인증서 취소 방법 설정 - AWS Private Certificate Authority
해지 구성에 대한 일반 요구 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인증서 취소 방법 설정

를 사용하여 프라이빗 PKI를 계획할 때는 엔드포인트의 프라이빗 키가 노출되는 경우와 AWS Private CA같이 엔드포인트가 발급된 인증서를 더 이상 신뢰하지 않게 하려는 상황을 처리하는 방법을 고려해야 합니다. 이 문제에 대한 일반적인 접근 방식은 단기 인증서를 사용하거나 인증서 취소를 구성하는 것입니다. 단기 인증서는 몇 시간 또는 며칠 단위로 만료되므로 해지하는 것은 의미가 없으며, 엔드포인트에 해지를 알리는 데 걸리는 시간과 거의 같은 시간이 지나면 인증서가 유효하지 않게 됩니다. 이 섹션에서는 구성 및 모범 사례를 포함하여 AWS Private CA 고객을 위한 해지 옵션에 대해 설명합니다.

해지 방법을 찾는 고객은 온라인 인증서 상태 프로토콜(OCSP), 인증서 취소 목록(CRL) 또는 둘 다를 선택할 수 있습니다.

참고

해지를 구성하지 않고 CA를 생성하는 경우 언제든지 나중에 구성할 수 있습니다. 자세한 정보는 프라이빗 CA 업데이트을 참조하세요.

  • 온라인 인증서 상태 프로토콜(OCSP)

    AWS Private CA 고객이 인프라를 직접 운영할 필요 없이 인증서가 해지되었음을 엔드포인트에 알리는 완전 관리형 OCSP 솔루션을 제공합니다. 고객은 AWS Private CA 콘솔, API, CLI를 사용하거나 이를 통해 한 번의 작업으로 새 CA나 기존 CA에서 OCSP를 활성화할 수 있습니다. AWS CloudFormation CRL은 엔드포인트에서 저장 및 처리되며 무효화될 수 있지만 OCSP 스토리지 및 처리 요구 사항은 응답자 백엔드에서 동기적으로 처리됩니다.

    CA에 OCSP를 사용하도록 설정하는 경우 새로 발급된 각 인증서의 AIA (기관 정보 액세스) 확장에 OCSP 응답자의 URL을 AWS Private CA 포함하십시오. 확장을 사용하면 웹 브라우저와 같은 클라이언트가 응답자를 쿼리하고 최종 엔터티 또는 하위 CA 인증서를 신뢰할 수 있는지 여부를 확인할 수 있습니다. 응답자는 신뢰성을 보장하기 위해 암호로 서명된 상태 메시지를 반환합니다.

    AWS Private CA OCSP 응답자는 RFC 5019를 준수합니다.

    OCSP 고려 사항

    • OCSP 상태 메시지는 발급 CA가 사용하도록 구성된 것과 동일한 서명 알고리즘을 사용하여 서명됩니다. AWS Private CA 콘솔에서 만든 CA는 기본적으로 SHA256WITHRSA 서명 알고리즘을 사용합니다. 지원되는 다른 알고리즘은 API 설명서에서 찾을 수 있습니다. CertificateAuthorityConfiguration

    • OCSP 응답자가 활성화된 경우 APIPassthrough 및 CSRPassthrough 인증서 템플릿은 AIA 확장과 함께 작동하지 않습니다.

    • 관리형 OCSP 서비스의 엔드포인트는 공용 인터넷에서 액세스할 수 있습니다. OCSP를 원하지만 퍼블릭 엔드포인트는 원하지 않는 고객은 자체 OCSP 인프라를 운영해야 합니다.

  • 인증서 해지 목록(CRL)

    CRL은 해지된 인증서 목록을 포함합니다. CRL을 생성하도록 CA를 구성하는 경우 새로 발급되는 각 인증서에 CRL 배포 지점 확장을 AWS Private CA 포함하십시오. 이 확장은 CRL의 URL을 제공합니다. 확장을 사용하면 웹 브라우저와 같은 클라이언트가 CRL을 쿼리하고 최종 엔터티 또는 하위 CA 인증서를 신뢰할 수 있는지 여부를 확인할 수 있습니다.

클라이언트는 CRL을 다운로드하여 로컬에서 처리해야 하므로 OCSP보다 CRL을 사용하는 데 메모리 사용량이 더 많습니다. 새로 연결을 시도할 때마다 해지 상태를 확인하는 OCSP에 비해 CRL 목록이 다운로드되고 캐시되므로 CRL은 네트워크 대역폭을 덜 소비할 수 있습니다.

참고

OCSP와 CRL 모두 취소와 상태 변경 가능 시점 사이에 약간의 지연이 있습니다.

  • 인증서를 해지할 때 OCSP 응답에 새 상태가 반영되기까지 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP는 해지 정보의 빠른 배포를 지원하는 경향이 있는데, 이는 클라이언트가 며칠 동안 캐시할 수 있는 CRL과 달리 OCSP 응답은 일반적으로 클라이언트에 의해 캐시되지 않기 때문입니다.

  • CRL은 일반적으로 인증서가 해지된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하는 경우 15분마다 추가 업데이트를 시도합니다. AWS Private CA

해지 구성에 대한 일반 요구 사항

모든 해지 구성에는 다음 요구 사항이 적용됩니다.

  • CRL 또는 OCSP를 비활성화하는 구성은 Enabled=False 파라미터만 포함해야 하며 CustomCname 또는 ExpirationInDays 등의 다른 파라미터가 포함된 경우 실패합니다.

  • CRL 구성에서 S3BucketName 파라미터는 Amazon Simple Storage Service 버킷 명명 규칙을 준수해야 합니다.

  • CRL 또는 OCSP에 대한 사용자 지정 표준 이름(CNAME) 파라미터가 포함된 구성은 CNAME에 특수 문자 사용에 대한 RFC7230 제한을 준수해야 합니다.

  • CRL 또는 OCSP 구성에서 CNAME 파라미터 값에 'http://' 또는 'https://' 등의 프로토콜 접두사가 포함되지 않아야 합니다.

주제