AWS Certificate Manager
사용 설명서 (버전 1.0)

사설 인증서 요청

다음 단원에서는 ACM 콘솔 또는 ACM PCA CLI를 사용하여 기존 사설 인증 기관(CA)에서 사설 인증서를 요청하는 방법을 설명합니다. 사설 CA 생성에 대한 자세한 내용은 사설 인증 기관 생성을 참조하십시오.

ACM에서 발급된 사설 인증서는 ACM에서 발급된 공인 인증서와 비슷합니다. 이 인증서에는 다음과 같은 제한 사항이 있습니다.

  • DNS 주체 이름을 사용해야 합니다. 자세한 내용은 도메인 이름 단원을 참조하십시오.

  • 2048 비트 RSA 프라이빗 키 알고리즘만 사용할 수 있습니다.

  • 지원되는 유일한 서명 알고리즘은 SHA256WithRSAEncryption입니다.

  • 각 인증서는 13개월 동안 유효합니다.

  • 사설 CA는 활성이어야 하며 CA 프라이빗 키 유형은 RSA 2048 또는 RSA 4096이어야 합니다.

  • ACM은 가능한 경우 11개월 후에 인증서를 자동으로 갱신합니다.

ACM PCA에서 발급된 사설 인증서에는 앞에서 설명한 제한 사항이 없습니다. 사설 CA를 사용하여 어떠한 주체 이름, 지원되는 프라이빗 키 알고리즘, 서명 알고리즘 및 유효 기간을 사용하는 인증서든지 생성할 수 있습니다. 이 기능은 특정한 이름을 기준으로 주체를 식별해야 하거나 인증서를 쉽게 교체할 수 없는 경우에 유용합니다. 자세한 내용은 사설 인증서 발급을 참조하십시오.

참고

사설 CA에서 CA 인증서의 만료 날짜가 요청된 인증서의 만료 날짜를 초과해서는 안 되며, 초과할 경우 인증서 요청이 실패하게 됩니다.

콘솔을 사용하여 사설 인증서 요청

  1. https://console.aws.amazon.com/acm/home에서 AWS Management Console에 로그인하여 ACM 콘솔을 실행합니다.

  2. 사설 인증서 요청을 선택한 다음 인증서 요청을 선택합니다.

  3. 다운로드 목록에서 사설 CA를 선택합니다. 원하는 CA를 선택했는지 확인할 수 있도록 CA에 대한 정보가 목록 아래에 채워집니다.

    참고

    ACM 콘솔에는 ECDSA 키를 사용하는 사설 CA에 대해 사용 불가능이 표시됩니다.

  4. [Next]를 선택합니다.

  5. 인증서 요청 페이지에 도메인 이름을 입력합니다. www.example.com 같은 FQDN(Fully Qualified Domain Name)이나 example.com 같은 베어 또는 apex 도메인 이름을 사용할 수 있습니다. 맨 왼쪽에서 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com을 보호합니다. 와일드카드 이름은 ACM 인증서의 제목 필드와 Subject Alternative Name(제목 대체 이름) 확장에 표시됩니다.

    참고

    와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comlogin.example.comtest.example.com을 보호할 수 있지만 test.login.example.com은 보호할 수 없습니다. 또한 *.example.comexample.com의 하위 도메인 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 둘 모두를 보호하려면 다음 단계를 참조하십시오.

  6. ACM 인증서에 더 많은 도메인 이름을 추가하려면 Add more names(더 많은 이름 추가)를 선택하고 다음에 열리는 텍스트 상자에 다른 도메인 이름을 입력합니다. 이렇게 하면 베어 또는 apex 도메인(예: example.com)과 하위 도메인(*.example.com)을 보호하는 데 유용합니다.

  7. 유효한 이름을 입력한 후 검토 및 요청을 선택하거나 취소를 선택하여 종료합니다.

  8. 검토 페이지를 점검하여 모든 정보가 올바른지 확인한 다음 확인 및 요청을 선택합니다.

    참고

    사설 인증서를 확인할 필요는 없습니다.

CLI를 사용하여 사설 인증서 요청

request-certificate 명령을 사용하여 ACM에서 사설 인증서를 요청합니다.

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

이 명령은 새 사설 인증서의 Amazon 리소스 이름(ARN)을 출력합니다.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }