에 대한 CRL 설정 AWS Private CA - AWS Private Certificate Authority
CRL 유형CRL 구조Amazon S3의 CRL에 대한 액세스 정책 CloudFront를 통한 S3 BPACRL 배포 지점(CDP) URI 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 CRL 설정 AWS Private CA

CA 생성 프로세스의 일부로 인증서 해지 목록(CRL)을 구성하기 전에 일부 사전 설정이 필요할 수 있습니다. 이 섹션에서는 CRL이 연결된 CA를 만들기 전에 이해해야 하는 사전 요구 사항 및 옵션에 대해 설명합니다.

온라인 인증서 상태 프로토콜(OCSP)을 CRL의 대안 또는 보완으로 사용하는 방법에 대한 자세한 내용은 Certificate revocation options에 대한 OCSP URL 사용자 지정 AWS Private CA을 참조하세요.

CRL 유형

  • 완료 - 기본 설정입니다.는 어떤 이유로든 취소된 CA에서 발급한 만료되지 않은 모든 인증서에 대해 분할되지 않은 단일 CRL 파일을 AWS Private CA 유지합니다. AWS Private CA 에서 발급하는 각 인증서는 RFC 5280에 정의된 CRL 배포 지점(CDP) 확장을 통해 특정 CRL에 바인딩됩니다.

  • 파티셔닝됨 - 전체 CRLs과 비교하여 파티셔닝된 CRLs 프라이빗 CA가 발급할 수 있는 인증서 수를 크게 늘리고 CAs를 자주 교체하지 않아도 됩니다.

    중요

    분할된 CRLs 사용하는 경우 CRL의 관련 발급 배포 지점(IDP) URI가 인증서의 CDP URI와 일치하는지 검증하여 올바른 CRL이 가져왔는지 확인해야 합니다.는 IDP 확장을 중요한 것으로 AWS Private CA 표시하며, 클라이언트가 이를 처리할 수 있어야 합니다.

CRL 구조

각 CRL은 DER로 인코딩된 파일입니다. 파일을 다운로드하고 OpenSSL을 사용해 파일을 보려면 다음과 같은 명령을 사용하십시오.

openssl crl -inform DER -in path-to-crl-file -text -noout

CRL은 다음 형식을 사용합니다.

Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
참고

CRL은 해당 인증서를 참조하는 인증서가 발급된 후 Amazon S3에 배치됩니다. 그 전에는 Amazon S3 버킷에 acm-pca-permission-test-key 파일만 표시됩니다.

Amazon S3의 CRL에 대한 액세스 정책

CRL을 생성하려는 경우 Amazon S3 버킷을에 저장할 준비를 해야 합니다.는 지정한 Amazon S3 버킷에 CRL을 AWS Private CA 자동으로 저장하고 주기적으로 업데이트합니다. 자세한 내용은 버킷 생성 단원을 참조하세요.

S3 버킷은 첨부된 IAM 권한 정책으로 보호되어야 합니다. 인증된 사용자 및 서비스 보안 주체는 AWS Private CA 가 버킷에 객체를 배치할 수 있는 Put 권한과 객체를 검색할 수 있는 Get 권한이 필요합니다. CA를 생성하는 콘솔 절차 중에 새 버킷을 AWS Private CA 생성하고 기본 권한 정책을 적용하도록 선택할 수 있습니다.

참고

IAM 정책 구성은 AWS 리전 관련에 따라 달라집니다. 리전은 다음 두 가지 범주로 나뉩니다.

  • 기본 지원 리전 - 모든 리전에 대해 기본적으로 활성화된 리전입니다 AWS 계정.

  • 기본 비활성화 리전 - 기본적으로 비활성화되지만 고객이 수동으로 활성화할 수 있는 리전입니다.

자세한 내용과 기본 비활성화 리전 목록은 관리를 AWS 리전 참조하세요. IAM과 관련된 서비스 보안 주체에 대한 설명은 옵트인 리전의AWS 서비스 보안 주체를 참조하세요.

CRLs 인증서 해지 방법으로 구성하면는 CRL을 AWS Private CA 생성하고 이를 S3 버킷에 게시합니다. S3 버킷에는 AWS Private CA 서비스 보안 주체가 버킷에 쓸 수 있도록 허용하는 IAM 정책이 필요합니다. 서비스 보안 주체의 이름은 사용하는 리전에 따라 다르며 모든 가능성이 지원되는 것은 아닙니다.

PCA S3 서비스 보안 주체

둘 다 같은 리전에 있습니다.

acm-pca.amazonaws.com

활성화됨

활성화됨

acm-pca.amazonaws.com
비활성 활성화됨

acm-pca.Region.amazonaws.com
활성화됨 비활성

지원되지 않음

기본 정책은 CA에 SourceArn 제한을 적용하지 않습니다. 특정 AWS 계정과 특정 프라이빗 CA 모두에 대한 액세스를 제한하는 다음과 같은 덜 허용적인 정책을 적용하는 것이 좋습니다. 또는 aws:SourceOrgID 조건 키를 사용하여의 특정 조직에 대한 액세스를 제한할 수 있습니다 AWS Organizations. 버킷 정책에 대한 자세한 내용은 Amazon Simple Storage Service의 버킷 정책을 참조하세요.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

기본 정책을 허용하도록 선택한 경우 나중에 언제든지 수정할 수 있습니다.

CloudFront를 사용하여 S3 퍼블릭 액세스 차단(BPA) 활성화

새 Amazon S3 버킷은 기본적으로 퍼블릭 액세스 차단(BPA) 기능이 활성화된 상태로 구성됩니다. Amazon S3 보안 모범 사례에 포함된 BPA는 고객이 S3 버킷의 객체 및 전체 버킷에 대한 액세스를 세밀하게 조정하는 데 사용할 수 있는 액세스 제어 세트입니다. BPA가 활성 상태이고 올바르게 구성된 경우 권한 있고 인증된 AWS 사용자만 버킷과 해당 콘텐츠에 액세스할 수 있습니다.

AWS 는 잠재적 공격자에 대한 민감한 정보의 노출을 방지하기 위해 모든 S3 버킷에서 BPA 사용을 권장합니다. 그러나 PKI 클라이언트가 퍼블릭 인터넷을 통해 CRLs을 검색하는 경우(즉, AWS 계정에 로그인하지 않은 상태에서) 추가 계획이 필요합니다. 이 섹션에서는 콘텐츠 전송 네트워크(CDN)인 Amazon CloudFront를 사용하여 S3 버킷에 대한 인증된 클라이언트 액세스를 요구하지 않고 CRL을 제공하도록 프라이빗 PKI 솔루션을 구성하는 방법을 설명합니다.

참고

CloudFront를 사용하면 AWS 계정에 추가 비용이 발생합니다. 자세한 내용은 Amazon CloudFront 요금을 참조하세요.

BPA가 활성화된 S3 버킷에 CRL을 저장하기로 선택하고 CloudFront를 사용하지 않는 경우, PKI 클라이언트가 CRL에 액세스할 수 있도록 다른 CDN 솔루션을 구축해야 합니다.

BPA에 대한 CloudFront 설정

프라이빗 S3 버킷에 액세스할 수 있고 인증되지 않은 클라이언트에게 CRL을 제공할 수 있는 CloudFront 배포를 생성합니다.

CRL에 대한 CloudFront 배포를 구성하는 방법

  1. Amazon CloudFront 개발자 안내서배포 생성에 나와 있는 절차를 사용하여 새 CloudFront 배포를 생성합니다.

    절차를 완료하는 동안 다음 설정을 적용합니다.

    • 원본 도메인 이름에서 S3 버킷을 선택합니다.

    • 버킷 액세스 제한에서 를 선택합니다.

    • 원본 액세스 ID에 대한 새 ID 생성을 선택합니다.

    • 버킷에 대한 읽기 권한 부여에서 예, 버킷 정책 업데이트를 선택합니다.

      참고

      이 절차에서 CloudFront는 버킷 객체에 액세스할 수 있도록 버킷 정책을 수정합니다. crl 폴더 아래의 객체에만 액세스할 수 있도록 이 정책을 편집해 보세요.

  2. 배포가 초기화되면 CloudFront 콘솔에서 해당 도메인 이름을 찾아 다음 절차를 위해 저장합니다.

    참고

    us-east-1이 아닌 리전에서 S3 버킷을 새로 생성한 경우 CloudFront를 통해 게시된 애플리케이션에 액세스할 때 HTTP 307 임시 리디렉션 오류가 발생할 수 있습니다. 버킷 주소가 전파되는 데 몇 시간이 걸릴 수 있습니다.

CA에서 BPA을 설정합니다.

새 CA를 구성하는 동안 CloudFront 배포에 별칭을 포함합니다.

CloudFront용 CNAME을 사용하여 CA를 구성하는 방법

  • 에서 프라이빗 CA 생성 AWS Private CA를 사용하여 CA를 생성합니다.

    절차를 수행할 때 해지 파일 revoke_config.txt에는 비공개 CRL 객체를 지정하고 CloudFront의 배포 엔드포인트에 URL을 제공하는 다음 행이 포함되어야 합니다.

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
	"CustomCname":"abcdef012345.cloudfront.net"

    이후에 이 CA로 인증서를 발급하면 인증서에 다음과 같은 블록이 포함됩니다.

    X509v3 CRL Distribution Points: 
	Full Name:
	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
참고

이 CA에서 발급한 이전 인증서가 있는 경우 해당 CA는 CRL에 액세스할 수 없습니다.

CRL 배포 지점(CDP) URI 확인

워크플로에서 CRL 배포 지점(CDP) URI를 사용해야 하는 경우 해당 인증서에서 CRL URI를 사용하여 인증서를 발급하거나 다음 방법을 사용할 수 있습니다. 이는 전체 CRLs에만 적용됩니다. 분할된 CRLs 임의 GUID가 추가됩니다.

S3 버킷을 CA의 CRL 배포 지점(CDP)으로 사용하는 경우 CDP URI는 다음 형식 중 하나일 수 있습니다.

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

사용자 지정 CNAME으로 CA를 구성한 경우 CDP URI에는 예를 들어 CNAME이 포함됩니다. http://alternative.example.com/crl/CA-ID.crl