외부에서 서명된 프라이빗 CA 인증서

사설 CA 계층 구조의 신뢰 루트가 AWS Private CA 외부의 CA여야 하는 경우에는 자체 루트 CA를 생성하고 자체 서명할 수 있습니다. 또는 조직에서 운영하는 외부 사설 CA에서 서명한 사설 CA 인증서를 얻을 수 있습니다. 소스가 무엇이든 외부에서 획득한 이러한 CA를 사용하여 AWS Private CA가 관리하는 프라이빗 하위 CA 인증서에 서명할 수 있습니다.

참고

외부 신뢰 서비스 공급자를 생성하거나 얻는 절차는 이 설명서에서는 다루지 않습니다.

AWS Private CA 권한이 있는 외부 상위 CA를 사용하면 RFC 5280의 이름 제약 조건 섹션에 정의된 대로 CA 이름 제약 조건을 적용할 수 있습니다. 이름 제약 조건을 사용하면 CA 관리자가 인증서에서 보안 주체 이름을 제한할 수 있습니다.

외부 CA를 사용하여 사설 하위 CA 인증서에 서명하려는 경우 AWS Private CA에서 작동하는 CA를 갖기 전에 완료해야 할 세 가지 작업이 있습니다.

1. 인증서 서명 요청(CSR)을 생성합니다.

2. CSR을 외부 서명 기관에 제출하고 서명된 인증서 및 인증서 체인과 함께 반환합니다.

3. AWS Private CA의 서명된 인증서를 설치합니다.

다음 절차에서는 AWS Management Console 또는 AWS CLI를 사용하여 이러한 작업을 완료하는 방법을 설명합니다.

외부에서 서명된 CA 인증서를 가져와 설치하는 방법(콘솔)

1. (옵션) CA의 세부 정보 페이지에 아직 접속하지 않은 경우 https://console.aws.amazon.com/acm-pca/home에서 AWS Private CA 콘솔을 엽니다. 프라이빗 인증 기관 페이지에서 인증서 보류 중, 활성, 비활성화 또는 만료됨 상태의 하위 CA를 선택합니다.

2. 작업, CA 인증서 설치를 선택하여 하위 CA 인증서 설치 페이지를 엽니다.

3. 하위 CA 인증서 설치 페이지의 CA 유형 선택에서 외부 프라이빗 CA를 선택합니다.

4. 이 CA의 CSR에서 콘솔에는 CSR의 Base64로 인코딩된 ASCII 텍스트가 표시됩니다. 복사 버튼을 사용하여 텍스트를 복사하거나 CSR을 파일로 내보내기를 선택하여 로컬에 저장할 수 있습니다.

   참고

   복사하여 붙여넣을 때는 CSR 텍스트의 정확한 형식을 유지해야 합니다.

5. 오프라인 단계를 즉시 수행하여 외부 서명 기관으로부터 서명된 인증서를 받을 수 없는 경우, 서명된 인증서와 인증서 체인을 보유하고 나면 페이지를 닫고 해당 페이지로 돌아갈 수 있습니다.

   그렇지 않으면 준비가 되었으면 다음 중 하나를 수행합니다.

   • 인증서 본문과 인증서 체인의 Base64로 인코딩된 ASCII 텍스트를 해당 텍스트 상자에 붙여넣습니다.

   • 업로드를 선택하여 로컬 파일의 인증서 본문과 인증서 체인을 해당 텍스트 상자로 로드합니다.

6. 확인 및 설치를 선택합니다.

외부에서 서명된 CA 인증서(CLI)를 가져와 설치하는 방법

1. get-certificate-authority-csr명령을 사용하여 사설 CA에 대한 인증서 서명 요청 (CSR) 을 검색합니다. CSR을 디스플레이로 보내려면 --output text 옵션을 사용하여 각 줄 끝에서 CR/LF 문자를 제거합니다. CSR을 파일로 보내려면 리디렉션 옵션(>) 다음에 파일 이름을 입력합니다.

   $ aws acm-pca get-certificate-authority-csr \
   --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --output text

   CSR을 로컬 파일로 저장한 후 다음 OpenSSL 명령을 사용하여 CSR을 검사할 수 있습니다.

   openssl req -in path_to_CSR_file -text -noout

   이 명령은 다음과 비슷한 출력을 생성합니다. CA 확장은 TRUE이고, 이는 CSR이 CA 인증서에 대한 것임을 나타냅니다.

   Certificate Request:
   Data:
   Version: 0 (0x0)
   Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
   Subject Public Key Info:
       Public Key Algorithm: rsaEncryption
           Public-Key: (2048 bit)
           Modulus:
               00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
               1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
               7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
               c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
               ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
               46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
               f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
               38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
               b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
               a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
               a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
               b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
               1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
               8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
               14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
               3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
               68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
               f6:27
           Exponent: 65537 (0x10001)
   Attributes:
   Requested Extensions:
       X509v3 Basic Constraints:
           CA:TRUE
   Signature Algorithm: sha256WithRSAEncryption
    c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
    a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
    ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
    ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
    de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
    ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
    8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
    f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
    79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
    28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
    2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
    d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
    7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
    4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
    d1:83:66:40

2. CSR을 외부 서명 기관에 제출하고 Base64 PEM으로 인코딩된 서명된 인증서 및 인증서 체인이 포함된 파일을 가져오십시오.

3. import-certificate-authority-certificate명령을 사용하여 사설 CA 인증서 파일과 체인 파일을 로 AWS Private CA 가져옵니다.

   $ aws acm-pca import-certificate-authority-certificate \
   --certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate file://C:\example_ca_cert.pem \
   --certificate-chain file://C:\example_ca_cert_chain.pem