사설 인증서 요청 - AWSCertificate Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사설 인증서 요청

다음 섹션에서는 ACM 콘솔 또는 ACM CLI 명령을 사용하여 이전에 ACM 사설 CA를 사용하여 생성한 사설 인증 기관 (CA) 에서 서명한 사설 PKI 인증서를 요청하는 방법을 설명합니다. CA는 귀하의 계정에 상주하거나 다른 계정으로 귀하와 공유될 수 있습니다. 사설 CA 생성에 대한 자세한 내용은 사설 인증 기관 생성을 참조하십시오.

공용 및 개인 ACM 인증서는 모두 X.509 표준을 따르지만 공용 인증서에는 다음 제한 사항이 적용됩니다.

  • DNS 주체 이름을 사용해야 합니다. 자세한 내용은 도메인 이름 단원을 참조하십시오.

  • 2048비트 RSA 프라이빗 키 알고리즘만 사용할 수 있습니다.

  • 지원되는 유일한 서명 알고리즘은 SHA256WithRSAEncryption입니다.

  • 각 인증서는 13개월 (395일) 동안 유효하며 가능한 경우 11개월 후에 인증서를 자동으로 갱신합니다.

사설 CA에서 서명한 인증서에는 이러한 제한이 없습니다. 대신 다음 중 하나를 수행할 수 있습니다.

  • 임의의 주체 이름 사용

  • 다음과 같이 개인 키 알고리즘을 사용하십시오.지원ACM 사설 CA

  • 서명 알고리즘 사용지원ACM 사설 CA

  • 유효 기간을 지정합니다.

이러한 유연성은 특정 이름을 기준으로 주체를 식별해야 하거나 인증서를 쉽게 교체할 수 없는 경우에 유용합니다.

참고

사설 CA에서 CA 인증서의 만료 날짜가 요청된 인증서의 만료 날짜를 초과해서는 안 되며, 초과할 경우 인증서 요청이 실패하게 됩니다.

사설 CA는 활성이어야 하며 CA 프라이빗 키 유형은 RSA 2048 또는 RSA 4096이어야 합니다.

참고

개인 CA에서 서명한 인증서는 기본적으로 신뢰할 수 없으므로 관리자는 클라이언트 신뢰 저장소에 인증서를 설치해야 합니다.

사설 CA에 대한 액세스 구성

ACM 개인 CA를 사용하여 다음 두 가지 경우 중 하나로 ACM 인증서에 서명할 수 있습니다.

  • 단일 계정: 발급된 서명 CA 및 ACM 인증서는 동일한AWS계정에 로그인합니다.

    단일 계정 발급 및 갱신을 사용하려면 ACM Private CA 관리자가 ACM 서비스 주체에 인증서를 생성, 검색 및 나열할 수 있는 권한을 부여해야 합니다. 이 작업은 ACM 전용 CA API 작업을 사용하여 수행됩니다.CreatePermission또는AWS CLI명령만들기 사용 권한. 계정 소유자는 인증서 발급을 담당하는 IAM 사용자 또는 그룹에 이러한 권한을 할당합니다.

  • 교차 계정: 발급된 서명 CA 및 ACM 인증서는 서로 다른AWS계정에 대한 액세스 권한이 있으며 인증서가 있는 계정에 CA에 대한 액세스 권한이 부여되었습니다.

    교차 계정 발급 및 갱신을 활성화하려면 ACM 개인 CA 관리자가 ACM 전용 CA API 작업을 사용하여 리소스 기반 정책을 CA에 연결해야 합니다.PutPolicy또는AWS CLI명령put-policy. 이 정책은 CA에 대한 제한된 액세스가 허용되는 다른 계정의 보안 주체를 지정합니다. 자세한 내용은 단원을 참조하십시오.ACM 개인 CA에서 리소스 기반 정책 사용.

    교차 계정 시나리오에서는 ACM이 SLR (서비스 연결 역할) 을 설정하여 PCA 정책과 보안 주체로 상호 작용해야 합니다. ACM은 첫 번째 인증서를 발급하는 동안 SLR을 자동으로 만듭니다.

    ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 경고를 표시할 수 있습니다. 필요한 경우iam:GetRole권한이 이미 계정에 대한 ACM SLR에 부여된 경우 SLR이 생성된 후 경고가 다시 발생하지 않습니다. 재발하는 경우 사용자 또는 계정 관리자가iam:GetRole권한을 부여하거나 계정을 ACM 관리형 정책과 연결할 수 있습니다.AWSCertificateManagerFullAccess.

    자세한 내용은 단원을 참조하십시오.ACM에서 서비스 연결 역할 사용.

중요

ACM 인증서는 지원되는AWS서비스를 자동으로 갱신하려면 해당 서비스가 필요합니다. ACM에서 지원하는 리소스에 대한 자세한 내용은에 통합된 서비스AWSCertificate Manager.

ACM 콘솔을 사용하여 사설 인증서 요청

  1. 에 로그인합니다.AWS관리형 콘솔에서 에서 ACM 콘솔을 엽니다.https://console.aws.amazon.com/acm/home.

    인증서 요청을 선택합니다.

  2. 인증서 요청 페이지에서 사설 인증서 요청인증서 요청을 선택하여 계속합니다.

  3. CA (인증 기관) 선택페이지에서CA 선택필드를 클릭하여 ARN 으로 식별된 사용 가능한 프라이빗 CA 목록을 확인합니다. CA가 다른 계정에서 공유되는 경우 ARN 앞에 소유권 정보가 표시됩니다. 목록에서 CA를 선택합니다.

    CA에 대한 세부 정보가 표시되어 올바른 CA를 선택했는지 확인할 수 있습니다.

    • Owner

    • 유형

    • 주체 고유 이름

    • 조직 (O)

    • 조직 단위(OU)

    • 국가 이름(C)

    • 주 또는 지방

    • 지역 이름

    • 일반 이름 (CN)

    참고

    ACM 콘솔에부적격ECDSA 키를 사용하는 사설 CA에 대해 알아봅니다.

    [Next]를 선택합니다.

  4. 도메인 이름 추가 페이지에서 도메인 이름을 입력합니다. www.example.com 같은 FQDN(Fully Qualified Domain Name)이나 example.com 같은 베어 또는 apex 도메인 이름을 사용할 수 있습니다. 맨 왼쪽에서 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com을 보호합니다. 와일드카드 이름이제목필드와대체 주체 이름ACM 인증서의 확장이 가능합니다.

    참고

    와일드카드 인증서를 요청하면 별표 (*) 은 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comlogin.example.comtest.example.com을 보호할 수 있지만 test.login.example.com은 보호할 수 없습니다. 또한 참고:*.example.com보호의 하위 도메인example.com, 그것은 베어 또는 정점 도메인을 보호하지 않습니다 (example.com). 둘 모두를 보호하려면 다음 단계를 참조하십시오.

    참고

    사설 인증서의 도메인은 검증할 필요가 없습니다.

  5. 다른 이름을 추가하려면 이 인증서에 다른 이름 추가를 선택하고 텍스트 상자에 이름을 입력합니다. 이렇게 하면 베어 또는 apex 도메인 (예:example.com) 와 그 하위 도메인 (예:*.example.com).

    이름 추가를 마치면 다음을 선택합니다.

  6. 태그 추가 페이지에서 선택적으로 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키-값 쌍입니다. ACM 태그 파라미터의 목록과 생성 후 인증서에 태그를 추가하는 방법에 대한 지침은 단원을 참조하십시오.태그 지정AWSCertificate Manager 인증서.

    태그 추가를 마치면 검토 및 요청을 선택합니다.

  7. 검토 및 요청페이지에는 요청에 대한 정보가 표시됩니다.

    다른 계정에서 사용자와 공유되는 CA를 처음 사용하는 경우 ACM은 계정에 대해 SLR (서비스 연결 역할) 이 생성된다는 경고를 표시합니다. 이 역할은 CA로 서명한 인증서의 자동 갱신을 허용합니다. 자세한 내용은 단원을 참조하십시오.ACM에서 서비스 연결 역할 사용.

    정보가 올바르면확인 및 요청. ACM이 사용자를인증서페이지에서 개인 및 공용 모든 ACM 인증서에 대한 정보를 검토할 수 있습니다.

    참고

    이때 ACM에서 두 개의 알림 중 하나를 표시할 수 있습니다.

    • 해당 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없습니다. 잘못된 권한 설정으로 인해 발생할 수 있습니다. 인증서 요청은 계속 진행될 수 있지만 자동 갱신을 사용하려면 인증서가 만료되기 전에 사용자 또는 관리자가 필요한 권한을 제공해야 합니다. 자세한 내용은 단원을 참조하십시오.ACM에서 서비스 연결 역할 사용.

    • 그 ACM은 귀하의 계정에 SLR이 없다는 것을 확인했고, 그 중 하나가 당신을 위해 생성될 것입니다.

CLI를 사용하여 사설 인증서 요청

사용요청 인증서명령을 사용하여 ACM에서 사설 인증서를 요청합니다.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

이 명령은 새 사설 인증서의 Amazon 리소스 이름(ARN)을 출력합니다.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }

대부분의 경우 ACM은 공유 CA를 처음 사용할 때 SLR (서비스 연결 역할) 을 계정에 자동으로 연결합니다. SLR을 사용하면 발급한 최종 엔터티 인증서의 자동 갱신을 사용할 수 있습니다. SLR이 있는지 확인하려면 다음 명령을 사용하여 IAM을 쿼리할 수 있습니다.

aws iam get-role --role-name AWSServiceRoleForCertificateManager

SLR이 있으면 명령 출력은 다음과 같을 것입니다.

{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{ "LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } } }

SLR이 없는 경우ACM에서 서비스 연결 역할 사용.