

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 로 인증서 가져오기 AWS Certificate Manager
<a name="import-certificate"></a>

 AWS Certificate Manager (ACM)에서 제공하는 SSL/TLS 인증서를 요청하는 것 외에도 외부에서 얻은 인증서를 가져올 수 있습니다 AWS. 서드 파티 인증 기관(CA)의 인증서가 이미 있거나 ACM에서 발급한 인증서로 충족되지 않는 애플리케이션별 요구 사항이 있는 경우에 이렇게 할 수 있습니다.

가져온 인증서를 [ACM과 통합된 모든AWS 서비스](acm-services.md)와 함께 사용할 수 있습니다. 가져온 인증서는 ACM에서 제공한 인증서와 동일하게 작동하지만, ACM에서는 가져온 인증서에 대한 [관리형 갱신](managed-renewal.md)을 제공하지 않습니다.

가져온 인증서를 갱신하려면 인증서 발급자로부터 새 인증서를 취득한 다음 수동으로 ACM에 [다시 가져오면](https://docs.aws.amazon.com/acm/latest/userguide/import-reimport.html#reimport-certificate-api) 됩니다. 이 작업은 인증서의 연결 및 Amazon 리소스 이름(ARN)을 보존합니다. 또는 완전히 새로운 인증서를 가져올 수 있습니다. 도메인 이름이 같은 여러 개의 인증서를 가져올 수 있지만 이 경우 한 번에 가져와야 합니다.

**중요**  
따라서 가져온 인증서의 만료 날짜를 모니터링하여 만료되기 이전에 갱신하는 것은 고객의 책임입니다. 가져온 인증서가 만료될 때 Amazon CloudWatch Events를 사용하여 알림을 보냄으로써 이 태스크를 간소화할 수 있습니다. 자세한 내용은 [Amazon EventBridge 사용](cloudwatch-events.md) 단원을 참조하십시오.

가져온 인증서를 포함하여 ACM의 모든 인증서는 리전별 리소스입니다. 여러 AWS 리전에서 Elastic Load Balancing 로드 밸런서를 통해 동일한 인증서를 사용하려면 인증서를 사용하려는 각 리전으로 인증서를 가져와야 합니다. Amazon CloudFront에서 인증서를 사용하려면 미국 동부(버지니아 북부) 리전으로 인증서를 가져와야 합니다. 자세한 내용은 [지원되는 리전:](acm-overview.md#acm-regions) 단원을 참조하십시오.

ACM으로 인증서를 가져오는 방법에 대한 자세한 내용은 다음 주제를 참조하세요. 인증서를 가져올 때 문제가 발생하면 [인증서 가져오기 문제](troubleshoot-import.md)를 참조하세요.

**Topics**
+ [ACM 인증서를 가져오기 위한 사전 조건](import-certificate-prerequisites.md)
+ [가져올 인증서 및 키 형식](import-certificate-format.md)
+ [인증서 가져오기](import-certificate-api-cli.md)
+ [인증서 다시 가져오기](import-reimport.md)

# ACM 인증서를 가져오기 위한 사전 조건
<a name="import-certificate-prerequisites"></a>

자체 서명된 SSL/TLS 인증서를 ACM으로 가져오려면 해당 인증서와 프라이빗 키를 모두 제공해야 합니다. 비 AWS 인증 기관(CA)에서 서명한 인증서를 가져오려면 인증서의 프라이빗 키와 퍼블릭 키도 포함해야 합니다. 인증서는 이 주제에 설명된 모든 기준을 충족해야 합니다.

모든 가져온 인증서에 대해 암호화 알고리즘과 키 크기를 지정해야 합니다. ACM은 다음 알고리즘을 지원합니다(괄호 안은 API 이름).
+ RSA 1024비트(`RSA_1024`)
+ RSA 2048비트(`RSA_2048`)
+ RSA 3072비트(`RSA_3072`)
+ RSA 4096비트(`RSA_4096`)
+ ECDSA 256비트(`EC_prime256v1`)
+ ECDSA 384비트(`EC_secp384r1`)
+ ECDSA 521비트(`EC_secp521r1`)

