AWS Private CA 인증서 해지 방법 계획 - AWS Private Certificate Authority
요구 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Private CA 인증서 해지 방법 계획

를 사용하여 프라이빗 PKI를 계획 AWS Private CA할 때 엔드포인트의 프라이빗 키가 노출되는 경우와 같이 엔드포인트가 더 이상 발급된 인증서를 신뢰하지 못하게 하는 상황을 처리하는 방법을 고려해야 합니다. 이 문제에 대한 일반적인 접근 방식은 단기 인증서를 사용하거나 인증서 취소를 구성하는 것입니다. 단기 인증서는 몇 시간 또는 며칠 단위로 만료되므로 해지하는 것은 의미가 없으며, 엔드포인트에 해지를 알리는 데 걸리는 시간과 거의 같은 시간이 지나면 인증서가 유효하지 않게 됩니다. 이 섹션에서는 구성 및 모범 사례를 포함하여 AWS Private CA 고객을 위한 해지 옵션에 대해 설명합니다.

해지 방법을 찾는 고객은 온라인 인증서 상태 프로토콜(OCSP), 인증서 취소 목록(CRL) 또는 둘 다를 선택할 수 있습니다.

참고

해지를 구성하지 않고 CA를 생성하는 경우 언제든지 나중에 구성할 수 있습니다. 자세한 내용은 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority 단원을 참조하십시오.

  • 온라인 인증서 상태 프로토콜(OCSP)

    AWS Private CA 는 고객이 인프라를 직접 운영할 필요 없이 인증서가 취소되었음을 엔드포인트에 알리는 완전 관리형 OCSP 솔루션을 제공합니다. 고객은 AWS Private CA 콘솔, API, CLI 또는를 통해 단일 작업으로 신규 또는 기존 CAs에서 OCSP를 활성화할 수 있습니다 AWS CloudFormation. CRL은 엔드포인트에서 저장 및 처리되며 무효화될 수 있지만 OCSP 스토리지 및 처리 요구 사항은 응답자 백엔드에서 동기적으로 처리됩니다.

    CA에 대해 OCSP를 활성화하면는 발급된 각 새 인증서의 권한 정보 액세스(AIA) 확장에 OCSP 응답기의 URL을 AWS Private CA 포함합니다. 확장을 사용하면 웹 브라우저와 같은 클라이언트가 응답자를 쿼리하고 최종 엔터티 또는 하위 CA 인증서를 신뢰할 수 있는지 여부를 확인할 수 있습니다. 응답자는 신뢰성을 보장하기 위해 암호로 서명된 상태 메시지를 반환합니다.

    AWS Private CA OCSP 응답기는 RFC 5019를 준수합니다.

    OCSP 고려 사항

    • OCSP 상태 메시지는 발급 CA가 사용하도록 구성된 것과 동일한 서명 알고리즘을 사용하여 서명됩니다. AWS Private CA 콘솔에서 만든 CA는 기본적으로 SHA256WITHRSA 서명 알고리즘을 사용합니다. 지원되는 다른 알고리즘은 인증 기관 구성 API 설명서에서 찾을 수 있습니다.

    • OCSP 응답자가 활성화된 경우 APIPassthrough 및 CSRPassthrough 인증서 템플릿은 AIA 확장과 함께 작동하지 않습니다.

    • 관리형 OCSP 서비스의 엔드포인트는 공용 인터넷에서 액세스할 수 있습니다. OCSP를 원하지만 퍼블릭 엔드포인트는 원하지 않는 고객은 자체 OCSP 인프라를 운영해야 합니다.

  • 인증서 해지 목록(CRL)

    인증서 해지 목록(CRL)은 예정된 만료 날짜 이전에 취소된 인증서 목록이 포함된 파일입니다. CRL에는 더 이상 신뢰할 수 없는 인증서 목록, 해지 이유 및 기타 관련 정보가 포함되어 있습니다.

    CA(인증 기관)를 구성할 때가 전체 CRL을 AWS Private CA 생성할지 아니면 분할할지를 선택할 수 있습니다. 선택한 항목에 따라 인증 기관에서 발급하고 취소할 수 있는 최대 인증서 수가 결정됩니다. 자세한 내용은 AWS Private CA quotas를 참조하십시오.

    CRL 고려 사항

    • 메모리 및 대역폭 고려 사항: 로컬 다운로드 및 처리 요구 사항으로 인해 CRLs OCSP보다 더 많은 메모리가 필요합니다. 그러나 CRLs 연결당 상태를 확인하는 대신 취소 목록을 캐싱하여 OCSP에 비해 네트워크 대역폭을 줄일 수 있습니다. 특정 IoT 디바이스와 같이 메모리가 제한된 디바이스의 경우 분할된 CRLs을 사용하는 것이 좋습니다.

    • CRL 유형 변경: 완료에서 분할된 CRL로 변경할 때 필요에 따라 새 파티션을 AWS Private CA 생성하고 원본을 포함한 모든 CRLs에 IDP 확장을 추가합니다. 파티셔닝에서 완료로 변경하면 단일 CRL만 업데이트되고 이전 파티션과 연결된 인증서의 향후 취소가 방지됩니다.

참고

OCSP와 CRL 모두 취소와 상태 변경 가능 시점 사이에 약간의 지연이 있습니다.

  • 인증서를 해지할 때 OCSP 응답에 새 상태가 반영되기까지 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP는 해지 정보의 빠른 배포를 지원하는 경향이 있는데, 이는 클라이언트가 며칠 동안 캐시할 수 있는 CRL과 달리 OCSP 응답은 일반적으로 클라이언트에 의해 캐시되지 않기 때문입니다.

  • CRL은 일반적으로 인증서가 해지된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하면 AWS Private CA 는 15분마다 추가로 시도합니다.

해지 구성에 대한 일반 요구 사항

모든 해지 구성에는 다음 요구 사항이 적용됩니다.

  • CRL 또는 OCSP를 비활성화하는 구성은 Enabled=False 파라미터만 포함해야 하며 CustomCname 또는 ExpirationInDays 등의 다른 파라미터가 포함된 경우 실패합니다.

  • CRL 구성에서 S3BucketName 파라미터는 Amazon Simple Storage Service 버킷 명명 규칙을 준수해야 합니다.

  • CRL 또는 OCSP에 대한 사용자 지정 표준 이름(CNAME) 파라미터가 포함된 구성은 CNAME에 특수 문자 사용에 대한 RFC7230 제한을 준수해야 합니다.

  • CRL 또는 OCSP 구성에서 CNAME 파라미터 값에 'http://' 또는 'https://' 등의 프로토콜 접두사가 포함되지 않아야 합니다.

주제