AS2 인증서 관리 - AWS Transfer Family

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AS2 인증서 관리

이 주제에서는 AS2 인증서를 가져오고 관리하는 방법을 설명합니다. 인증서 가져오기는 Transfer Family의 AS2 프로세스에서 첫 번째 단계입니다.

AS2 인증서 가져오기

Transfer Family AS2 프로세스는 전송된 정보의 암호화와 서명 모두에 인증서 키를 사용합니다. 파트너는 두 가지 용도로 동일한 키를 사용하거나 각 용도에 별도의 키를 사용할 수 있습니다. 재해 또는 보안 침해 발생 시 데이터를 복호화할 수 있도록 신뢰할 수 있는 제3자가 에스크로에 공통 암호화 키를 보관해 둔 경우 별도의 서명 키를 사용하는 것이 좋습니다. 별도의 서명 키(에스크로하지 않음)를 사용하면 디지털 서명의 부인 방지 기능이 손상되지 않습니다.

참고

AS2 인증서의 키 길이는 최소 2,048비트, 최대 4,096비트여야 합니다.

다음 사항은 프로세스 중에 AS2 인증서가 사용되는 방법을 자세히 설명합니다.

  • 인바운드 AS2

    • 거래 파트너가 서명 인증서용 퍼블릭 키를 보내면 이 키를 파트너 프로필로 가져옵니다.

    • 현지 당사자가 암호화 및 서명 인증서를 위한 퍼블릭 키를 전송합니다. 그러면 파트너가 프라이빗 키를 가져옵니다. 로컬 당사자는 서명 및 암호화를 위해 별도의 인증서 키를 보내거나 두 가지 용도로 동일한 키를 사용하도록 선택할 수 있습니다.

  • 아웃바운드 AS2

    • 파트너가 암호화 인증서용 퍼블릭 키를 보내고 이 키를 파트너 프로필로 가져옵니다.

    • 로컬 당사자는 서명용 인증서의 퍼블릭 키를 보내고 서명을 위해 인증서의 프라이빗 키를 가져옵니다.

    • HTTPS를 사용하는 경우 자체 서명된 전송 계층 보안(TLS) 인증서를 가져올 수 있습니다.

인증서 생성 방법에 대한 자세한 설명은 1단계: AS2용 인증서 생성 섹션을 참조하세요.

이 절차에서는 Transfer Family 콘솔을 사용하여 인증서를 가져오는 방법을 설명합니다. AWS CLI 대신를 사용하려면 단원을 참조하십시오3단계: Transfer Family 인증서 리소스로 인증서 가져오기.

AS2 지원 인증서를 지정하려면
  1. https://console.aws.amazon.com/transfer/ AWS Transfer Family 콘솔을 엽니다.

  2. 왼쪽 탐색 창의 AS2 거래 파트너에서 인증서를 선택합니다.

  3. 인증서 가져오기를 선택합니다.

  4. 인증서 구성 섹션의 인증서 설명에 인증서의 쉽게 식별할 수 있는 이름을 입력합니다. 설명으로 인증서의 용도를 식별할 수 있는지 확인하세요. 또한 인증서의 역할을 선택합니다.

  5. 인증서 용도 섹션에서 이 인증서의 용도를 선택합니다. 암호화, 서명 또는 둘 다에 사용할 수 있습니다.

    팁: 사용량에 대해 암호화 및 서명을 선택하면 Transfer Family는 두 개의 동일한 인증서(각각 고유한 ID가 있음)를 생성합니다. 하나는 사용 값이 ENCRYPTION이고 다른 하나는 사용 값이 입니다SIGNING.

  6. 인증서 내용 섹션에서 거래 파트너의 공개 인증서를 제공하거나 로컬 인증서용 공개 및 프라이빗 키를 제공하세요.

    인증서 내용 섹션에 적절한 세부 정보를 입력합니다.

    • 자체 서명 인증서를 선택하는 경우 인증서 체인을 제공하지 않습니다.

    • 인증서 텍스트와 해당 체인을 인증서 및 인증서 체인 필드에 붙여 넣습니다.

    • 이 인증서가 로컬 인증서인 경우 프라이빗 키를 붙여 넣습니다.

  7. 인증서 가져오기를 선택하여 프로세스를 완료하고 가져온 인증서의 세부 정보를 저장합니다.

