기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Private CA란 무엇인가요?
AWS Private CA 온프레미스 CA를 운영하는 데 드는 투자 및 유지 관리 비용 없이 루트 및 하위 CAs 계층을 포함한 사설 CA (인증 기관) 계층 구조를 만들 수 있습니다. CAs개인은 다음과 같은 시나리오에서 유용한 최종 엔티티 X.509 인증서를 발급할 수 있습니다.
-
TLS암호화된 통신 채널 생성
-
사용자, 컴퓨터, API 엔드포인트 및 IoT 장치 인증
-
암호화 서명 코드
-
인증서 취소 상태 획득을 위한 온라인 인증서 상태 프로토콜 (OCSP) 구현
AWS Private CA 에서 AWS Management Console, 를 사용하거나 를 사용하여 작업에 액세스할 수 있습니다. AWS Private CA API AWS CLI
주제
지역별 이용 가능 여부 AWS Private Certificate Authority
대부분의 AWS 리소스와 마찬가지로 사설 인증 기관 (CAs) 도 지역 리소스입니다. 두 개 이상의 CAs 지역에서 비공개를 사용하려면 해당 CAs 지역에서 비공개를 만들어야 합니다. 지역 CAs 간에는 비공개를 복사할 수 없습니다. AWS Private CA에 대한 리전별 가용성을 확인하려면 AWS 일반 참조 또는 AWS 리전 표
참고
ACM은 ( AWS Private CA 는) 현재 사용할 수 없지만 일부 지역에서는 사용할 수 없습니다.
다음과 통합된 서비스 AWS Private Certificate Authority
를 AWS Certificate Manager 사용하여 사설 인증서를 요청하는 경우 해당 인증서를 통합된 모든 서비스에 연결할 수 ACM 있습니다. 이는 루트에 연결된 인증서와 외부 AWS Private CA 루트에 연결된 인증서 모두에 적용됩니다. 자세한 내용은 AWS Certificate Manager 사용 설명서의 통합 서비스를 참조하십시오.
또한 프라이빗을 Amazon Elastic Kubernetes CAs Service에 통합하여 쿠버네티스 클러스터 내에서 인증서 발급을 제공할 수 있습니다. 자세한 내용은 를 사용하여 Kubernetes 보호 AWS Private CA 단원을 참조하십시오.
참고
Amazon Elastic Kubernetes Service는 통합 서비스가 아닙니다. ACM
OR를 사용하여 인증서를 AWS Private CA API 발급하거나 AWS CLI 에서 사설 인증서를 내보내는 ACM 경우 원하는 위치에 인증서를 설치할 수 있습니다.
에서 지원되는 암호화 알고리즘 AWS Private Certificate Authority
AWS Private CA 개인 키 생성 및 인증서 서명을 위해 다음과 같은 암호화 알고리즘을 지원합니다.
| 프라이빗 키 알고리즘 | 서명 알고리즘 |
|---|---|
|
RSA_2048 RSA_4096 EC_prime256v1 EC_secp384r1 SM2(중국 지역만 해당) |
SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSASHA512WITHRSA SM3WITHSM2 |
이 목록은 콘솔 또는 명령줄을 AWS Private CA 통해 직접 발급한 인증서에만 적용됩니다. API CA를 사용하여 인증서를 AWS Certificate Manager 발급하는 AWS Private CA경우 이러한 알고리즘 중 일부는 지원되지만 전부는 아닙니다. 자세한 내용은 AWS Certificate Manager 사용 설명서의 사설 인증서 요청을 참조하십시오.
참고
모든 경우에 지정된 서명 알고리즘 패밀리 (RSA또는ECDSA) 는 CA 개인 키의 알고리즘 패밀리와 일치해야 합니다.
RFC5280 규정 준수 AWS Private Certificate Authority
AWS Private CA 5280에 정의된 특정 제약 조건을 적용하지 않습니다. RFC
적용
-
날짜 이후에 적용되지 않음
RFC5280에 따라 CA 인증서 발급 날짜보다 늦은 Not After날짜의 인증서 발급을 AWS Private CA 금지합니다Not After. -
기본 제약 조건
. AWS Private CA 가져온 CA 인증서에 기본 제약 조건 및 경로 길이를 적용합니다. 기본 제약 조건은 인증서에 의해 식별된 리소스가 CA인지 여부와 인증서를 발급할 수 있는지 여부를 나타냅니다. AWS Private CA 로 가져온 CA 인증서에는 기본 제약 조건의 확장이 포함되어야 하며 확장은
critical로 표시되어야 합니다 .critical플래그 외에도 를CA=true설정해야 합니다. AWS Private CA 다음과 같은 이유로 유효성 검사 예외로 실패하여 기본 제약 조건을 적용합니다.-
확장은 CA 인증서에 포함되지 않습니다.
-
확장은
critical로 표시되어 있지 않습니다.
경로 길이 (pathLenConstraint) 는 가져온 CA 인증서의 다운스트림에 존재할 CAs 수 있는 하위 인증서 수를 결정합니다. AWS Private CA 다음과 같은 이유로 유효성 검사 예외가 발생하여 실패하여 경로 길이를 적용합니다.
-
CA 인증서를 가져오면 CA 인증서 또는 체인의 CA 인증서에서 경로 길이 제약 조건을 위반할 수 있습니다.
-
인증서를 발급하면 경로 길이 제약 조건을 위반할 수 있습니다.
-
-
이름 제약 조건은
인증 경로에 있는 후속 인증서의 모든 주체 이름이 위치해야 하는 네임스페이스를 나타냅니다. 주체 고유 이름 및 주체 대체 이름에는 제한이 적용됩니다.
적용되지 않음
-
인증서 정책
. 인증서 정책은 CA가 인증서를 발급하는 조건을 규제합니다. -
anyPolicy금지하십시오
. 발급된 인증서에 사용됩니다. CAs -
발급자 대체 이름
. CA 인증서 발급자와 추가 ID를 연결할 수 있습니다. -
정책 제약 조건
. 이러한 제약 조건은 CA의 하위 CA 인증서 발급 능력을 제한합니다. -
정책 매핑
. CA 인증서에 사용됩니다. 하나 이상의 쌍을 OIDs 나열합니다. 각 쌍에는 issuerDomainPolicy a와 a가 포함됩니다subjectDomainPolicy. -
주제 디렉터리 속성
. 주체의 식별 속성을 전달하는 데 사용됩니다. -
주제 정보 액세스
. 확장 프로그램이 표시된 인증서 주체의 정보 및 서비스에 액세스하는 방법 -
주체 키 식별자 (SKI)
및 기관 키 식별자 (AKI) 에는 SKI 확장자를 포함하는 CA 인증서가 RFC 필요합니다. CA에서 발급한 인증서에는 CA 인증서와 일치하는 AKI 확장이 포함되어야 SKI 합니다. AWS 이러한 요구 사항을 적용하지 않습니다. CA 인증서에 a가 포함되지 않은 경우 발급된 최종 엔티티 또는 하위 CA 인증서는 대신 발급자 퍼블릭 키의 SHA -1 해시가 AKI 됩니다. SKI -
SubjectPublicKeyInfo
및 주체 대체 이름 (). SAN 인증서를 발급할 때 유효성 검사를 CSR 수행하지 않고 제공된 파일의 SubjectPublicKeyInfo 및 SAN 확장자를 AWS Private CA 복사합니다.
에 대한 가격 AWS Private Certificate Authority
계정에는 사설 CA를 생성한 시점부터 각 사설 CA에 대한 월별 요금이 청구됩니다. 발급한 각 인증서에 대해서도 요금이 청구됩니다. 이 요금에는 내보낸 인증서와 ACM OR에서 생성한 인증서가 포함됩니다. AWS Private CA API AWS Private CA CLI 삭제한 프라이빗 CA에 대해서는 요금이 부과되지 않습니다. 그러나 사설 CA를 복원하면 삭제부터 복원까지의 기간에 대한 요금이 청구됩니다. 액세스할 수 없는 프라이빗 키를 가진 프라이빗 인증서는 무료입니다. 여기에는 Elastic Load Balancing 및 API 게이트웨이와 같은 통합 서비스와 함께 사용되는 인증서가 포함됩니다. CloudFront
최신 AWS Private CA 요금 정보는 요금을 참조하십시오AWS Private Certificate Authority .
