에서 프라이빗 CA 생성 AWS Private CA - AWS Private Certificate Authority
CLI 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 프라이빗 CA 생성 AWS Private CA

이 섹션의 절차를 사용하여 루트 CAs 또는 하위 CAs를 생성하여 조직의 요구 사항에 맞는 감사 가능한 신뢰 관계 계층 구조를 만들 수 있습니다. 또는의 AWS Management Console PCA 부분을 사용하여 CA를 생성할 수 있습니다 AWS CLI AWS CloudFormation.

이미 생성한 CA의 구성을 업데이트하는 방법에 대한 자세한 내용은 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority 섹션을 참조하세요.

CA를 사용하여 사용자, 디바이스 및 애플리케이션의 최종 엔터티 인증서에 서명하는 방법은 프라이빗 엔드엔터티 인증서 발급 섹션을 참조하세요.

참고

계정에는 사설 CA를 생성한 시점부터 각 사설 CA에 대한 월별 요금이 청구됩니다.

최신 AWS Private CA 요금 정보는 AWS Private Certificate Authority 요금을 참조하세요. AWS 요금 계산기를 사용하여 비용을 추정할 수도 있습니다.

Console
콘솔을 사용하여 프라이빗 API를 생성하는 방법

  1. AWS Management Console을 사용하여 프라이빗 CA를 생성하려면 다음 단계를 완료합니다.

    콘솔을 사용하여 시작하기

    AWS 계정에 로그인하고에서 AWS Private CA 콘솔을 엽니다https://console.aws.amazon.com/acm-pca/home.

    • 프라이빗 CAs가 없는 리전에서 콘솔을 열면 소개 페이지가 나타납니다. 프라이빗 CA 생성을 선택합니다.

    • CA를 이미 생성한 리전에서 콘솔을 여는 경우 CAs 목록과 함께 프라이빗 인증 기관 페이지가 열립니다. CA 생성을 선택합니다.

  2. 모드 옵션에서 CA에서 발급하는 인증서의 만료 모드를 선택합니다.

    • 범용 - 모든 만료 날짜로 구성할 수 있는 인증서를 발급합니다. 이 값이 기본값입니다.

    • 단기 인증서 - 최대 유효 기간이 7일인 인증서를 발급합니다. 경우에 따라 짧은 유효 기간이 해지 메커니즘을 대체할 수 있습니다.

  3. 콘솔의 유형 옵션 섹션에서 만들려는 프라이빗 인증 기관의 유형을 선택합니다.

    • 루트를 선택하면 새 CA 계층이 설정됩니다. 이 CA는 자체 서명된 인증서에 의해 지원됩니다. 계층 구조에서 다른 CAs 및 최종 사용자 인증서에 대한 최종 서명 권한 역할을 합니다.

    • 하위를 선택하면 계층에서 위에 있는 상위 CA가 서명해야 하는 CA가 생성됩니다. 하위 CAs는 일반적으로 다른 하위 CAs를 생성하거나 사용자, 컴퓨터 및 애플리케이션에 최종 주체 인증서를 발급하는 데 사용됩니다.

      참고

      AWS Private CA 는 하위 CA의 상위 CA도 호스팅할 때 자동 서명 프로세스를 제공합니다 AWS Private CA. 사용할 상위 CA를 선택하기만 하면 됩니다.

      외부 신뢰 서비스 공급자가 하위 CA에 서명해야 할 수도 있습니다. 그렇다면는 서명된 CA 인증서를 얻기 위해 다운로드하고 사용해야 하는 인증서 서명 요청(CSR)을 AWS Private CA 제공합니다. 자세한 내용은 외부 상위 CA가 서명한 하위 CA 인증서 설치 단원을 참조하십시오.

  4. 보안 주체 고유 이름 옵션에서 프라이빗 CA의 보안 주체 이름을 구성합니다. 다음 옵션 중 하나 이상의 값을 입력해야 합니다.

    • 조직(O) - 예: 회사 이름

    • 조직 단위(OU) - 예: 회사 내 부서

    • 국가 이름(C) - 두 글자로 된 국가 코드

    • 주 또는 도 이름 - 주 또는 도의 전체 이름

    • 지역 이름 - 도시 이름

    • 일반 이름(CN) - CA를 식별하기 위한 사람이 읽을 수 있는 문자열입니다.

