AWS Private CA 인증서 취소 방법 계획 - AWS Private Certificate Authority
요구 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Private CA 인증서 취소 방법 계획

PKI 를 사용하여 프라이빗을 계획할 때는 엔드포인트의 프라이빗 키가 노출되는 경우와 같이 엔드포인트가 더 이상 발급된 인증서를 신뢰하지 못하게 하는 상황을 처리하는 방법을 고려해야 AWS Private CA합니다. 이 문제에 대한 일반적인 접근 방식은 단기 인증서를 사용하거나 인증서 취소를 구성하는 것입니다. 단기 인증서는 몇 시간 또는 며칠 단위로 만료되므로 해지하는 것은 의미가 없으며, 엔드포인트에 해지를 알리는 데 걸리는 시간과 거의 같은 시간이 지나면 인증서가 유효하지 않게 됩니다. 이 섹션에서는 구성 및 모범 사례를 포함하여 AWS Private CA 고객을 위한 해지 옵션에 대해 설명합니다.

취소 방법을 찾는 고객은 온라인 인증서 상태 프로토콜(OCSP), 인증서 취소 목록(CRLs) 또는 둘 다를 선택할 수 있습니다.

참고

해지를 구성하지 않고 CA를 생성하는 경우 언제든지 나중에 구성할 수 있습니다. 자세한 내용은 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority 단원을 참조하십시오.

  • 온라인 인증서 상태 프로토콜(OCSP)

    AWS Private CA 는 고객이 인프라를 직접 운영할 필요 없이 인증서가 취소되었음을 엔드포인트에 알리는 완전 관리형 OCSP 솔루션을 제공합니다. 고객은 AWS Private CA 콘솔, , 또는 를 사용하여 단일 작업CAs으로 새 CLI또는 기존 OCSP에서 API를 활성화할 수 있습니다 AWS CloudFormation. CRLs 는 엔드포인트에 저장 및 처리되며 오래된 것일 수 있지만, OCSP 스토리지 및 처리 요구 사항은 응답기 백엔드에서 동기적으로 처리됩니다.

    CAOCSP에 대해 를 활성화하면 는 발급된 각 새 인증서URL의 권한 정보 액세스(AIA) 확장에 OCSP 응답기의 를 AWS Private CA 포함합니다. 확장을 사용하면 웹 브라우저와 같은 클라이언트가 응답자를 쿼리하고 최종 엔터티 또는 하위 CA 인증서를 신뢰할 수 있는지 여부를 확인할 수 있습니다. 응답자는 신뢰성을 보장하기 위해 암호로 서명된 상태 메시지를 반환합니다.

    응답 AWS Private CA OCSP기는 RFC 5019를 준수합니다.

    OCSP 고려 사항

    • OCSP 상태 메시지는 발급 CA가 사용하도록 구성한 것과 동일한 서명 알고리즘을 사용하여 서명됩니다. CAs 콘솔에서 생성된 는 AWS Private CA 기본적으로 SHA256WITHRSA 서명 알고리즘을 사용합니다. 지원되는 다른 알고리즘은 CertificateAuthorityConfiguration API 설명서에서 찾을 수 있습니다.

    • APIPassthrough 및 CSRPassthrough 인증서 템플릿은 OCSP 응답기가 활성화된 경우 AIA 확장에서 작동하지 않습니다.

    • 관리형 OCSP 서비스의 엔드포인트는 퍼블릭 인터넷에서 액세스할 수 있습니다. 퍼블릭 엔드포인트를 원OCSP하지만 원하지 않는 고객은 자체 OCSP 인프라를 운영해야 합니다.

  • 인증서 취소 목록(CRLs)

    에는 취소된 인증서 목록이 CRL 포함되어 있습니다. 를 생성하도록 CA를 구성할 때 CRLs는 발급된 각 새 인증서에 CRL 배포 지점 확장을 AWS Private CA 포함합니다. 이 확장은 에 URL 대한 를 제공합니다CRL. 확장을 사용하면 웹 브라우저와 같은 클라이언트가 를 쿼리CRL하고 최종 엔티티 또는 하위 CA 인증서를 신뢰할 수 있는지 여부를 결정할 수 있습니다.

클라이언트는 로컬에서 다운로드CRLs하고 처리해야 하기 때문에 보다 메모리 집약적입니다OCSP. CRLs CRLs는 의 목록이 다운로드되고 캐시되므로 각 새 연결 시도에 대한 취소 상태를 확인하는 것과 비교하여 네트워크 대역폭을 덜 소비OCSP할 수 있습니다.

참고

OCSP 및 모두 취소와 상태 변경 가용성 사이에 약간의 지연을 CRLs 나타냅니다.

  • OCSP 인증서를 취소할 때 응답에 새 상태가 반영되는 데 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP 는 며칠 동안 클라이언트가 캐시할 수 CRLs 있는 것과 달리 OCSP 응답은 일반적으로 클라이언트가 캐시하지 않기 때문에 취소 정보의 더 빠른 배포를 지원하는 경향이 있습니다.

  • CRL 는 일반적으로 인증서가 취소된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하면 AWS Private CA 는 15분마다 추가 시도를 수행합니다.

해지 구성에 대한 일반 요구 사항

모든 해지 구성에는 다음 요구 사항이 적용됩니다.

  • CRLs 또는 를 비활성화하는 구성은 Enabled=False 파라미터만 포함해야 OCSP 하며 CustomCname 또는 와 같은 다른 파라미터ExpirationInDays가 포함된 경우 실패합니다.

  • CRL 구성에서 S3BucketName 파라미터는 Amazon Simple Storage Service 버킷 이름 지정 규칙 을 준수해야 합니다.

  • CRLs 또는 에 대한 사용자 지정 표준 이름(CNAME) 파라미터를 포함하는 구성은 에서 특수 문자 사용에 대한 RFC7230개의 제한을 준수해야 OCSP 합니다CNAME.

  • CRL 또는 OCSP 구성에서 CNAME 파라미터 값에는 “http://" 또는 “ 같은 프로토콜 접두사가 포함되어서는 안 됩니다https://".

주제