프라이빗 인증서 해지 - AWS Private Certificate Authority
해지된 인증서 및 OCSPCRL의 해지된 인증서 감사 보고서에서 해지된 인증서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

프라이빗 인증서 해지

AWS CLIrevoke-certificate 명령 또는 API 작업을 사용하여 AWS Private CA 인증서를 해지할 수 있습니다. RevokeCertificate 예를 들어 비밀 키가 손상되거나 관련 도메인이 유효하지 않게 되는 경우 예정된 만료 전에 인증서를 해지해야 할 수 있습니다. 해지가 유효하려면 인증서를 사용하는 클라이언트가 보안 네트워크 연결을 구축하려고 할 때마다 해지 상태를 확인할 방법이 필요합니다.

AWS Private CA는 해지 상태 검사를 지원하는 완전히 관리되는 두 가지 메커니즘, 즉 온라인 인증서 상태 프로토콜(OCSP)과 인증서 취소 목록(CRL)을 제공합니다. OCSP를 사용하면 클라이언트가 상태를 실시간으로 반환하는 신뢰할 수 있는 해지 데이터베이스를 쿼리합니다. 클라이언트는 CRL을 사용하여 인증서를 정기적으로 다운로드하고 저장하는 해지된 인증서 목록과 대조합니다. 클라이언트는 취소된 인증서를 수락하지 않습니다.

OCSP와 CRL은 모두 인증서에 내장된 검증 정보를 기반으로 합니다. 따라서 발급 CA는 발급 전에 이러한 메커니즘 중 하나 또는 둘 다를 지원하도록 구성해야 합니다. AWS Private CA를 통한 관리형 해지 선택 및 구현하는 방법에 대한 자세한 내용은 인증서 취소 방법 설정 섹션을 참조하세요.

해지된 인증서는 항상 AWS Private CA 감사 보고서에 기록됩니다.

참고

교차 계정 인증서 발급자가 발급한 인증서를 취소하려면 추가 권한이 필요합니다. 그렇지 않으면 CA 소유자가 해지를 수행해야 합니다. 계정 간 발급자가 해지할 수 있도록 하려면 CA 관리자가 동일한 CA를 가리키는 RAM 공유 두 개를 만들어야 합니다.

  1. AWSRAMRevokeCertificateCertificateAuthority 권한의 공유.

  2. AWSRAMDefaultPermissionCertificateAuthority 권한의 공유.

인증서를 해지하는 방법

RevokeCertificateAPI 작업 또는 revoke-certificate 명령을 사용하여 프라이빗 PKI 인증서를 해지할 수 있습니다. 일련 번호는 16진수 형식이어야 합니다. get-certificate 명령을 호출하여 이 일련 번호를 검색할 수 있습니다. revoke-certificate 명령은 응답을 반환하지 않습니다.

$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"

해지된 인증서 및 OCSP

인증서를 해지할 때 OCSP 응답에 새 상태가 반영되기까지 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP는 해지 정보의 빠른 배포를 지원하는 경향이 있는데, 이는 클라이언트가 며칠 동안 캐시할 수 있는 CRL과 달리 OCSP 응답은 일반적으로 클라이언트에 의해 캐시되지 않기 때문입니다.

CRL의 해지된 인증서

CRL은 일반적으로 인증서가 해지된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하면 AWS Private CA는 15분마다 업데이트를 추가로 시도합니다.

CloudWatchAmazon에서는 지표 CRLGeneratedMisconfiguredCRLBucket 에 대한 경보를 생성할 수 있습니다. 자세한 내용은 지원되는 CloudWatch 지표를 참조하십시오. CRL 생성 및 구성에 대한 자세한 내용은 인증서 취소 목록(CRL) 계획 섹션을 참조하세요.

다음 예제에서는 인증서 취소 목록(CRL)에 있는 취소된 인증서를 보여줍니다.

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76

감사 보고서에서 해지된 인증서

해지된 인증서를 포함한 모든 인증서는 프라이빗 CA의 감사 보고서에 포함됩니다. 다음 예제에서는 발급된 인증서 하나와 해지된 인증서 하나가 포함된 감사 보고서를 보여줍니다. 자세한 설명은 프라이빗 CA에서 감사 보고서 사용 섹션을 참조하세요.

[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]