    참고

    발급 시 APIPassthrough 템플릿을 적용하여 인증서의 주제 이름을 추가로 사용자 지정할 수 있습니다. 자세한 정보와 상세한 예제는 APIPassthrough 템플릿을 사용하여 사용자 지정 주제 이름으로 인증서 발급 섹션을 참조하세요.

    백업 인증서는 자체 서명되므로 사설 CA에 제공하는 보안 주체 정보는 공용 CA에 포함된 정보보다 더 적을 수 있습니다. 주체 고유 이름을 구성하는 각 값에 대한 자세한 내용은 RFC 5280을 참조하세요.

  5. 키 알고리즘 옵션에서 키 알고리즘과 키의 비트 크기를 선택합니다. 기본값은 키 길이가 2048비트인 RSA 알고리즘입니다. 다음 알고리즘 중에서 선택할 수 있습니다.

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. 인증서 취소 옵션에서 인증서를 사용하는 클라이언트와 해지 상태를 공유하는 두 가지 방법 중 하나를 선택할 수 있습니다.

    • CRL 배포 활성화

    • OCSP 켜기

    CA에 대해 이러한 해지 옵션 중 하나를 구성하거나, 둘 다 구성하거나, 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 모범 사례로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 AWS Private CA 인증서 취소 방법 계획섹션을 참조하세요.

    참고

    해지를 구성하지 않고 CA를 생성하는 경우 언제든지 나중에 구성할 수 있습니다. 자세한 내용은 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority 단원을 참조하십시오.

    인증서 해지 옵션을 구성하려면 다음 단계를 수행합니다.

    1. 인증서 취소 옵션에서 CRL 배포 활성화를 선택합니다.

    2. CRL 항목에 대한 Amazon S3 버킷을 생성하려면 새 S3 버킷 생성을 선택하고 고유한 버킷 이름을 입력합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 S3 버킷 URI에서 목록에서 기존 버킷을 선택합니다.

      콘솔을 통해 새 버킷을 생성할 때 AWS Private CA 는 버킷에 필요한 액세스 정책을 연결하고 버킷에서 S3 기본 퍼블릭 액세스 차단(BPA) 설정을 비활성화하려고 시도합니다. 대신 기존 버킷을 지정하는 경우 계정 및 버킷에 대해 BPA가 비활성화되어 있는지 확인해야 합니다. 그렇지 않으면 CA를 생성하는 작업이 실패합니다. CA가 성공적으로 생성된 경우 CRLs 생성을 시작하기 전에 정책을 수동으로 연결해야 합니다. Amazon S3CRLs에서 에 대한 액세스 정책 에 설명된 정책 패턴 중 하나를 사용합니다. 자세한 내용은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.

      중요

      다음 조건이 모두 적용되는 경우 AWS Private CA 콘솔을 사용하여 CA를 생성하려는 시도가 실패합니다.

      • CRL를 설정하고 있습니다.

      • S3 버킷을 자동으로 생성 AWS Private CA 하도록 요청합니다.

      • S3에서 BPA 설정을 적용하고 있습니다.

      이 경우 콘솔은 버킷을 생성하지만 공개적으로 액세스할 수 있도록 만들려고 하는 시도는 실패합니다. 이 경우 Amazon S3 설정을 확인하고 필요에 따라 BPA를 비활성화한 다음 CA 생성 절차를 반복합니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요.

    3. 추가 구성 옵션에 대한 CRL 설정을 확장합니다.

      • 사용자 지정 CRL 이름을 추가하여 Amazon S3 버킷의 별칭을 생성합니다. 이 이름은 RFC 5280으로 정의된 “CRL Distribution Points” 확장의 CA에서 발급한 인증서에 포함되어 있습니다.

      • CRL가 유효한 상태로 유지되는 일수를 입력합니다. 기본값은 7일입니다. 온라인 CRLs의 경우 2~7일의 유효 기간이 일반적입니다.는 지정된 기간의 중간 지점에서 CRL를 재생성하려고 AWS Private CA 합니다.

    4. 버킷 버전 관리버킷 액세스 로깅의 선택적 구성을 위해 S3 설정을 확장합니다.

