사설 인증서 요청 - AWS Certificate Manager

사설 인증서 요청

다음 섹션에서는 ACM 콘솔 또는 ACM CLI 명령을 사용하여 이전에 AWS Certificate Manager Private Certificate Authority를 사용하여 만든 기존 사설 인증 기관(CA)에서 사설 인증서를 요청하는 방법에 대해 설명합니다. 사설 CA 생성에 대한 자세한 내용은 사설 인증 기관 생성을 참조하십시오.

ACM에서 발급된 사설 인증서는 ACM에서 발급된 공인 인증서와 비슷합니다. 이 인증서에는 다음과 같은 제한 사항이 있습니다.

  • DNS 주체 이름을 사용해야 합니다. 자세한 내용은 도메인 이름 단원을 참조하십시오.

  • 2048 비트 RSA 프라이빗 키 알고리즘만 사용할 수 있습니다.

  • 지원되는 유일한 서명 알고리즘은 SHA256WithRSAEncryption입니다.

  • 각 인증서는 13개월 동안 유효합니다.

  • 사설 CA는 활성이어야 하며 CA 프라이빗 키 유형은 RSA 2048 또는 RSA 4096이어야 합니다.

  • ACM은 가능한 경우 11개월 후에 인증서를 자동으로 갱신합니다.

ACM PCA에서 발급된 사설 인증서에는 앞에서 설명한 제한 사항이 없습니다. 사설 CA를 사용하여 어떠한 주체 이름, 지원되는 프라이빗 키 알고리즘, 서명 알고리즘 및 유효 기간을 사용하는 인증서든지 생성할 수 있습니다. 이 기능은 특정한 이름을 기준으로 주체를 식별해야 하거나 인증서를 쉽게 교체할 수 없는 경우에 유용합니다. 자세한 내용은 사설 인증서 발급을 참조하십시오.

참고

사설 CA에서 CA 인증서의 만료 날짜가 요청된 인증서의 만료 날짜를 초과해서는 안 되며, 초과할 경우 인증서 요청이 실패하게 됩니다.

ACM 콘솔을 사용하여 사설 인증서 요청

  1. https://console.aws.amazon.com/acm/home에서 AWS Management Console에 로그인하여 ACM 콘솔을 실행합니다.

    인증서 요청을 선택합니다.

  2. 인증서 요청 페이지에서 사설 인증서 요청인증서 요청을 선택하여 계속합니다.

  3. 인증 기관(CA) 선택 페이지에서 CA 선택 필드를 클릭하여 사용 가능한 사설 CA 목록을 봅니다. 목록에서 CA를 선택합니다. CA에 대한 정보가 표시되어 올바른 CA를 선택했는지 확인할 수 있습니다.

    참고

    ACM 콘솔에는 ECDSA 키를 사용하는 사설 CA에 대해 사용 불가능이 표시됩니다.

    다음을 선택합니다.

  4. 도메인 이름 추가 페이지에서 도메인 이름을 입력합니다. www.example.com 같은 FQDN(Fully Qualified Domain Name)이나 example.com 같은 베어 또는 apex 도메인 이름을 사용할 수 있습니다. 맨 왼쪽에서 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com을 보호합니다. 와일드카드 이름은 ACM 인증서의 주체 필드와 주체 대체 이름 확장자에 표시됩니다.

    참고

    와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comlogin.example.comtest.example.com을 보호할 수 있지만 test.login.example.com은 보호할 수 없습니다. 또한 *.example.comexample.com의 하위 도메인 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 둘 모두를 보호하려면 다음 단계를 참조하십시오.

    참고

    사설 인증서의 도메인은 검증할 필요가 없습니다.

  5. 다른 이름을 추가하려면 이 인증서에 다른 이름 추가를 선택하고 텍스트 상자에 이름을 입력합니다. 이렇게 하면 베어 또는 apex 도메인(예: example.com)과 하위 도메인(예: *.example.com)을 보호하는 데 유용합니다.

    이름 추가를 마치면 다음을 선택합니다.

  6. 태그 추가 페이지에서 선택적으로 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키/값 쌍입니다. ACM 태그 파라미터 목록과 생성 후 인증서에 태그를 추가하는 방법에 대한 지침은 AWS Certificate Manager 인증서 태그 지정 단원을 참조하십시오.

    태그 추가를 마치면 검토 및 요청을 선택합니다.

  7. 검토 및 요청 페이지에 요청에 대한 정확한 정보가 포함되어 있으면 확인 및 요청을 선택합니다. ACM은 사설 인증서와 공인 인증서를 포함하는 모든 ACM 인증서에 대한 정보를 검토할 수 있는 인증서 페이지로 돌아갑니다.

CLI를 사용하여 사설 인증서 요청

request-certificate 명령을 사용하여 ACM에서 사설 인증서를 요청합니다.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

이 명령은 새 사설 인증서의 Amazon 리소스 이름(ARN)을 출력합니다.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }