기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에서 프라이빗 CA 업데이트 AWS Private Certificate Authority
프라이빗 CA의 상태를 업데이트하거나 CA를 생성한 후 해지 구성을 변경할 수 있습니다. 이 주제에서는 콘솔 및 에 대한 CLI 업데이트의 예와 함께 CA 상태 및 CA 수명 주기에 대한 세부 정보를 제공합니다CAs.
CA 업데이트(콘솔)
다음 절차는 AWS Management Console를 사용하여 기존 CA 구성을 업데이트하는 방법을 보여줍니다.
CA 상태 업데이트(콘솔)
이 예제에서는 활성화된 CA의 상태가 비활성화로 변경됩니다.
CA의 상태를 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서
AWS Private CA 콘솔을 엽니다. -
프라이빗 인증 기관 페이지의 목록에서 현재 활성화된 프라이빗 CA를 선택합니다.
-
작업 메뉴에서 비활성화를 선택하여 프라이빗 CA를 비활성화합니다.
CA의 해지 구성 업데이트(콘솔)
예를 들어 OCSP 또는 CRL 지원을 추가 또는 제거하거나 설정을 수정하여 프라이빗 CA의 취소 구성을 업데이트할 수 있습니다.
참고
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
의 경우 다음 설정을 OCSP변경합니다.
-
를 활성화 또는 비활성화합니다OCSP.
-
OCSP 정규화된 사용자 지정 도메인 이름()을 활성화 또는 비활성화합니다FQDN.
-
를 변경합니다FQDN.
의 경우 다음 설정 중 하나를 변경할 CRL수 있습니다.
-
프라이빗 CA가 인증서 해지 목록을 생성하는지 여부(CRL)
-
가 CRL 만료되기 전 일수입니다. 는 지정한 일수의 1/2CRL에서 를 재생성하려고 AWS Private CA 시도합니다.
-
이 저장된 Amazon S3 버킷의 이름CRL입니다.
-
Amazon S3 버킷의 이름을 공개적으로 볼 수 없도록 숨기는 별칭입니다.
중요
위의 파라미터를 변경하면 부정적인 영향을 미칠 수 있습니다. 예를 들어 프라이빗 CA를 프로덕션에 배치한 후 CRL 생성 비활성화, 유효 기간 변경 또는 S3 버킷 변경이 있습니다. 이러한 변경으로 인해 CRL 및 현재 CRL 구성에 의존하는 기존 인증서가 손상될 수 있습니다. 이전 별칭이 올바른 버킷에 연결되어 있는 한 별칭을 안전하게 변경할 수 있습니다.
해지 설정을 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서
AWS Private CA 콘솔을 엽니다. -
프라이빗 인증 기관 페이지의 목록에서 프라이빗 CA를 선택합니다. 그러면 CA의 세부 정보 패널이 열립니다.
-
해지 구성 탭을 선택한 다음 편집을 선택합니다.
-
인증서 해지 옵션에는 두 가지 옵션이 표시됩니다.
-
CRL 배포 활성화
-
켜기 OCSP
CA에 대해 이러한 해지 옵션을 둘 중 하나 또는 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 모범 사례로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 AWS Private CA 인증서 취소 방법 계획 섹션을 참조하세요.
-
-
CRL 배포 활성화 를 선택합니다.
-
CRL 항목에 대한 Amazon S3 버킷을 생성하려면 새 S3 버킷 생성을 선택합니다. 고유한 버킷 이름을 제공합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 이 옵션을 선택하지 않고 S3 버킷 이름 목록에서 기존 버킷을 선택합니다.
새 버킷을 생성하는 경우 는 필요한 액세스 정책을 AWS Private CA 생성하고 이에 연결합니다. 기존 버킷을 사용하기로 결정한 경우 를 생성하기 전에 액세스 정책을 연결해야 합니다CRLs. Amazon S3CRLs에서 에 대한 액세스 정책 에 설명된 정책 패턴 중 하나를 사용합니다. 정책 연결에 대한 자세한 내용은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.
참고
AWS Private CA 콘솔을 사용하는 경우 다음 두 조건이 모두 적용되는 경우 CA 생성 시도가 실패합니다.
-
Amazon S3 버킷 또는 계정에 퍼블릭 액세스 차단 설정을 적용하고 있습니다.
-
Amazon S3 버킷을 자동으로 생성 AWS Private CA 하도록 요청했습니다.
이 경우 콘솔은 기본적으로 공개적으로 액세스할 수 있는 버킷을 만들려고 시도하지만 Amazon S3는 이 작업을 거부합니다. 이 경우 Amazon S3 설정을 확인하합니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요.
-
-
추가 구성 옵션을 보려면 고급을 확장합니다.