또한 다음 추가 요구 사항에 유의하세요.
+ ACM [통합 서비스](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)에서는 리소스와의 연결이 지원되는 알고리즘과 키 크기만 허용합니다. 예를 들어 CloudFront는 1,024비트 RSA, 2,048비트 RSA, 3,072비트 RSA, 4096비트 RSA 및 타원 프라임 곡선 256비트 키만 지원하는 반면, Application Load Balancer는 ACM에서 사용할 수 있는 모든 알고리즘을 지원합니다. 자세한 내용은 사용 중인 서비스의 설명서를 참조하세요.
+ 인증서는 SSL/TLS X.509 버전 3 인증서여야 합니다. 인증서에는 퍼블릭 키, 웹 사이트의 FQDN(정규화된 도메인 이름) 또는 IP 주소 및 발급 기관에 대한 정보가 포함되어야 합니다.
+ 인증서는 사용자가 소유한 프라이빗 키로 자체 서명되거나 발급하는 CA의 프라이빗 키로 서명될 수 있습니다. 5KB(5,120바이트)를 초과하지 않고 암호화되지 않은 프라이빗 키를 제공해야 합니다.
+ 인증서가 CA에서 서명되고 인증서 체인을 제공하기로 선택한 경우, 체인은 PEM으로 인코딩되어야 합니다.
+ 인증서는 가져오는 시점에 유효해야 합니다. 유효 기간이 시작되기 전 또는 만료된 후에는 인증서를 가져올 수 없습니다. `NotBefore` 인증서 필드에는 유효 기간 시작 날짜가 포함되어 있으며 `NotAfter` 필드에는 종료 날짜가 포함되어 있습니다.
+ 모든 필수 인증서 자료(인증서, 프라이빗 키 및 인증서 체인)는 PEM 인코딩되어야 합니다. DER 인코딩된 자료를 업로드하면 오류가 발생합니다. 자세한 내용과 예제는 [가져올 인증서 및 키 형식](import-certificate-format.md) 섹션을 참조하세요.
+ 인증서를 갱신(다시 가져오기)할 때 이전에 가져온 인증서에 `KeyUsage` 또는 `ExtendedKeyUsage` 확장이 없는 경우 이러한 확장을 추가할 수 없습니다.

  **예외:** 이전 인증서와 비교할 때 클라이언트 인증 ExtendedKeyUsage가 누락된 인증서를 다시 가져올 수 있습니다. 이는 인증 기관이 더 이상 Chrome의 루트 프로그램 요구 사항을 준수하기 위해 ClientAuth EKU로 인증서를 발급하지 않는 업계 변화를 수용합니다.
**중요**  
클라이언트 인증 기능이 필요한 경우, ACM은 이전에 가져온 인증서로의 롤백을 지원하지 않으므로 사용자 측에서 추가 검증을 구현해야 합니다.
+ AWS CloudFormation 는 ACM으로 인증서 가져오기를 지원하지 않습니다.

# 가져올 인증서 및 키 형식
<a name="import-certificate-format"></a>

ACM에서는 인증서, 인증서 체인 및 프라이빗 키(있는 경우)를 별도로 가져와야 하고, 각 구성 요소를 PEM 형식으로 인코딩해야 합니다. PEM은 Privacy Enhanced Mail의 약자입니다. PEM 형식은 흔히 인증서, 인증서 요청, 인증서 체인 및 키를 표시하는 데 사용됩니다. PEM 형식 파일의 일반적인 확장자는 `.pem`이지만, 필수는 아닙니다.

**참고**  
AWS 는 PEM 파일 또는 기타 인증서 형식을 조작하기 위한 유틸리티를 제공하지 않습니다. 다음 예제에서는 간단한 작업에 일반 텍스트 편집기를 사용합니다. 보다 복잡한 작업(예: 파일 형식 변환 또는 키 추출)을 수행해야 하는 경우 [OpenSSL](https://www.openssl.org/docs/)과 같은 무료 오픈 소스 도구를 손쉽게 사용할 수 있습니다.

다음 예제에서는 가져올 파일의 형식을 보여줍니다. 구성 요소가 단일 파일로 제공되는 경우, 텍스트 편집기를 사용하여 3개의 파일로 구분합니다. PEM 파일의 문자를 잘못 편집하거나 두 개 이상의 공백을 줄 끝에 추가할 경우 인증서, 인증서 체인 또는 프라이빗 키가 유효하지 않습니다.

**Example 1. PEM으로 인코딩된 인증서**  

```
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
```

**Example 2. PEM으로 인코딩된 인증서 체인**  
인증서 체인에는 한 개 이상의 인증서가 포함되어 있습니다. 텍스트 편집기, Windows의 `copy` 명령 또는 Linux `cat` 명령을 사용하여 여러 인증서 파일을 하나의 체인으로 연결할 수 있습니다. 인증서가 각각의 이전 인증서를 인증하도록 인증서를 순서대로 연결해야 합니다. 사설 인증서를 가져오는 경우 루트 인증서를 마지막에 복사합니다. 다음 예시의 경우에는 세 개의 인증서가 포함되어 있지만, 사용자에 따라 인증서 체인에 포함된 인증서가 그보다 많거나 적을 수 있습니다.  
인증서를 인증서 체인으로 복사하지 마세요.

```
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
```

