기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# CA 인증서 설치
사설 CA 인증서를 생성 및 설치하려면 다음 절차를 수행하십시오. 그러면 CA를 사용할 준비가 완료됩니다.
AWS Private CA 는 CA 인증서 설치를 위한 세 가지 시나리오를 지원합니다.
+ 에서 호스팅하는 루트 CA에 대한 인증서 설치 AWS Private CA
+ 상위 기관이 AWS Private CA에 의해 호스팅되는 하위 CA 인증서 설치
+ 상위 기관이 외부에서 호스팅되는 하위 CA 인증서 설치
다음 단원에서는 각 시나리오에 대한 절차에 대해 설명합니다. 콘솔 절차가 콘솔 페이지 **사설 CA**에서 시작됩니다.
## 호환되는 서명 알고리즘
CA 인증서에 대한 서명 알고리즘 지원은 상위 CA의 서명 알고리즘과 AWS 리전에 따라 달라집니다. 다음 제약 조건은 콘솔과 AWS CLI 작업 모두에 적용됩니다.
+ RSA 키 알고리즘이 있는 상위 CA는 다음 서명 알고리즘으로 인증서를 발급할 수 있습니다.
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ 레거시에서 EDCSA 키 알고리즘 AWS 리전이 있는 상위 CA는 다음 서명 알고리즘으로 인증서를 발급할 수 있습니다.
+ SHA256 ECDSA
+ SHA384 ECDSA
+ SHA512 ECDSA
레거시에는 다음이 AWS 리전 포함됩니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/PCACertInstall.html)
+ 레거시가 아닌 경우 EDCSA에 다음 AWS 리전규칙이 적용됩니다.
+ EC\$1prime256v1 서명 알고리즘을 사용하는 상위 CA는 ECDSA P256으로 인증서를 발급할 수 있습니다.
+ EC\$1secp384r1 서명 알고리즘을 사용하는 상위 CA는 ECDSA P384로 인증서를 발급할 수 있습니다.
+ 모든에서 EDCSA에 다음 AWS 리전규칙이 적용됩니다.
+ EC\$1secp521r1 서명 알고리즘이 있는 상위 CA는 ECDSA P521로 인증서를 발급할 수 있습니다.
## 루트 CA 인증서 설치
AWS Management Console 또는에서 루트 CA 인증서를 설치할 수 있습니다 AWS CLI.
**프라이빗 루트 CA(콘솔)에 대한 인증서를 생성 및 설치하는 방법**
1. (옵션) CA의 세부 정보 페이지에 아직 접속하지 않은 경우 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)에서 AWS Private CA 콘솔을 엽니다. **프라이빗 인증 기관** 페이지에서 **보류 중인 인증서** 또는 **활성** 상태인 루트 CA를 선택합니다.
1. **작업**, **CA 인증서 설치**를 선택하여 **루트 CA 인증서 설치** 페이지를 엽니다.
1. **루트 CA 인증서 파라미터 지정**에서 다음과 같은 인증서 파라미터를 지정합니다.
+ **유효성** - CA 인증서의 만료 날짜 및 시간을 지정합니다. 루트 CA 인증서의 AWS Private CA 기본 유효 기간은 10년입니다.
+ **서명 알고리즘** - 루트 CA가 새 인증서를 발급할 때 사용할 서명 알고리즘을 지정합니다. 사용 가능한 옵션은 CA를 생성하는 AWS 리전 에 따라 다릅니다. 자세한 내용은 [호환되는 서명 알고리즘](#signing_algorithms), [에서 지원되는 암호화 알고리즘 AWS Private Certificate Authority](PcaWelcome.md#supported-algorithms) 및 [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html#API_CertificateAuthorityConfiguration_Contents)의 **SigningAlgorithm**을 참조하세요.
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
설정이 올바른지 검토한 다음 **확인 및 install**. AWS Private CA exports a CSR for your CA를 선택하고 루트 CA 인증서 [템플릿을](UsingTemplates.md) 사용하여 인증서를 생성한 AWS Private CA 다음 자체 서명 루트 CA 인증서를 가져옵니다.
