외부에서 서명된 프라이빗 CA 인증서 사용

프라이빗 CA 계층 구조의 신뢰 루트가 외부의 CA여야 하는 경우 자체 루트 CA를 생성하고 자체 서명 AWS Private CA할 수 있습니다. 또는 조직에서 운영하는 외부 사설 CA에서 서명한 사설 CA 인증서를 얻을 수 있습니다. 소스가 무엇이든 이 외부에서 얻은 CA를 사용하여 AWS Private CA 관리하는 프라이빗 하위 CA 인증서에 서명할 수 있습니다.

참고

외부 신뢰 서비스 공급자를 생성하거나 얻는 절차는 이 설명서에서는 다루지 않습니다.

와 함께 외부 상위 CA AWS Private CA 를 사용하면 RFC5280의 이름 제약 섹션에 정의된 대로 CA 이름 제약 조건을 적용할 수 있습니다. 이름 제약 조건을 사용하면 CA 관리자가 인증서에서 보안 주체 이름을 제한할 수 있습니다.

외부 CA를 사용하여 사설 하위 CA 인증서에 서명하려는 경우 AWS Private CA에서 작동하는 CA를 갖기 전에 완료해야 할 세 가지 작업이 있습니다.

1. 인증서 서명 요청()을 생성합니다CSR.

2. CSR 를 외부 서명 기관에 제출하고 서명된 인증서 및 인증서 체인과 함께 반환합니다.

3. 에 서명된 인증서를 설치합니다 AWS Private CA.

다음 절차에서는 AWS Management Console 또는 AWS CLI를 사용하여 이러한 작업을 완료하는 방법을 설명합니다.

외부에서 서명된 CA 인증서를 가져와 설치하는 방법(콘솔)

1. (선택 사항) CA의 세부 정보 페이지에 아직 없는 경우 https://console.aws.amazon.com/acm-pca/집에서 콘솔을 AWS Private CA 엽니다. 프라이빗 인증 기관 페이지에서 인증서 보류 중, 활성, 비활성화 또는 만료됨 상태의 하위 CA를 선택합니다.

2. 작업, CA 인증서 설치를 선택하여 하위 CA 인증서 설치 페이지를 엽니다.

3. 하위 CA 인증서 설치 페이지의 CA 유형 선택에서 외부 프라이빗 CA를 선택합니다.

4. CSR 이 CA 의 경우 콘솔에 의 Base64-encoded ASCII 텍스트가 표시됩니다CSR. 복사 버튼을 사용하여 텍스트를 복사하거나 파일로 내보내기를 선택하여 로컬CSR에 저장할 수 있습니다.

   참고

   복사 및 붙여넣을 때 CSR 텍스트의 정확한 형식을 보존해야 합니다.

5. 오프라인 단계를 즉시 수행하여 외부 서명 기관으로부터 서명된 인증서를 받을 수 없는 경우, 서명된 인증서와 인증서 체인을 보유하고 나면 페이지를 닫고 해당 페이지로 돌아갈 수 있습니다.

   그렇지 않으면 준비가 되었으면 다음 중 하나를 수행합니다.

   • 인증서 본문과 인증서 체인의 Base64-encoded ASCII 텍스트를 해당 텍스트 상자에 붙여 넣습니다.

   • 업로드를 선택하여 로컬 파일의 인증서 본문과 인증서 체인을 해당 텍스트 상자로 로드합니다.

6. 확인 및 설치를 선택합니다.

외부에서 서명된 CA 인증서를 가져와 설치하려면(CLI)

1. get-certificate-authority-csr 명령을 사용하여 프라이빗 CA에 대한 인증서 서명 요청(CSR)을 검색합니다. 를 디스플레이CSR로 보내려면 --output text 옵션을 사용하여 각 줄의 끝에서 CR/LF 문자를 제거합니다. CSR 를 파일로 보내려면 리디렉션 옵션(>)과 파일 이름을 차례로 사용합니다.

   $ aws acm-pca get-certificate-authority-csr \
   --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --output text

   를 CSR 로컬 파일로 저장한 후 다음 OpenSSL 명령을 사용하여 검사할 수 있습니다.

   openssl req -in path_to_CSR_file -text -noout

   이 명령은 다음과 비슷한 출력을 생성합니다. CA 확장은 이며TRUE, 이는 이 CA 인증서CSR용임을 나타냅니다.

   Certificate Request:
   Data:
   Version: 0 (0x0)
   Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
   Subject Public Key Info:
       Public Key Algorithm: rsaEncryption
           Public-Key: (2048 bit)
           Modulus:
               00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
               1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
               7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
               c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
               ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
               46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
               f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
               38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
               b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
               a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
               a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
               b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
               1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
               8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
               14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
               3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
               68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
               f6:27
           Exponent: 65537 (0x10001)
   Attributes:
   Requested Extensions:
       X509v3 Basic Constraints:
           CA:TRUE
   Signature Algorithm: sha256WithRSAEncryption
    c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
    a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
    ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
    ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
    de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
    ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
    8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
    f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
    79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
    28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
    2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
    d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
    7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
    4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
    d1:83:66:40

2. 외부 서명 기관에 CSR를 제출하고 Base64PEM로 인코딩된 서명된 인증서 및 인증서 체인이 포함된 파일을 가져옵니다.

3. import-certificate-authority-certificate 명령을 사용하여 프라이빗 CA 인증서 파일과 체인 파일을 로 가져옵니다 AWS Private CA.

   $ aws acm-pca import-certificate-authority-certificate \
   --certificate-authority-arn arn:aws:acm-pca:region:account:\
   certificate-authority/12345678-1234-1234-1234-123456789012 \
   --certificate file://C:\example_ca_cert.pem \
   --certificate-chain file://C:\example_ca_cert_chain.pem