단계의 CSR를 --csr 파라미터에 대한 인수로 사용하여 루트 인증서를 발급합니다.

    참고

    AWS CLI 버전 1.6.3 이상을 사용하는 경우 필요한 입력 파일을 지정할 fileb:// 때 접두사를 사용합니다. 이렇게 하면 가 Base64-encoded 데이터를 올바르게 AWS Private CA 구문 분석할 수 있습니다.

    $ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --csr file://ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
     --validity Value=365,Type=DAYS

  3. 루트 인증서를 검색합니다.

    $ aws acm-pca get-certificate \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
	--output text > cert.pem

    base64 형식으로 인코딩된 파일cert.pem인 결과 PEM 파일 의 모양은 다음과 같습니다.

    -----BEGIN CERTIFICATE-----
MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw
bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF
U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO
BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt
MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT
YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G
A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7
t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow
cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu
b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU
BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x
bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4
YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E
FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3
DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc
g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2
t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid
Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX
2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W
YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4
-----END CERTIFICATE-----

    OpenSSL을 사용하여 인증서의 내용을 보고 확인할 수 있습니다.

    openssl x509 -in cert.pem -text -noout

    그러면 다음과 유사한 출력이 생성됩니다.

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Validity
            Not Before: Mar  8 15:46:27 2021 GMT
            Not After : Mar  8 16:46:27 2022 GMT
        Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
                    b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
                    09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
                    6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
                    3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
                    0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
                    52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
                    86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
                    6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
                    48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
                    f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
                    c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
                    df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
                    6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
                    c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
                    5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
                    b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
                    7b:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
         8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
         5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
         a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
         aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
         cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
         4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
         11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
         b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
         78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
         57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
         92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
         48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
         e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
         d3:69:5c:38

  4. 루트 CA 인증서를 가져와서 CA에 설치합니다.

    참고

    AWS CLI 버전 1.6.3 이상을 사용하는 경우 필요한 입력 파일을 지정할 fileb:// 때 접두사를 사용합니다. 이렇게 하면 가 Base64-encoded 데이터를 올바르게 AWS Private CA 구문 분석할 수 있습니다.

    $ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --certificate file://cert.pem

CA의 새 상태를 검사합니다.

$ aws acm-pca describe-certificate-authority \
	--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
	--output json

이제 상태가 ACTIVE로 표시됩니다.

{
    "CertificateAuthority": {
        "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
        "CreatedAt": "2021-03-05T14:24:12.867000-08:00",
        "LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
        "Type": "ROOT",
        "Serial": "serial_number",
        "Status": "ACTIVE",
        "NotBefore": "2021-03-08T07:46:27-08:00",
        "NotAfter": "2022-03-08T08:46:27-08:00",
        "CertificateAuthorityConfiguration": {
            "KeyAlgorithm": "RSA_2048",
            "SigningAlgorithm": "SHA256WITHRSA",
            "Subject": {
                "Country": "US",
                "Organization": "Example Corp",
                "OrganizationalUnit": "Sales",
                "State": "WA",
                "CommonName": "www.example.com",
                "Locality": "Seattle"
            }
        },
        "RevocationConfiguration": {
            "CrlConfiguration": {
                "Enabled": true,
                "ExpirationInDays": 7,
                "CustomCname": "alternative.example.com",
                "S3BucketName": "amzn-s3-demo-bucket"
            },
            "OcspConfiguration": {
                "Enabled": false
            }
        }
    }
}

에서 호스팅하는 하위 CA 인증서 설치 AWS Private CA

AWS Management Console 를 사용하여 호스팅된 하위 CA에 대한 인증서를 생성하고 설치할 수 있습니다 AWS Private CA .

AWS Private CA 호스팅된 하위 CA에 대한 인증서를 생성하고 설치하려면

  1. (선택 사항) CA의 세부 정보 페이지에 아직 없는 경우 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA 콘솔을 엽니다. 프라이빗 인증 기관 페이지에서 보류 중인 인증서 또는 활성 상태인 하위 CA를 선택합니다.

