기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에서 프라이빗 CA 업데이트 AWS Private Certificate Authority
프라이빗 CA의 상태를 업데이트하거나 CA를 생성한 후 해지 구성을 변경할 수 있습니다. 이 주제에서는 CA 상태 및 CA 수명 주기에 대한 세부 정보와 Word에 대한 콘솔 및 CLI 업데이트의 예를 제공합니다CAs.
CA 업데이트(콘솔)
다음 절차는 AWS Management Console를 사용하여 기존 CA 구성을 업데이트하는 방법을 보여줍니다.
CA 상태 업데이트(콘솔)
이 예제에서는 활성화된 CA의 상태가 비활성화로 변경됩니다.
CA의 상태를 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/ 홈
에서 AWS Private CA 콘솔을 엽니다. -
프라이빗 인증 기관 페이지의 목록에서 현재 활성화된 프라이빗 CA를 선택합니다.
-
작업 메뉴에서 비활성화를 선택하여 프라이빗 CA를 비활성화합니다.
CA의 해지 구성 업데이트(콘솔)
예를 들어 Word 또는 OCSP CRL 지원을 추가 또는 제거하거나 설정을 수정하여 프라이빗 CA의 취소 구성을 업데이트할 수 있습니다.
참고
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
OCSP의 경우 다음 설정을 변경합니다.
-
OCSP를 활성화 또는 비활성화합니다.
-
사용자 지정 OCSP 정규화 도메인 이름(FQDN)을 활성화 또는 비활성화합니다.
-
FQDN를 변경합니다.
CRL의 경우 다음 설정 중 하나를 변경할 수 있습니다.
-
프라이빗 CA가 인증서 해지 목록을 생성하는지 여부(CRL)
-
CRL가 만료되기까지의 일수입니다. AWS Private CA 는 지정한 일수의 ½에서 CRL를 재생성하려고 시도합니다.
-
CRL가 저장된 Amazon S3 버킷의 이름입니다.
-
Amazon S3 버킷의 이름을 공개적으로 볼 수 없도록 숨기는 별칭입니다.
중요
위의 파라미터를 변경하면 부정적인 영향을 미칠 수 있습니다. 예를 들어, 프라이빗 CA를 프로덕션에 배치한 후 CRL 생성 비활성화, 유효 기간 변경 또는 S3 버킷 변경이 있습니다. 이러한 변경은 CRL 및 현재 CRL 구성에 따라 기존 인증서를 손상시킬 수 있습니다. 이전 별칭이 올바른 버킷에 연결되어 있는 한 별칭을 안전하게 변경할 수 있습니다.
해지 설정을 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/ 홈
에서 AWS Private CA 콘솔을 엽니다. -
프라이빗 인증 기관 페이지의 목록에서 프라이빗 CA를 선택합니다. 그러면 CA의 세부 정보 패널이 열립니다.
-
해지 구성 탭을 선택한 다음 편집을 선택합니다.
-
인증서 해지 옵션에는 두 가지 옵션이 표시됩니다.
-
CRL 배포 활성화
-
OCSP 켜기
CA에 대해 이러한 해지 옵션을 둘 중 하나 또는 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 모범 사례로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 AWS Private CA 인증서 취소 방법 계획 섹션을 참조하세요.
-
-
CRL 배포 활성화를 선택합니다.
-
CRL 항목에 대한 Amazon S3 버킷을 생성하려면 새 S3 버킷 생성을 선택합니다. 고유한 버킷 이름을 제공합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 이 옵션을 선택하지 않고 S3 버킷 이름 목록에서 기존 버킷을 선택합니다.
새 버킷을 생성하는 경우는 필요한 액세스 정책을 AWS Private CA 생성하고 여기에 연결합니다. 기존 버킷을 사용하기로 결정한 경우 CRLs 생성을 시작하기 전에 액세스 정책을 연결해야 합니다. Amazon S3CRLs에서 에 대한 액세스 정책 에 설명된 정책 패턴 중 하나를 사용합니다. 정책 연결에 대한 자세한 내용은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.
참고
AWS Private CA 콘솔을 사용하는 경우 다음 두 조건이 모두 적용되는 경우 CA 생성 시도가 실패합니다.
-
Amazon S3 버킷 또는 계정에 퍼블릭 액세스 차단 설정을 적용하고 있습니다.
-
Amazon S3 버킷을 자동으로 생성 AWS Private CA 하도록 요청했습니다.
이 경우 콘솔은 기본적으로 공개적으로 액세스할 수 있는 버킷을 만들려고 시도하지만 Amazon S3는 이 작업을 거부합니다. 이 경우 Amazon S3 설정을 확인하합니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요.
-
-
추가 구성 옵션을 보려면 고급을 확장합니다.