  7. 인증서 취소 옵션에서 OCSP 켜기를 선택합니다.

    1. 사용자 지정 OCSP 엔드포인트 - 선택 사항 필드에서 비 Amazon OCSP 엔드포인트에 대해 정규화된 도메인 이름(FQDN)을 제공할 수 있습니다.

      이 필드에 FQDN를 제공하면는 Word를 FQDN URL for the AWS OCSP 응답기 대신 발급된 각 인증서의 권한 정보 액세스 확장에 AWS Private CA 삽입합니다. 엔드포인트가 사용자 지정 FQDN가 포함된 인증서를 수신하면 해당에서 OCSP 응답을 쿼리합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.

      • 프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.

      • CNAME 데이터베이스에 해당 DNS 레코드를 추가합니다.

      작은 정보

      사용자 지정 OCSP를 사용하여 전체 CNAME 솔루션을 구현하는 방법에 대한 자세한 내용은 섹션을 참조하세요OCSP URL 에 대한 사용자 지정 AWS Private CA.

      예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 CNAME에 대한 OCSP 레코드입니다.

      레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상

      alternative.example.com

      		 CNAME 간편함 - proxy.example.com
      참고

      CNAME 값에는 “http://" 또는 “ 같은 프로토콜 접두사가 포함되어서는 안 https://".

  8. 선택에 따라 태그 추가 아래에서 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키-값 페어입니다. AWS Private CA 태그 파라미터 목록과 생성 후 CAs에 태그를 추가하는 방법에 대한 지침은 섹션을 참조하세요프라이빗 CA에 대한 태그 추가.

    참고

    생성 절차 중에 프라이빗 CA에 태그를 연결하려면 CA 관리자가 먼저 인라인 IAM 정책을 CreateCertificateAuthority 작업에 연결하고 태그를 명시적으로 허용해야 합니다. 자세한 내용은 Tag-on-create: 생성 시 CA에 태그 연결 단원을 참조하십시오.

  9. CA 권한 옵션에서 서비스 AWS Certificate Manager 보안 주체에게 자동 갱신 권한을 선택적으로 위임할 수 있습니다. ACM는이 권한이 부여된 경우에만이 CA에서 생성된 프라이빗 엔드 엔터티 인증서를 자동으로 갱신할 수 있습니다. AWS Private CA CreatePermission API 또는 create-permission Word 명령을 사용하여 언제든지 갱신 권한을 할당할 수 CLI.

    기본적으로 이러한 권한을 사용하도록 설정되어 있습니다.

    참고

    AWS Certificate Manager 는 단기 인증서의 자동 갱신을 지원하지 않습니다.

  10. 요금에서 프라이빗 CA의 요금을 이해했는지 확인하세요.

    참고

    최신 AWS Private CA 요금 정보는 AWS Private Certificate Authority 요금을 참조하세요. AWS 요금 계산기를 사용하여 비용을 추정할 수도 있습니다.

  11. 입력한 모든 정보가 정확한지 확인한 후 CA 생성을 선택합니다. CA의 세부 정보 페이지가 열리고 상태가 보류 중인 인증서로 표시됩니다.

    참고

    세부 정보 페이지에서 작업, CA 인증서 설치를 선택하여 CA 구성을 완료하거나 나중에 프리이빗 인증 기관 목록으로 돌아가서 해당 경우에 적용되는 설치 절차를 완료할 수 있습니다.

CLI

create-certificate-authority 명령을 사용하여 프라이빗 CA를 생성합니다. CA 구성(알고리즘 및 주제 이름 정보 포함), 해지 구성(OCSP 및/또는 CRL를 사용할 계획인 경우), CA 유형(루트 또는 하위 유형)을 지정해야 합니다. 구성 및 해지 구성 세부 정보는 명령에 인수로 제공하는 두 파일에 포함되어 있습니다. 선택적으로 CA 사용 모드(표준 또는 단기 인증서 발급용)를 구성하고, 태그를 첨부하고, 멱등성 토큰을 제공할 수도 있습니다.

CRL를 구성하는 경우 create-certificate-authority 명령을 실행하기 전에 안전한 Amazon S3 버킷이 있어야 합니다. 자세한 내용은 Amazon S3CRLs에서 에 대한 액세스 정책 단원을 참조하십시오.

