CA 업데이트(콘솔) - AWS Private Certificate Authority
CA 상태 업데이트(콘솔) CA의 해지 구성 업데이트(콘솔)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CA 업데이트(콘솔)

다음 절차는 AWS Management Console를 사용하여 기존 CA 구성을 업데이트하는 방법을 보여줍니다.

CA 상태 업데이트(콘솔)

이 예제에서는 활성화된 CA의 상태가 비활성화로 변경됩니다.

CA의 상태를 업데이트하는 방법

  1. AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA 콘솔을 여십시오.

  2. 프라이빗 인증 기관 페이지의 목록에서 현재 활성화된 프라이빗 CA를 선택합니다.

  3. 작업 메뉴에서 비활성화를 선택하여 프라이빗 CA를 비활성화합니다.

CA의 해지 구성 업데이트(콘솔)

예를 들어 CRL 지원을 추가 또는 OCSP 제거하거나 설정을 수정하여 사설 CA의 해지 구성을 업데이트할 수 있습니다.

참고

CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.

의 OCSP 경우 다음 설정을 변경합니다.

  • 활성화 또는 비활성화OCSP.

  • 사용자 지정 OCSP 정규화된 도메인 이름 (FQDN) 을 활성화 또는 비활성화합니다.

  • 를 변경하십시오FQDN.

a의 CRL 경우 다음 설정 중 하나를 변경할 수 있습니다.

  • 사설 CA가 인증서 취소 목록을 생성하는지 여부 () CRL

  • 만료되기까지 남은 일수CRL. 참고로, 지정한 일수의 절반이 되면 재생 CRL 시도가 AWS Private CA 시작됩니다.

  • 사용자가 CRL 저장되어 있는 Amazon S3 버킷의 이름입니다.

  • Amazon S3 버킷의 이름을 공개적으로 볼 수 없도록 숨기는 별칭입니다.

중요

위의 파라미터를 변경하면 부정적인 영향을 미칠 수 있습니다. 사설 CA를 프로덕션 환경에 배치한 후 CRL 생성 비활성화, 유효 기간 변경, S3 버킷 변경 등을 예로 들 수 있습니다. 이러한 변경으로 인해 기존 CRL 및 현재 CRL 구성에 의존하는 기존 인증서가 손상될 수 있습니다. 이전 별칭이 올바른 버킷에 연결되어 있는 한 별칭을 안전하게 변경할 수 있습니다.

해지 설정을 업데이트하는 방법

  1. AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA 콘솔을 여십시오.

  2. 프라이빗 인증 기관 페이지의 목록에서 프라이빗 CA를 선택합니다. 그러면 CA의 세부 정보 패널이 열립니다.

  3. 해지 구성 탭을 선택한 다음 편집을 선택합니다.

  4. 인증서 해지 옵션에는 두 가지 옵션이 표시됩니다.

    • CRL배포를 활성화하세요.

    • 전원을 켜세요 OCSP

    CA에 대해 이러한 해지 옵션을 둘 중 하나 또는 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 모범 사례로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 인증서 취소 방법 설정 섹션을 참조하세요.

  1. CRL배포 활성화를 선택합니다.

  2. CRL항목을 위한 Amazon S3 버킷을 생성하려면 새 S3 버킷 생성을 선택합니다. 고유한 버킷 이름을 제공합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 이 옵션을 선택하지 않고 S3 버킷 이름 목록에서 기존 버킷을 선택합니다.

    새 버킷을 생성하는 경우, 필요한 액세스 정책을 AWS Private CA 생성하여 해당 버킷에 연결합니다. 기존 버킷을 사용하기로 결정한 경우 먼저 액세스 정책을 추가해야 생성을 CRLs 시작할 수 있습니다. Amazon CRLs S3에 대한 액세스 정책 에 설명된 정책 패턴 중 하나를 사용합니다. 정책 연결에 대한 자세한 내용은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.

    참고

    AWS Private CA 콘솔을 사용할 때 다음 두 조건이 모두 적용되는 경우 CA 생성 시도가 실패합니다.

    • Amazon S3 버킷 또는 계정에 퍼블릭 액세스 차단 설정을 적용하고 있습니다.

    • Amazon S3 버킷을 자동으로 AWS Private CA 생성하도록 요청하셨습니다.

    이 경우 콘솔은 기본적으로 공개적으로 액세스할 수 있는 버킷을 만들려고 시도하지만 Amazon S3는 이 작업을 거부합니다. 이 경우 Amazon S3 설정을 확인하합니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요.

  3. 추가 구성 옵션을 보려면 고급을 확장합니다.

    • 사용자 지정 CRL 이름을 추가하여 Amazon S3 버킷의 별칭을 생성합니다. 이 이름은 RFC 5280에서 정의한 “CRL배포 지점” 확장의 CA에서 발급한 인증서에 포함되어 있습니다.

    • 유효 기간 (일) 을 입력합니다. CRL 기본값은 7일입니다. CRLs온라인의 경우 2~7일의 유효 기간이 일반적입니다. AWS Private CA 지정된 기간의 중간 CRL 시점에 를 다시 생성하려고 시도합니다.

  4. 작업을 마쳤으면 변경 사항 저장을 선택합니다.

  1. 인증서 해지 페이지에서 켜기를 선택합니다. OCSP

  2. (선택 사항) 사용자 지정 OCSP 엔드포인트 필드에 엔드포인트의 정규화된 도메인 이름 (FQDN) 을 입력합니다OCSP.

    이 FQDN 필드에 를 입력하면 AWS OCSP 응답자의 기본값 대신 발급된 각 인증서의 기관 정보 액세스 URL 확장에 를 AWS Private CA 삽입합니다. FQDN 엔드포인트는 사용자 FQDN 지정이 포함된 인증서를 받으면 해당 주소를 OCSP 쿼리하여 응답을 요청합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.

    • 프록시 서버를 사용하여 사용자 FQDN 지정에 도착하는 트래픽을 AWS OCSP 응답자에게 전달하십시오.

    • 데이터베이스에 해당 CNAME 레코드를 추가합니다. DNS

    작은 정보

    사용자 CNAME 지정을 사용하여 전체 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 을 참조하십시오사용자 지정 구성 URL 대상 AWS Private CA OCSP.

    예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 CNAME OCSP 기록입니다.

    레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상

    alternative.example.com

    		 CNAME 간편함 - proxy.example.com
    참고

    의 값에는 “http://” 또는 “https: //"와 같은 프로토콜 접두사가 CNAME 포함되어서는 안 됩니다.

  3. 작업을 마쳤으면 변경 사항 저장을 선택합니다.