-
사용자 지정 CRL 이름을 추가하여 Amazon S3 버킷의 별칭을 생성합니다. 이 이름은 RFC 5280으로 정의된 “CRL Distribution Points” 확장의 CA에서 발급한 인증서에 포함되어 있습니다.
-
CRL가 유효한 상태로 유지되는 일수를 입력합니다. 기본값은 7일입니다. 온라인 CRLs의 경우 2~7일의 유효 기간이 일반적입니다. 지정된 기간의 중간 지점에서 CRL를 재생성하려고 AWS Private CA 시도합니다.
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.
-
인증서 취소 페이지에서 OCSP 켜기를 선택합니다.
-
(선택 사항) Custom OCSP 엔드포인트 필드에 OCSP 엔드포인트에 대해 정규화된 도메인 이름(FQDN)을 제공합니다.
이 필드에 FQDN를 제공하면는 Word를 FQDN URL for the AWS OCSP 응답기 대신 발급된 각 인증서의 권한 정보 액세스 확장에 AWS Private CA 삽입합니다. 엔드포인트가 사용자 지정 FQDN가 포함된 인증서를 수신하면 해당에서 OCSP 응답을 쿼리합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
-
프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.
-
CNAME 데이터베이스에 해당 DNS 레코드를 추가합니다.
작은 정보
사용자 지정 OCSP를 사용하여 전체 CNAME 솔루션을 구현하는 방법에 대한 자세한 내용은 섹션을 참조하세요OCSP URL 에 대한 사용자 지정 AWS Private CA.
예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 CNAME에 대한 OCSP 레코드입니다.
레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상 alternative.example.com
CNAME 간편함 - proxy.example.com 참고
CNAME 값에는 “http://" 또는 “ 같은 프로토콜 접두사가 포함되어서는 안 https://".
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.
CA 업데이트(CLI)
다음 절차는 AWS CLI를 사용하여 기존 CA의 상태 및 해지 구성을 업데이트하는 방법을 보여줍니다.
참고
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
프라이빗 CA의 상태를 업데이트하는 방법(AWS CLI)
update-certificate-authority 명령을 사용합니다.
이는 상태 DISABLED
를 ACTIVE
로 설정하려는 기존 CA가 있을 때 유용합니다. 시작하려면 다음 명령을 사용하여 CA의 초기 상태를 확인합니다.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
결과로 다음과 유사한 출력이 반환됩니다.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
다음 명령은 프라이빗 CA의 상태를 ACTIVE
로 설정합니다. 이는 CA에 유효한 인증서가 설치된 경우에만 가능합니다.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --status "ACTIVE"
CA의 새 상태를 검사합니다.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
이제 상태가 ACTIVE
로 표시됩니다.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
해지 메커니즘이 구성되어 있지 않은 활성 CA가 있기도 합니다. 인증서 해지 목록(CRL) 사용을 시작하려면 다음 절차를 사용합니다.
기존 CA에 CRL를 추가하려면(AWS CLI)
-
CA의 현재 상태를 검사하려면 다음 명령을 사용합니다.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output json출력은 CA가 상태가
ACTIVE
있지만 CRL를 사용하도록 구성되지 않았음을 확인합니다.{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
와 같은 이름으로 파일을 생성하고 저장
revoke_config.txt
하여 CRL 구성 파라미터를 정의합니다.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "amzn-s3-demo-bucket
" } }참고
CRLs를 활성화하도록 Matter 디바이스 인증 CA를 업데이트할 때는 현재 Matter 표준을 준수하도록 발급된 인증서에서 CDP 확장을 생략하도록 구성해야 합니다. 이렇게 하려면 아래 그림과 같이 CRL 구성 파라미터를 정의합니다.
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "amzn-s3-demo-bucket
" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
update-certificate-authority 명령과 취소 구성 파일을 사용하여 CA를 업데이트합니다.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
CA의 상태를 다시 검사합니다.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output json출력은 CA가 이제 CRL를 사용하도록 구성되어 있음을 확인합니다.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket
", }, "OcspConfiguration": { "Enabled": false } } } }경우에 따라 이전 절차에서와 같이 OCSP를 활성화하는 대신 CRL 취소 지원을 추가하려고 할 수 있습니다. 이 경우 다음 단계를 사용합니다.
기존 CA에 OCSP 지원을 추가하려면(AWS CLI)
-
와 같은 이름으로 파일을 생성하고 저장
revoke_config.txt
하여 OCSP 파라미터를 정의합니다.{ "OcspConfiguration":{ "Enabled":true } }
-
update-certificate-authority 명령과 취소 구성 파일을 사용하여 CA를 업데이트합니다.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
CA의 상태를 다시 검사합니다.
$
aws acm-pca describe-certificate-authority --certificate-authority-arnarn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output json출력은 CA가 이제 OCSP를 사용하도록 구성되어 있음을 확인합니다.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
참고
CA에서 CRL 및 OCSP 지원을 모두 구성할 수도 있습니다.