CA 구성 파일은 다음 정보를 지정합니다.

  • 알고리즘의 이름

  • CA 프라이빗 키를 생성하는 데 사용할 키 크기

  • CA가 서명하는 데 사용하는 서명 알고리즘 유형

  • X.500 보안 주체 정보

OCSP에 대한 취소 구성은 다음 정보가 포함된 OcspConfiguration 객체를 정의합니다.

  • Enabled 플래그를 “true”로 설정합니다.

  • (선택 사항)의 값으로 선언된 사용자 지정 CNAME입니다OcspCustomCname.

CRL에 대한 취소 구성은 다음 정보가 포함된 CrlConfiguration 객체를 정의합니다.

  • Enabled 플래그를 “true”로 설정합니다.

  • 일 단위의 CRL 만료 기간(CRL의 유효 기간).

  • CRL를 포함할 Amazon S3 버킷입니다.

  • (선택 사항) CRL에 공개적으로 액세스할 수 있는지 여부를 결정하는 S3ObjectAcl 값입니다. 여기에 제시된 예제에서는 공개 액세스가 차단됩니다. 자세한 내용은 에서 S3 퍼블릭 액세스 차단(BPA) 활성화 CloudFront 단원을 참조하십시오.

  • (선택 사항) CA에서 발급한 인증서에 포함된 S3 버킷의 CNAME 별칭입니다. CRL에 공개적으로 액세스할 수 없는 경우 Amazon CloudFront와 같은 배포 메커니즘을 가리킵니다.

  • (선택 사항) 다음 정보가 포함된 CrlDistributionPointExtensionConfiguration 객체입니다.

    • OmitExtension 플래그가 “true” 또는 “false”로 설정되어 있습니다. 이렇게 하면 CDP 확장의 기본값이 CA에서 발급한 인증서에 기록될지 여부를 제어합니다. CDP 확장에 대한 자세한 내용은 섹션을 참조하세요CRL 배포 시점 결정(CDP) URI . CustomCname 가 'true'인 경우 A OmitExtension 를 설정할 수 없습니다.

참고

OcspConfiguration 객체와 CrlConfiguration 객체를 모두 정의하여 동일한 CA에서 두 개의 해지 메커니즘을 모두 활성화할 수 있습니다. --revocation-configuration 파라미터를 제공하지 않으면 기본적으로 두 메커니즘 모두 비활성화됩니다. 나중에 해지 유효성 검사 지원이 필요한 경우 CA 업데이트(CLI) 섹션을 참조하세요.

CLI 예제는 다음 섹션을 참조하세요.

프라이빗 CA를 생성하기 위한 CLI 예제

다음 예에서는 유효한 기본 리전, 엔드포인트 및 자격 증명을 사용하여 .aws 구성 디렉터리를 설정했다고 가정합니다. AWS CLI 환경 구성에 대한 자세한 내용은 구성 및 보안 인증 파일 설정을 참조하세요. 가독성을 위해 예제 명령에서 CA 구성 및 취소 입력을 JSON 파일로 제공합니다. 필요에 따라 예제 파일을 수정하여 사용하세요.

달리 명시되지 않는 한 모든 예제는 다음 ca_config.txt 구성 파일을 사용합니다.

파일: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

예제 1: OCSP가 활성화된 CA 생성

이 예제에서는 해지 파일을 통해 AWS Private CA 응답기를 사용하여 인증서 상태를 확인하는 기본 OCSP 지원이 활성화됩니다.

파일: revoke_config.txt for OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

명령

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

성공하면이 명령은 새 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

명령

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

예제 2: OCSP 및 사용자 지정 CNAME가 활성화된 CA 생성

이 예제에서는 취소 파일을 통해 사용자 지정된 OCSP를 지원할 수 있습니다. OcspCustomCname 파라미터는 정규화된 도메인 이름(FQDN)을 값으로 사용합니다.

이 필드에 FQDN를 제공하면는 Word를 FQDN URL for the AWS OCSP 응답기 대신 발급된 각 인증서의 권한 정보 액세스 확장에 AWS Private CA 삽입합니다. 엔드포인트가 사용자 지정 FQDN가 포함된 인증서를 수신하면 해당에서 OCSP 응답을 쿼리합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.