참고

TLS 인증서는 파트너의 퍼블릭 인증서로만 가져올 수 있습니다. 파트너의 퍼블릭 인증서를 선택한 다음 사용량에 대해 전송 계층 보안(TLS)을 선택하면 경고가 표시됩니다. 또한 TLS 인증서는 자체 서명되어야 합니다(즉, TLS 인증서를 가져오려면 자체 서명된 인증서를 선택해야 함).

AS2 인증서 교체

인증서는 6개월에서 1년 동안 유효한 경우가 많습니다. 더 오래 유지하려는 프로필을 설정했을 수 있습니다. 이를 용이하게 하기 위해 Transfer Family는 인증서 교체 서비스를 제공합니다. 프로필에 여러 인증서를 지정하여 프로필을 여러 해 동안 계속 사용할 수 있습니다. Transfer Family는 서명(옵션) 및 암호화(필수)에 인증서를 사용합니다. 원하는 경우 두 가지 용도로 사용할 단일 인증서를 지정할 수 있습니다.

인증서 교체는 만료되는 오래된 인증서를 새 인증서로 교체하는 프로세스입니다. 이 전환은 계약 파트너가 아직 아웃바운드 전송을 위한 새 인증서를 구성하지 않았거나 새 인증서를 사용할 수 있는 기간 중에 이전 인증서로 서명 또는 암호화된 페이로드를 보내는 경우 전송이 중단되지 않도록 점진적으로 진행됩니다. 기존 인증서와 새 인증서가 모두 유효한 중간 기간을 유예 기간이라고 합니다.

X.509 인증서에는 Not BeforeNot After 날짜가 있습니다. 하지만 이러한 파라미터는 관리자에게 충분한 통제 기능을 제공하지 못할 수 있습니다. Transfer Family는 아웃바운드 페이로드에 사용되는 인증서와 인바운드 페이로드에 허용되는 인증서를 통제하는 Active DateInactive Date 설정을 제공합니다.

인증서 만료 모니터링

Transfer Family는 인증서를 가져온 DaysUntilExpiry 후 Amazon CloudWatch 지표를 게시합니다. 지표는 현재 날짜와 인증서의 로 지정된 날짜 사이의 일수InactiveDate를 내보냅니다. 지표는 CloudWatch 지표 대시보드의 Transfer AWS 네임스페이스 아래에 있습니다.

이 지표는 항상 CertificateId에 대한 지표 차원을 가지며 고객이 인증서에 제공하는 경우 선택적으로 설명 차원을 포함합니다. CloudWatch 지표 차원에 대한 자세한 내용은 CloudWatch API 참조의 차원을 참조하세요.

참고

Transfer Family용 인증서를 가져온 후이 지표를 고객 계정으로 내보내는 데 최대 하루가 걸릴 수 있습니다.

이 지표를 사용하여 인증서 만료에 가까워지면 알려주는 CloudWatch 경보를 생성할 수 있습니다.

아웃바운드 인증서 선택은 전송 날짜 이전의 최대값을 Inactive Date로 사용합니다. 인바운드 프로세스는 범위 Not BeforeNot After 내 및 범위 Active DateInactive Date 내에서 인증서를 수락합니다.

인증서 교체 예제

다음 표에서는 단일 프로필에 대해 두 개의 인증서를 구성할 수 있는 한 가지 방법을 설명합니다.

두 개의 인증서 교대
명칭 NOT BEFORE(인증 기관에서 통제) ACTIVE DATE(Transfer Family에서 설정) INACTIVE DATE(Transfer Family에서 설정) NOT AFTER(인증 기관에서 설정)
Cert1(이전 인증서) 2019-11-01 2020-01-01 2020-12-31 2024-01-01
Cert2(최신 인증서) 2020-11-01 2020-06-01 2021-06-01 2025-01-01

유념할 사항:

  • 인증서에 Active DateInactive Date를 지정하는 경우 범위는 Not BeforeNot After의 범위 내에 있어야 합니다.

  • 각 프로필에 대해 여러 인증서를 구성하여 모든 인증서의 활성 날짜 범위가 프로필을 사용하려는 기간을 포함하도록 하는 것이 좋습니다.

  • 이전 인증서가 비활성화되는 시점과 새 인증서가 활성화되는 시점 사이에 약간의 유예 시간을 지정하는 것이 좋습니다. 위 예에서 첫 번째 인증서는 2020년 12월 31일까지는 비활성화되지 않지만, 두 번째 인증서는 2020년 6월 1일에 활성화되어 6개월의 유예 기간이 제공됩니다. 2020년 6월 1부터 2020년 12월 31일까지의 기간 동안 두 인증서 모두 활성 상태입니다.