-
사용자 지정 CRL 이름을 추가하여 Amazon S3 버킷의 별칭을 생성합니다. 이 이름은 RFC5280으로 정의된 “CRL배포 지점” 확장의 CA에서 발급한 인증서에 포함됩니다.
-
가 유효CRL하게 유지되는 일수를 입력합니다. 기본값은 7일입니다. 온라인 의 경우 CRLs2~7일의 유효 기간이 일반적입니다. 지정된 기간의 중간 CRL 지점에서 를 재생성하려고 AWS Private CA 시도합니다.
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.
-
인증서 취소 페이지에서 켜기를 OCSP선택합니다.
-
(선택 사항) 사용자 지정 OCSP 엔드포인트 필드에 OCSP 엔드포인트의 정규화된 도메인 이름(FQDN)을 입력합니다.
이 필드에 FQDN 를 제공하면 는 응답기의 기본값 대신 발급된 각 인증서의 권한 정보 액세스 확장FQDN에 URL 를 AWS Private CA AWS OCSP 삽입합니다. 엔드포인트가 사용자 지정 가 포함된 인증서를 수신하면 해당 에서 OCSP 응답을 FQDN쿼리합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
-
프록시 서버를 사용하여 사용자 지정 AWS OCSP에 도착하는 트래픽을 FQDN 응답기에 전달합니다.
-
DNS 데이터베이스에 해당 CNAME 레코드를 추가합니다.
작은 정보
사용자 지정 를 사용하여 전체 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 섹션을 CNAME참조하세요OCSP URL 에 대한 사용자 지정 AWS Private CA.
예를 들어 Amazon Route 53에 표시되는 OCSP 대로 사용자 지정된 에 대한 CNAME 레코드가 여기에 있습니다.
레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상 alternative.example.com
CNAME 간편함 - proxy.example.com 참고
의 값에는 “http://" 또는 “ 같은 프로토콜 접두사가 포함되어CNAME서는 안 https://".
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.
CA 업데이트(CLI)
다음 절차는 AWS CLI를 사용하여 기존 CA의 상태 및 해지 구성을 업데이트하는 방법을 보여줍니다.
참고
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
프라이빗 CA의 상태를 업데이트하는 방법(AWS CLI)
update-certificate-authority 명령을 사용합니다.
이는 상태 DISABLED를 ACTIVE로 설정하려는 기존 CA가 있을 때 유용합니다. 시작하려면 다음 명령을 사용하여 CA의 초기 상태를 확인합니다.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
결과로 다음과 유사한 출력이 반환됩니다.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}다음 명령은 프라이빗 CA의 상태를 ACTIVE로 설정합니다. 이는 CA에 유효한 인증서가 설치된 경우에만 가능합니다.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
CA의 새 상태를 검사합니다.
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
이제 상태가 ACTIVE로 표시됩니다.
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}해지 메커니즘이 구성되어 있지 않은 활성 CA가 있기도 합니다. 인증서 취소 목록(CRL) 사용을 시작하려면 다음 절차를 사용합니다.
기존 CACRL에 를 추가하려면(AWS CLI)
-
CA의 현재 상태를 검사하려면 다음 명령을 사용합니다.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json출력은 CA에 상태가 있지만 를 사용하도록 구성되지
ACTIVE않았음을 확인합니다CRL.{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
와 같은 이름으로 파일을 생성하고 저장
revoke_config.txt하여 CRL 구성 파라미터를 정의합니다.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }참고
Matter 디바이스 인증 CA를 업데이트하여 를 활성화CRLs할 때는 현재 Matter 표준을 준수하도록 발급된 인증서에서 CDP 확장을 생략하도록 구성해야 합니다. 이렇게 하려면 아래 그림과 같이 CRL 구성 파라미터를 정의합니다.
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
update-certificate-authority 명령과 취소 구성 파일을 사용하여 CA를 업데이트합니다.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA의 상태를 다시 검사합니다.
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json출력은 CA가 이제 를 사용하도록 구성되어 있음을 확인합니다CRL.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }경우에 따라 이전 절차에서와 CRL 같이 를 활성화하는 대신 OCSP 취소 지원을 추가해야 할 수 있습니다. 이 경우 다음 단계를 사용합니다.
기존 CA에 OCSP 지원을 추가하려면(AWS CLI)
-
와 같은 이름으로 파일을 생성하고 저장
revoke_config.txt하여 OCSP 파라미터를 정의합니다.{ "OcspConfiguration":{ "Enabled":true } } -
update-certificate-authority 명령과 취소 구성 파일을 사용하여 CA를 업데이트합니다.
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA의 상태를 다시 검사합니다.
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json출력은 CA가 이제 를 사용하도록 구성되었음을 확인합니다OCSP.
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
참고
CA에서 CRL 및 OCSP 지원을 모두 구성할 수도 있습니다.