  • 프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.

  • CNAME 데이터베이스에 해당 DNS 레코드를 추가합니다.

작은 정보

사용자 지정 OCSP를 사용하여 전체 CNAME 솔루션을 구현하는 방법에 대한 자세한 내용은 섹션을 참조하세요OCSP URL 에 대한 사용자 지정 AWS Private CA.

예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 CNAME에 대한 OCSP 레코드입니다.

레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상

alternative.example.com

 CNAME 간편함 - proxy.example.com
참고

CNAME 값에는 “http://" 또는 “ 같은 프로토콜 접두사가 포함되어서는 안 https://".

파일: revoke_config.txt for OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

명령

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

예제 3: 연결된 CRL로 CA 생성

이 예제에서는 해지 구성이 CRL 파라미터를 정의합니다.

파일: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

명령

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

예제 4: 연결된 CRL와 사용자 지정 CNAME가 활성화된 CA 생성

이 예제에서 취소 구성은 사용자 지정 CRL를 포함하는 CNAME 파라미터를 정의합니다.

파일: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

명령

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

예제 5: CA 생성 및 사용 모드 지정

이 예제에서는 CA를 생성할 때 CA 사용 모드를 지정합니다. 지정되지 않은 경우 사용 모드 파라미터는 기본적으로 GENERAL_PURPOSE로 설정됩니다. 이 예제에서 파라미터는 SHORT_LIVED_CERTIFICATE로 설정되어 있습니다. 즉, CA는 최대 유효 기간이 7일인 인증서를 발급합니다. 해지를 구성하는 것이 불편한 상황에서는 손상된 단기 인증서가 정상 작업의 일부로 빠르게 만료됩니다. 따라서 이 예제 CA에는 해지 메커니즘이 없습니다.

참고

AWS Private CA 는 루트 CA 인증서에 대한 유효성 검사를 수행하지 않습니다.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

describe-certificate-authority 명령을 사용하여 다음 명령과 같이 결과 CA에 대한 세부 정보를 AWS CLI 표시합니다.

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

예제 6: Active Directory 로그인을 위한 CA 생성

카드 로그온 또는 도메인 컨트롤러 인증서를 발급할 수 있는 Microsoft Active Directory(AD)의 Enterprise NTAuth 스토어에서 사용하기에 적합한 프라이빗 CA를 생성할 수 있습니다. CA 인증서를 AD로 가져오는 방법에 대한 자세한 내용은 타사 인증 기관(CA) 인증서를 Enterprise NTAuth 스토어로 가져오는 방법을 참조하세요.

Microsoft certutil 도구를 사용하면 -dspublish 옵션을 호출하여 AD에 CA 인증서를 게시할 수 있습니다. certutil을 사용하여 AD에 게시된 인증서는 전체 포리스트에서 신뢰됩니다. 그룹 정책을 사용하여 전체 포리스트의 하위 집합(예: 단일 도메인 또는 도메인의 컴퓨터 그룹)으로 신뢰를 제한할 수도 있습니다. 로그온이 작동하려면 발급 CA도 NTAuth 스토어에 게시해야 합니다. 자세한 내용은 그룹 정책을 사용하여 클라이언트 컴퓨터에 인증서 배포를 참조하세요.

이 예제에서는 다음 ca_config_AD.txt 구성 파일을 사용합니다.

파일: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

명령

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

예제 7: 발급된 인증서에서 누락된 CRL 및 CDP 확장을 첨부하여 Matter CA 생성

Matter 스마트 홈 표준에 대한 인증서를 발급하는 데 적합한 프라이빗 CA를 생성할 수 있습니다. 이 예제에서의 CA 구성은 공급업체 ID(PAA)가 FFF1로 설정된 Matter Product Attestation Authority(VID)를 ca_config_PAA.txt 정의합니다.

파일: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

취소 구성은 CRLs를 활성화하고 CA가 발급된 인증서에서 기본 URL CDP를 생략하도록 구성합니다.

파일: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

명령

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

성공하면이 명령은 CA의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

CA의 구성을 검사하려면 다음 명령을 사용합니다.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

이 설명에 다음 사항이 포함되어 있어야 합니다.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...