ACM 인증서를 가져오기 위한 사전 조건 - AWS 인증서 관리자

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ACM 인증서를 가져오기 위한 사전 조건

자체 서명된 SSL/TLS 인증서를 ACM으로 가져오려면 해당 인증서와 프라이빗 키를 모두 제공해야 합니다. 비 AWS 인증 기관(CA)에서 서명한 인증서를 가져오려면 인증서의 프라이빗 키와 퍼블릭 키도 포함해야 합니다. 인증서는 이 주제에 설명된 모든 기준을 충족해야 합니다.

모든 가져온 인증서에 대해 암호화 알고리즘과 키 크기를 지정해야 합니다. ACM은 다음 알고리즘을 지원합니다(괄호 안은 API 이름).

  • RSA 1024비트(RSA_1024)

  • RSA 2048비트(RSA_2048)

  • RSA 3072비트(RSA_3072)

  • RSA 4096비트(RSA_4096)

  • ECDSA 256비트(EC_prime256v1)

  • ECDSA 384비트(EC_secp384r1)

  • ECDSA 521비트(EC_secp521r1)

또한 다음 추가 요구 사항에 유의하세요.

  • ACM 통합 서비스에서는 리소스와의 연결이 지원되는 알고리즘과 키 크기만 허용합니다. 예를 들어 CloudFront는 1,024비트 RSA, 2,048비트 RSA, 3,072비트 RSA, 4096비트 RSA 및 타원 프라임 곡선 256비트 키만 지원하는 반면, Application Load Balancer는 ACM에서 사용할 수 있는 모든 알고리즘을 지원합니다. 자세한 내용은 사용 중인 서비스의 설명서를 참조하세요.

  • 인증서는 SSL/TLS X.509 버전 3 인증서여야 합니다. 인증서에는 퍼블릭 키, 웹 사이트의 FQDN(정규화된 도메인 이름) 또는 IP 주소 및 발급 기관에 대한 정보가 포함되어야 합니다.

  • 인증서는 사용자가 소유한 프라이빗 키로 자체 서명되거나 발급하는 CA의 프라이빗 키로 서명될 수 있습니다. 5KB(5,120바이트)를 초과하지 않고 암호화되지 않은 프라이빗 키를 제공해야 합니다.

  • 인증서가 CA에서 서명되고 인증서 체인을 제공하기로 선택한 경우, 체인은 PEM으로 인코딩되어야 합니다.

  • 인증서는 가져오는 시점에 유효해야 합니다. 유효 기간이 시작되기 전 또는 만료된 후에는 인증서를 가져올 수 없습니다. NotBefore 인증서 필드에는 유효 기간 시작 날짜가 포함되어 있으며 NotAfter 필드에는 종료 날짜가 포함되어 있습니다.

  • 모든 필수 인증서 자료(인증서, 프라이빗 키 및 인증서 체인)는 PEM 인코딩되어야 합니다. DER 인코딩된 자료를 업로드하면 오류가 발생합니다. 자세한 내용과 예제는 가져올 인증서 및 키 형식 섹션을 참조하세요.

  • 인증서를 갱신(다시 가져오기)할 때 이전에 가져온 인증서에 KeyUsage 또는 ExtendedKeyUsage 확장이 없는 경우 이러한 확장을 추가할 수 없습니다.

    예외: 이전 인증서와 비교할 때 클라이언트 인증 ExtendedKeyUsage가 누락된 인증서를 다시 가져올 수 있습니다. 이는 인증 기관이 더 이상 Chrome의 루트 프로그램 요구 사항을 준수하기 위해 ClientAuth EKU로 인증서를 발급하지 않는 업계 변화를 수용합니다.

    중요

    클라이언트 인증 기능이 필요한 경우, ACM은 이전에 가져온 인증서로의 롤백을 지원하지 않으므로 사용자 측에서 추가 검증을 구현해야 합니다.

  • AWS CloudFormation 는 ACM으로 인증서 가져오기를 지원하지 않습니다.