**Example 3. PEM 인코딩 프라이빗 키**  
X.509 버전 3 인증서에는 퍼블릭 키 알고리즘이 사용됩니다. X.509 인증서 또는 인증서 요청을 생성할 때는 프라이빗-퍼블릭 키 페어를 생성하는 데 사용할 알고리즘 및 키 비트 크기를 지정합니다. 퍼블릭 키는 인증서 또는 요청에 있습니다. 연결된 프라이빗 키를 비밀로 유지해야 합니다. 인증서를 가져올 때 프라이빗 키를 지정합니다. 이 키는 암호화되지 않은 것이어야 합니다. 다음 예는 RSA 프라이빗 키를 보여 줍니다.  

```
-----BEGIN PRIVATE KEY-----
Base64–encoded private key
-----END PRIVATE KEY-----
```
다음 예는 PEM으로 인코딩된 타원 곡선 프라이빗 키를 보여 줍니다. 이 키의 생성 방식에 따라 파라미터 블록이 포함되지 않을 수도 있습니다. 파라미터 블록이 포함된 경우 ACM은 이 파라미터 블록을 가져오기 프로세스 중에 해당 키를 사용하기 전에 제거합니다.  

```
-----BEGIN EC PARAMETERS-----
Base64–encoded parameters
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
Base64–encoded private key
-----END EC PRIVATE KEY-----
```

# 인증서 가져오기
<a name="import-certificate-api-cli"></a>

, 또는 ACM API를 사용하여 외부에서 획득한 인증서(즉 AWS CLI, 타사 신뢰 서비스 공급자가 제공하는 인증서) AWS Management Console를 ACM으로 가져올 수 있습니다. 다음 주제에서는 AWS Management Console 및를 사용하는 방법을 보여줍니다 AWS CLI. 비AWS 발급자로부터 인증서를 받는 절차는이 가이드의 범위를 벗어납니다.

**중요**  
 선택한 서명 알고리즘은 [ACM 인증서를 가져오기 위한 사전 조건](import-certificate-prerequisites.md)을 충족해야 합니다.

**Topics**
+ [가져오기(콘솔)](#import-certificate-api)
+ [가져오기(AWS CLI)](#import-certificate-cli)

## 가져오기(콘솔)
<a name="import-certificate-api"></a>

다음 예제에서는 AWS Management Console을 사용하여 인증서를 가져오는 방법을 보여 줍니다.

1. [https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home)에서 ACM 콘솔을 엽니다. ACM을 처음 사용하는 경우 **AWS Certificate Manager** 머리글을 찾아 그 아래에 있는 **시작하기** 버튼을 선택하세요.

1. [**Import a certificate**]을 선택합니다.

1. 해결 방법:

   1. [**Certificate body**]에서 PEM 인코딩된 인증서를 붙여넣어 가져옵니다. `-----BEGIN CERTIFICATE-----`으로 시작하고 `-----END CERTIFICATE-----`으로 끝나야 합니다.

   1.  [**인증서 프라이빗 키(Certificate private key)**]에 인증서의 암호화되지 않은 PEM 인코딩 형식 프라이빗 키를 붙여 넣습니다. `-----BEGIN PRIVATE KEY-----`으로 시작하고 `-----END PRIVATE KEY-----`으로 끝나야 합니다.

   1. (선택 사항) [**Certificate chain**]에 PEM 인코딩된 인증서 체인을 붙여넣습니다.

1. (선택 사항) 가져온 인증서에 태그를 추가하려면 **태그**를 선택합니다. 태그는 AWS 리소스에 할당하는 레이블입니다. 각 태그는 사용자가 정의하는 키와 선택적 값으로 구성됩니다. 태그를 사용하여 리소스를 정리하거나 AWS 비용을 추적할 수 있습니다.

1. **가져오기**를 선택합니다.

## 가져오기(AWS CLI)
<a name="import-certificate-cli"></a>

다음 예제에서는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)을 사용하여 인증서를 가져오는 방법을 보여 줍니다. 이 예시에서는 다음과 같이 가정합니다.
+ PEM 인코딩된 인증서가 `Certificate.pem`이라는 파일에 저장되어 있다.
+ PEM 인코딩된 인증서 체인이 `CertificateChain.pem`이라는 파일에 저장되어 있다.
+ PEM 인코딩된 비암호화 프라이빗 키가 `PrivateKey.pem`이라는 파일에 저장되어 있다.

다음 예시를 사용하려면 파일의 이름을 바꾸고 명령을 한 줄로 이어서 입력합니다. 다음 예시에는 가독성을 높여주는 줄바꿈과 추가 공백이 포함되어 있습니다.

```
$ aws acm import-certificate --certificate fileb://Certificate.pem \
      --certificate-chain fileb://CertificateChain.pem \
      --private-key fileb://PrivateKey.pem
```

`import-certificate` 명령이 성공적으로 실행되는 경우 가져온 인증서의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)이 반환됩니다.