  2. 작업, CA 인증서 설치를 선택하여 하위 CA 인증서 설치 페이지를 엽니다.

  3. 하위 CA 인증서 설치 페이지의 CA 유형 선택에서 에서 관리하는 인증서를 설치AWS Private CA하도록 선택합니다 AWS Private CA.

  4. 상위 CA 선택 아래의 상위 프라이빗 CA 목록에서 CA를 선택합니다. 목록은 필터링되어 다음 기준을 충족하는 CAs 를 표시합니다.

    • 해당 CA에 대한 사용 권한이 있습니다.

    • CA는 자체적으로 서명하지 않습니다.

    • CA의 상태가 ACTIVE입니다.

    • CA 모드는 GENERAL_PURPOSE입니다.

  5. 하위 CA 인증서 파라미터 지정에서 다음과 같은 인증서 파라미터를 지정합니다.

    • 유효성 - CA 인증서의 만료 날짜 및 시간을 지정합니다.

    • 서명 알고리즘 - 루트 CA가 새 인증서를 발급할 때 사용할 서명 알고리즘을 지정합니다. 옵션은 다음과 같습니다.

      • SHA256 RSA

      • SHA384 RSA

      • SHA512 RSA

    • 경로 길이 - 새 인증서에 서명할 때 하위 CA가 추가할 수 있는 신뢰 계층 수입니다. 경로 길이가 0(기본값)이면 CA 인증서가 아닌 최종 엔터티 인증서만 생성될 수 있음을 의미합니다. 하나 이상의 경로 길이는 하위 CA가 인증서를 발급하여 추가 CAs 하위 CA를 생성할 수 있음을 의미합니다.

    • 템플릿 ARN - 이 CA 인증서에 대한 구성 템플릿ARN의 를 표시합니다. 지정된 경로 길이를 변경하면 템플릿이 변경됩니다. CLI issue-certificate 명령 또는 API IssueCertificate 작업을 사용하여 인증서를 생성하는 경우 를 ARN 수동으로 지정해야 합니다. 사용 가능한 CA 인증서 템플릿에 대한 자세한 내용은 AWS Private CA 인증서 템플릿 사용 단원을 참조하십시오.

  6. 설정이 올바른지 검토한 다음 확인 및 설치를 선택합니다. 를 AWS Private CA 내보내고 하위 CA 인증서 템플릿 을 사용하여 인증서를 CSR생성한 다음 선택한 상위 CA로 인증서에 서명합니다. AWS Private CA 그런 다음 서명된 하위 CA 인증서를 가져옵니다.

  7. CA의 세부 정보 페이지 상단에 설치 상태(성공 또는 실패)가 표시됩니다. 설치가 성공하면 새로 완료된 하위 CA의 일반 창에 활성 상태가 표시됩니다.

외부 상위 CA가 서명한 하위 CA 인증서 설치

에 설명된 대로 하위 프라이빗 CA를 생성한 후 외부 서명 기관에서 서명한 CA 인증서를 설치하여 활성화에서 프라이빗 CA 생성 AWS Private CA할 수 있습니다. 외부 CA로 하위 CA 인증서를 서명하려면 먼저 외부 신뢰 서비스 공급자를 서명 기관으로 설정하거나 타사 공급자를 사용하도록 설정해야 합니다.

참고

외부 신뢰 서비스 공급자를 생성하거나 얻는 절차는 이 설명서에서는 다루지 않습니다.

하위 CA를 만들고 외부 서명 기관에 액세스할 수 있게 되면 다음 작업을 완료합니다.

  1. 에서 인증서 서명 요청(CSR)을 가져옵니다 AWS Private CA.

  2. 외부 서명 기관에 CSR를 제출하고 체인 인증서와 함께 서명된 CA 인증서를 가져옵니다.

  3. CA 인증서를 가져오고 로 연결하여 하위 CA AWS Private CA 를 활성화합니다.

자세한 절차는 외부에서 서명된 프라이빗 CA 인증서 사용 섹션을 참조하십시오.