프라이빗 인증서 취소 - AWS Private Certificate Authority
취소된 인증서 및 OCSP에서 취소된 인증서 CRL 감사 보고서에서 해지된 인증서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

프라이빗 인증서 취소

revoke-certificate AWS CLI 명령 또는 RevokeCertificate API 작업을 사용하여 AWS Private CA 인증서를 취소할 수 있습니다. 예를 들어 비밀 키가 손상되거나 관련 도메인이 유효하지 않게 되는 경우 예정된 만료 전에 인증서를 해지해야 할 수 있습니다. 해지가 유효하려면 인증서를 사용하는 클라이언트가 보안 네트워크 연결을 구축하려고 할 때마다 해지 상태를 확인할 방법이 필요합니다.

AWS Private CA 는 취소 상태 확인을 지원하는 완전 관리형 메커니즘인 온라인 인증서 상태 프로토콜(OCSP)과 인증서 취소 목록() 두 가지를 제공합니다CRLs. OCSP를 사용하면 클라이언트가 상태를 실시간으로 반환하는 신뢰할 수 있는 취소 데이터베이스를 쿼리합니다. 를 사용하면 클라이언트CRL는 주기적으로 다운로드하여 저장하는 취소된 인증서 목록과 대조하여 인증서를 확인합니다. 클라이언트는 취소된 인증서를 수락하지 않습니다.

OCSP 및 모두 인증서에 포함된 검증 정보에 CRLs 따라 달라집니다. 따라서 발급 CA는 발급 전에 이러한 메커니즘 중 하나 또는 둘 다를 지원하도록 구성해야 합니다. 를 통한 관리형 취소 선택 및 구현에 대한 자세한 내용은 섹션을 AWS Private CA참조하세요AWS Private CA 인증서 취소 방법 계획.

취소된 인증서는 항상 AWS Private CA 감사 보고서에 기록됩니다.

참고

교차 계정 호출자의 경우 AWSRAMRevokeCertificateCertificateAuthority 권한이 있는 공유가 필요합니다. 취소 권한은 에 포함되지 않습니다AWSRAMDefaultPermissionCertificateAuthority. 교차 계정 발급자에 의한 취소를 활성화하려면 CA 관리자가 두 개의 RAM 공유를 생성해야 합니다. 두 공유 모두 동일한 CA를 가리킵니다.

  1. AWSRAMRevokeCertificateCertificateAuthority 권한의 공유.

  2. AWSRAMDefaultPermissionCertificateAuthority 권한의 공유.

인증서를 해지하는 방법

RevokeCertificate API 작업 또는 revoke-certificate 명령을 사용하여 프라이빗 PKI 인증서를 취소합니다. 일련 번호는 16진수 형식이어야 합니다. get-certificate 명령을 호출하여 이 일련 번호를 검색할 수 있습니다. revoke-certificate 명령은 응답을 반환하지 않습니다.

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

취소된 인증서 및 OCSP

OCSP 인증서를 취소할 때 응답에 새 상태가 반영되는 데 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP 는 며칠 동안 클라이언트가 캐시할 수 CRLs 있는 것과 달리 OCSP 응답은 일반적으로 클라이언트가 캐시하지 않기 때문에 취소 정보의 더 빠른 배포를 지원하는 경향이 있습니다.

에서 취소된 인증서 CRL

CRL 는 일반적으로 인증서가 취소된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하면 AWS Private CA 는 15분마다 추가로 시도합니다.

Amazon 를 사용하면 지표 CRLGenerated 및 에 대한 경보를 생성할 CloudWatch수 있습니다MisconfiguredCRLBucket. 자세한 내용은 지원되는 CloudWatch 지표 를 참조하세요. 생성 및 구성에 대한 자세한 내용은 섹션을 CRLs참조하세요CRL 용 설정 AWS Private CA.

다음 예제는 인증서 취소 목록()의 취소된 인증서를 보여줍니다CRL.

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

감사 보고서에서 해지된 인증서

해지된 인증서를 포함한 모든 인증서는 프라이빗 CA의 감사 보고서에 포함됩니다. 다음 예제에서는 발급된 인증서 하나와 해지된 인증서 하나가 포함된 감사 보고서를 보여줍니다. 자세한 내용은 프라이빗 CA에서 감사 보고서 사용 단원을 참조하십시오.

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]