# 인증서 다시 가져오기
<a name="import-reimport"></a>

인증서를 가져와 다른 AWS 서비스와 연결한 경우 원래 인증서의 AWS 서비스 연결을 유지하면서 만료되기 전에 해당 인증서를 다시 가져올 수 있습니다. ACM과 통합된 AWS 서비스에 대한 자세한 내용은 섹션을 참조하세요[ACM에 통합된 서비스](acm-services.md).

 인증서를 다시 가져오려면 조건은 다음과 같습니다.
+ 도메인 이름을 추가 및 제거할 수 있습니다.
+ 인증서에서 모든 도메인 이름을 제거할 수 없습니다.
+ **키 사용** 확장이 원래 가져온 인증서에 있는 경우, 새 확장 값을 추가할 수 있지만 기존 값은 제거할 수 없습니다.
+ **확장 키 사용** 확장이 원래 가져온 인증서에 있는 경우, 새 확장 값을 추가할 수 있지만 기존 값은 제거할 수 없습니다.

  **예외:** 클라이언트 인증 확장 키 사용을 제거할 수 있습니다. 이는 인증 기관이 더 이상 Chrome의 루트 프로그램 요구 사항을 준수하기 위해 ClientAuth EKU로 인증서를 발급하지 않는 업계 변화를 수용합니다.
**중요**  
클라이언트 인증 기능이 필요한 경우, ACM은 이전에 가져온 인증서로의 롤백을 지원하지 않으므로 사용자 측에서 추가 검증을 구현해야 합니다.
+ 키 종류 및 크기는 변경할 수 없습니다.
+ 인증서를 다시 가져올 때는 리소스 태그를 적용할 수 없습니다.

**Topics**
+ [다시 가져오기(콘솔)](#reimport-certificate-api)
+ [다시 가져오기(AWS CLI)](#reimport-certificate-cli)

## 다시 가져오기(콘솔)
<a name="reimport-certificate-api"></a>

다음 예제에서는 AWS Management Console을 사용하여 인증서를 다시 가져오는 방법을 보여 줍니다.

1. [https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home)에서 ACM 콘솔을 엽니다.

1. 다시 가져올 인증서를 선택하거나 확장합니다.

1. 인증서의 세부 정보 창을 열고 [**Reimport certificate**] 버튼을 선택합니다. 이름 옆의 확인란을 선택하여 인증서를 선택한 경우, [**작업(Actions)**] 메뉴에서 [**인증서 다시 가져오기(Reimport certificate)**]를 선택합니다.

1. [**인증서 본문(Certificate body)**]에 PEM으로 인코딩된 최종 엔터티 인증서를 붙여넣습니다.

1. [**Certificate private key**]에 인증서의 퍼블릭 키와 연결된 암호화되지 않은 PEM 인코딩 프라이빗 키를 붙여넣습니다.

1. (선택 사항) [**Certificate chain**]에 PEM 인코딩된 인증서 체인을 붙여넣습니다. 인증서 체인에는 모든 중간 발급 인증 기관에 대한 하나 이상의 인증서 및 루트 인증서가 포함됩니다. 가져올 인증서에 자체 서명이 되어 있는 경우, 인증서 체인을 제공하지 않아도 됩니다.

1. 인증서에 대한 정보를 검토합니다. 오류가 없으면 [**Reimport**]를 클릭합니다.

## 다시 가져오기(AWS CLI)
<a name="reimport-certificate-cli"></a>

다음 예제에서는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)을 사용하여 인증서를 다시 가져오는 방법을 보여 줍니다. 이 예시에서는 다음과 같이 가정합니다.
+ PEM 인코딩된 인증서가 `Certificate.pem`이라는 파일에 저장되어 있다.
+ PEM 인코딩된 인증서 체인이 `CertificateChain.pem`이라는 파일에 저장되어 있다.
+ PEM 인코딩된 비암호화 프라이빗 키가 `PrivateKey.pem`이라는 파일에 저장되어 있다.
+ 다시 가져오려는 인증서의 ARN이 있다.

다음 예시를 사용하려면 파일의 이름과 ARN을 바꾸고 명령을 한 줄로 이어서 입력합니다. 다음 예시에는 가독성을 높여주는 줄바꿈과 추가 공백이 포함되어 있습니다.

**참고**  
인증서를 다시 가져오려면 인증서 ARN을 지정해야 합니다.

```
$ aws acm import-certificate --certificate fileb://Certificate.pem \
      --certificate-chain fileb://CertificateChain.pem \
      --private-key fileb://PrivateKey.pem \
      --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
```

`import-certificate` 명령이 성공적으로 실행되는 경우 인증서의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)이 반환됩니다.