기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 외부에서 서명된 사설 CA 인증서 사용
<a name="PcaExternalRoot"></a>

프라이빗 CA 계층 구조의 신뢰 루트가 외부의 CA여야 하는 경우 자체 루트 CA를 생성하고 자체 서명 AWS Private CA할 수 있습니다. 또는 조직에서 운영하는 외부 사설 CA에서 서명한 사설 CA 인증서를 얻을 수 있습니다. 소스가 무엇이든이 외부에서 얻은 CA를 사용하여가 AWS Private CA 관리하는 프라이빗 하위 CA 인증서에 서명할 수 있습니다.

**참고**  
외부 신뢰 서비스 공급자를 생성하거나 얻는 절차는 이 설명서에서는 다루지 않습니다.

에서 외부 상위 CA AWS Private CA 를 사용하면 RFC 5280의 이름 제약 조건에 정의된 대로 CA [이름 제약 조건을](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) 적용할 수 있습니다. 이름 제약 조건을 사용하면 CA 관리자가 인증서에서 보안 주체 이름을 제한할 수 있습니다.

외부 CA를 사용하여 사설 하위 CA 인증서에 서명하려는 경우 AWS Private CA에서 작동하는 CA를 갖기 전에 완료해야 할 세 가지 작업이 있습니다.

1. 인증서 서명 요청(CSR)을 생성합니다.

1. CSR을 외부 서명 기관에 제출하고 서명된 인증서 및 인증서 체인과 함께 반환합니다.

1. 서명된 인증서를에 설치합니다 AWS Private CA.

다음 절차에서는 AWS Management Console 또는 AWS CLI를 사용하여 이러한 작업을 완료하는 방법을 설명합니다.



**외부에서 서명된 CA 인증서를 가져와 설치하는 방법(콘솔)**

1. (옵션) CA의 세부 정보 페이지에 아직 접속하지 않은 경우 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)에서 AWS Private CA 콘솔을 엽니다. **프라이빗 인증 기관** 페이지에서 **인증서 보류 중**, **활성**, **비활성화** 또는 **만료됨** 상태의 하위 CA를 선택합니다.

1. **작업**, **CA 인증서 설치**를 선택하여 **하위 CA 인증서 설치** 페이지를 엽니다.

1. **하위 CA 인증서 설치** 페이지의 **CA 유형 선택**에서 **외부 프라이빗 CA**를 선택합니다.

1. **이 CA의 CSR**에서 콘솔에는 CSR의 Base64로 인코딩된 ASCII 텍스트가 표시됩니다. **복사** 버튼을 사용하여 텍스트를 복사하거나 **CSR을 파일로 내보내기**를 선택하여 로컬에 저장할 수 있습니다.
**참고**  
복사 및 붙여넣을 때 CSR 텍스트의 정확한 형식을 보존해야 합니다.

1. 오프라인 단계를 즉시 수행하여 외부 서명 기관으로부터 서명된 인증서를 받을 수 없는 경우, 서명된 인증서와 인증서 체인을 보유하고 나면 페이지를 닫고 해당 페이지로 돌아갈 수 있습니다.

   그렇지 않으면 준비가 되었으면 다음 중 하나를 수행합니다.
   + 인증서 본문과 인증서 체인의 Base64로 인코딩된 ASCII 텍스트를 해당 텍스트 상자에 붙여넣습니다.
   + **업로드**를 선택하여 로컬 파일의 인증서 본문과 인증서 체인을 해당 텍스트 상자로 로드합니다.

1. **확인 및 설치**를 선택합니다.



**외부에서 서명된 CA 인증서(CLI)를 가져와 설치하는 방법**

1. [get-certificate-authority-csr](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) 명령을 사용하여 프라이빗 CA에 대한 인증서 서명 요청(CSR)을 검색할 수 있습니다. CSR을 디스플레이로 보내려면 `--output text` 옵션을 사용하여 각 줄 끝에서 CR/LF 문자를 제거합니다. CSR을 파일로 보내려면 리디렉션 옵션(>) 다음에 파일 이름을 입력합니다.

   ```
   $ aws acm-pca get-certificate-authority-csr \
   --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --output text
   ```

   CSR을 로컬 파일로 저장한 후 다음 [OpenSSL](https://www.openssl.org/) 명령을 사용하여 CSR을 검사할 수 있습니다.

   ```
   openssl req -in path_to_CSR_file -text -noout
   ```

   이 명령은 다음과 비슷한 출력을 생성합니다. **CA** 확장은 `TRUE`이고, 이는 CSR이 CA 인증서에 대한 것임을 나타냅니다.

   ```
   Certificate Request:
   Data:
   Version: 0 (0x0)
   Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
   Subject Public Key Info:
       Public Key Algorithm: rsaEncryption
           Public-Key: (2048 bit)
           Modulus:
               00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
               1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
               7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
               c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
               ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
               46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
               f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
               38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
               b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
               a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
               a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
               b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
               1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
               8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
               14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
               3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
               68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
               f6:27
           Exponent: 65537 (0x10001)
   Attributes:
   Requested Extensions:
       X509v3 Basic Constraints:
           CA:TRUE
   Signature Algorithm: sha256WithRSAEncryption
    c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
    a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
    ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
    ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
    de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
    ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
    8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
    f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
    79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
    28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
    2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
    d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
    7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
    4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
    d1:83:66:40
   ```

1. CSR을 외부 서명 기관에 제출하고 Base64 PEM으로 인코딩된 서명된 인증서 및 인증서 체인이 포함된 파일을 가져오십시오.

1. [import-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) 명령을 사용하여 사설 CA 인증서 파일과 체인 파일을 AWS Private CA로 가져옵니다.

   ```
   $ aws acm-pca import-certificate-authority-certificate \
   --certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate file://C:\example_ca_cert.pem \
   --certificate-chain file://C:\example_ca_cert_chain.pem
   ```