RFC 규정 준수 - AWS Private Certificate Authority

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

RFC 규정 준수

AWS Private CA RFC 5280에 정의된 특정 제약 조건을 적용하지 않습니다. 반대의 상황도 마찬가지입니다. 사설 CA에 해당되는 특정한 추가 제약 조건이 적용됩니다.

적용

  • 날짜 이후에 적용되지 않음 RFC 5280에 따라 AWS Private CA 는 CA 인증서 발급 날짜 Not After보다 Not After일 늦은 날짜의 인증서 발급을 금지합니다.

  • 기본 제약 조건. AWS Private CA 가져온 CA 인증서에 기본 제약 조건 및 경로 길이를 적용합니다.

    기본 제약 조건은 인증서에 의해 식별된 리소스가 CA인지 여부와 인증서를 발급할 수 있는지 여부를 나타냅니다. AWS Private CA 로 가져온 CA 인증서에는 기본 제약 조건의 확장이 포함되어야 하며 확장은 critical로 표시되어야 합니다 . critical플래그 외에도 를 CA=true 설정해야 합니다. AWS Private CA 다음과 같은 이유로 유효성 검사 예외로 실패하여 기본 제약 조건을 적용합니다.

    • 확장은 CA 인증서에 포함되지 않습니다.

    • 확장은 critical로 표시되어 있지 않습니다.

    경로 길이 (pathLenConstraint) 는 가져온 CA 인증서의 다운스트림에 존재할 수 있는 하위 CA 수를 결정합니다. AWS Private CA 다음과 같은 이유로 유효성 검사 예외가 발생하여 실패하여 경로 길이를 적용합니다.

    • CA 인증서를 가져오면 CA 인증서 또는 체인의 CA 인증서에서 경로 길이 제약 조건을 위반할 수 있습니다.

    • 인증서를 발급하면 경로 길이 제약 조건을 위반할 수 있습니다.

  • 이름 제약 조건은 인증 경로에 있는 후속 인증서의 모든 주체 이름이 위치해야 하는 네임스페이스를 나타냅니다. 주체 고유 이름 및 주체 대체 이름에는 제한이 적용됩니다.

적용되지 않음

  • 인증서 정책. 인증서 정책은 CA가 인증서를 발급하는 조건을 규제합니다.

  • AnyPolicy를 금지하십시오. CA에 발급된 인증서에 사용됩니다.

  • 발급자 대체 이름. CA 인증서 발급자와 추가 ID를 연결할 수 있습니다.

  • 정책 제약 조건. 이러한 제약 조건은 CA의 하위 CA 인증서 발급 능력을 제한합니다.

  • 정책 매핑. CA 인증서에 사용됩니다. 하나 이상의 OID 쌍을 나열합니다. 각 쌍에는 issuerDomainPolicy a와 subjectDomainPolicy a가 포함됩니다.

  • 주제 디렉터리 속성. 주체의 식별 속성을 전달하는 데 사용됩니다.

  • 주제 정보 액세스. 확장 프로그램이 표시된 인증서 주체의 정보 및 서비스에 액세스하는 방법.

  • 보안 주체 키 식별자(SKI)인증 기관 키 식별자(AKI). RFC는 CA 인증서에 SKI 확장이 포함되도록 요구합니다. CA에서 발급한 인증서에는 CA 인증서의 SKI와 일치하는 AKI 확장이 포함되어야 합니다. AWS 이러한 요구 사항을 적용하지 않습니다. CA 인증서에 SKI가 포함되어 있지 않으면 발급된 최종 엔터티 또는 하위 CA 인증서 AKI가 대신하여 발급자 퍼블릭 키의 SHA-1 해시가 됩니다.

  • SubjectPublicKeyInfo주체 대체 이름 (SAN). 인증서를 발급할 때 유효성 검사를 수행하지 않고 제공된 CSR에서 SubjectPublicKeyInfo 및 SAN 확장을 AWS Private CA 복사합니다.