기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CA 업데이트(콘솔)
다음 절차는 AWS Management Console를 사용하여 기존 CA 구성을 업데이트하는 방법을 보여줍니다.
CA 상태 업데이트(콘솔)
이 예제에서는 활성화된 CA의 상태가 비활성화로 변경됩니다.
CA의 상태를 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA
콘솔을 여십시오. -
프라이빗 인증 기관 페이지의 목록에서 현재 활성화된 프라이빗 CA를 선택합니다.
-
작업 메뉴에서 비활성화를 선택하여 프라이빗 CA를 비활성화합니다.
CA의 해지 구성 업데이트(콘솔)
예를 들어 CRL 지원을 추가 또는 OCSP 제거하거나 설정을 수정하여 사설 CA의 해지 구성을 업데이트할 수 있습니다.
참고
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
의 OCSP 경우 다음 설정을 변경합니다.
-
활성화 또는 비활성화OCSP.
-
사용자 지정 OCSP 정규화된 도메인 이름 (FQDN) 을 활성화 또는 비활성화합니다.
-
를 변경하십시오FQDN.
a의 CRL 경우 다음 설정 중 하나를 변경할 수 있습니다.
-
사설 CA가 인증서 취소 목록을 생성하는지 여부 () CRL
-
만료되기까지 남은 일수CRL. 참고로, 지정한 일수의 절반이 되면 재생 CRL 시도가 AWS Private CA 시작됩니다.
-
사용자가 CRL 저장되어 있는 Amazon S3 버킷의 이름입니다.
-
Amazon S3 버킷의 이름을 공개적으로 볼 수 없도록 숨기는 별칭입니다.
중요
위의 파라미터를 변경하면 부정적인 영향을 미칠 수 있습니다. 사설 CA를 프로덕션 환경에 배치한 후 CRL 생성 비활성화, 유효 기간 변경, S3 버킷 변경 등을 예로 들 수 있습니다. 이러한 변경으로 인해 기존 CRL 및 현재 CRL 구성에 의존하는 기존 인증서가 손상될 수 있습니다. 이전 별칭이 올바른 버킷에 연결되어 있는 한 별칭을 안전하게 변경할 수 있습니다.
해지 설정을 업데이트하는 방법
-
AWS 계정에 로그인하고 https://console.aws.amazon.com/acm-pca/집에서 AWS Private CA
콘솔을 여십시오. -
프라이빗 인증 기관 페이지의 목록에서 프라이빗 CA를 선택합니다. 그러면 CA의 세부 정보 패널이 열립니다.
-
해지 구성 탭을 선택한 다음 편집을 선택합니다.
-
인증서 해지 옵션에는 두 가지 옵션이 표시됩니다.
-
CRL배포를 활성화하세요.
-
전원을 켜세요 OCSP
CA에 대해 이러한 해지 옵션을 둘 중 하나 또는 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 모범 사례로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 인증서 취소 방법 설정 섹션을 참조하세요.
-
-
CRL배포 활성화를 선택합니다.
-
CRL항목을 위한 Amazon S3 버킷을 생성하려면 새 S3 버킷 생성을 선택합니다. 고유한 버킷 이름을 제공합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 이 옵션을 선택하지 않고 S3 버킷 이름 목록에서 기존 버킷을 선택합니다.
새 버킷을 생성하는 경우, 필요한 액세스 정책을 AWS Private CA 생성하여 해당 버킷에 연결합니다. 기존 버킷을 사용하기로 결정한 경우 먼저 액세스 정책을 추가해야 생성을 CRLs 시작할 수 있습니다. Amazon CRLs S3에 대한 액세스 정책 에 설명된 정책 패턴 중 하나를 사용합니다. 정책 연결에 대한 자세한 내용은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.
참고
AWS Private CA 콘솔을 사용할 때 다음 두 조건이 모두 적용되는 경우 CA 생성 시도가 실패합니다.
-
Amazon S3 버킷 또는 계정에 퍼블릭 액세스 차단 설정을 적용하고 있습니다.
-
Amazon S3 버킷을 자동으로 AWS Private CA 생성하도록 요청하셨습니다.
이 경우 콘솔은 기본적으로 공개적으로 액세스할 수 있는 버킷을 만들려고 시도하지만 Amazon S3는 이 작업을 거부합니다. 이 경우 Amazon S3 설정을 확인하합니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요.
-
-
추가 구성 옵션을 보려면 고급을 확장합니다.
-
사용자 지정 CRL 이름을 추가하여 Amazon S3 버킷의 별칭을 생성합니다. 이 이름은 RFC 5280에서 정의한 “CRL배포 지점” 확장의 CA에서 발급한 인증서에 포함되어 있습니다.
-
유효 기간 (일) 을 입력합니다. CRL 기본값은 7일입니다. CRLs온라인의 경우 2~7일의 유효 기간이 일반적입니다. AWS Private CA 지정된 기간의 중간 CRL 시점에 를 다시 생성하려고 시도합니다.
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.
-
인증서 해지 페이지에서 켜기를 선택합니다. OCSP
-
(선택 사항) 사용자 지정 OCSP 엔드포인트 필드에 엔드포인트의 정규화된 도메인 이름 (FQDN) 을 입력합니다OCSP.
이 FQDN 필드에 를 입력하면 AWS OCSP 응답자의 기본값 대신 발급된 각 인증서의 기관 정보 액세스 URL 확장에 를 AWS Private CA 삽입합니다. FQDN 엔드포인트는 사용자 FQDN 지정이 포함된 인증서를 받으면 해당 주소를 OCSP 쿼리하여 응답을 요청합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
-
프록시 서버를 사용하여 사용자 FQDN 지정에 도착하는 트래픽을 AWS OCSP 응답자에게 전달하십시오.
-
데이터베이스에 해당 CNAME 레코드를 추가합니다. DNS
작은 정보
사용자 CNAME 지정을 사용하여 전체 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 을 참조하십시오사용자 지정 구성 URL 대상 AWS Private CA OCSP.
예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 CNAME OCSP 기록입니다.
레코드 이름 유형 라우팅 정책 차별화 요소 값/트래픽 라우팅 대상 alternative.example.com
CNAME 간편함 - proxy.example.com 참고
의 값에는 “http://” 또는 “https: //"와 같은 프로토콜 접두사가 CNAME 포함되어서는 안 됩니다.
-
-
작업을 마쳤으면 변경 사항 저장을 선택합니다.