1. CA의 세부 정보 페이지 상단에 설치 상태(성공 또는 실패)가 표시됩니다. 설치가 성공하면 새로 완료된 루트 CA의 **일반** 창에 **활성** 상태가 표시됩니다.
**프라이빗 루트 CA에 대한 인증서를 생성 및 설치하는 방법(AWS CLI)**
1. 인증서 서명 요청(CSR)을 생성합니다.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text \
--region region > ca.csr
```
base64 형식으로 인코딩된 결과 파일 `ca.csr`인 PEM 파일은 다음과 같이 표시됩니다.
```
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
```
[OpenSSL](https://www.openssl.org/)을 사용하여 CSR의 내용을 보고 확인할 수 있습니다.
```
openssl req -text -noout -verify -in ca.csr
```
그러면 다음과 유사한 출력이 생성됩니다.
```
verify OK
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Basic Constraints: critical
CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
e9:75:4a:e4
```
1. 이전 단계의 CSR을 `--csr` 파라미터의 인수로 사용하여 루트 인증서를 발급합니다.
**참고**
AWS CLI 버전 1.6.3 이상을 사용하는 경우 필요한 입력 파일을 지정할 `fileb://` 때 접두사를 사용합니다. 이렇게 AWS Private CA 하면가 Base64-encoded 데이터를 올바르게 구문 분석할 수 있습니다.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=365,Type=DAYS
```
1. 루트 인증서를 검색합니다.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--output text > cert.pem
```
base64 형식으로 인코딩된 결과 파일 `cert.pem`인 PEM 파일은 다음과 같이 표시됩니다.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
[OpenSSL](https://www.openssl.org/)을 사용하여 인증서의 내용을 보고 확인할 수 있습니다.
```
openssl x509 -in cert.pem -text -noout
```
그러면 다음과 유사한 출력이 생성됩니다.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Validity
Not Before: Mar 8 15:46:27 2021 GMT
Not After : Mar 8 16:46:27 2022 GMT
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
d3:69:5c:38
```
1. 루트 CA 인증서를 가져와서 CA에 설치합니다.
**참고**
AWS CLI 버전 1.6.3 이상을 사용하는 경우 필요한 입력 파일을 지정할 `fileb://` 때 접두사를 사용합니다. 이렇게 AWS Private CA 하면가 Base64-encoded 데이터를 올바르게 구문 분석할 수 있습니다.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--certificate file://cert.pem
```
CA의 새 상태를 검사합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output json
```
이제 상태가 ACTIVE로 표시됩니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
## 에서 호스팅하는 하위 CA 인증서 설치 AWS Private CA
AWS Management Console 를 사용하여 호스팅된 하위 CA에 대한 인증서를 생성하고 설치할 수 있습니다 AWS Private CA .
**AWS Private CA 호스팅된 하위 CA에 대한 인증서를 생성하고 설치하려면**
1. (옵션) CA의 세부 정보 페이지에 아직 접속하지 않은 경우 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)에서 AWS Private CA 콘솔을 엽니다. **프라이빗 인증 기관** 페이지에서 **보류 중인 인증서** 또는 **활성** 상태인 하위 CA를 선택합니다.
1. **작업**, **CA 인증서 설치**를 선택하여 **하위 CA 인증서 설치** 페이지를 엽니다.
1. **하위 CA 인증서 설치** 페이지의 **CA 유형 선택**에서에서 관리하는 인증서를 설치**AWS Private CA**하도록 선택합니다 AWS Private CA.
1. **상위 CA 선택** 아래의 **상위 프라이빗 CA** 목록에서 CA를 선택합니다. 이 목록은 다음 기준을 충족하는 CA를 표시하도록 필터링됩니다.
+ 해당 CA에 대한 사용 권한이 있습니다.
+ CA는 자체적으로 서명하지 않습니다.
+ CA의 상태가 `ACTIVE`입니다.
+ CA 모드는 `GENERAL_PURPOSE`입니다.
1. **하위 CA 인증서 파라미터 지정**에서 다음과 같은 인증서 파라미터를 지정합니다.
+ **유효성** - CA 인증서의 만료 날짜 및 시간을 지정합니다.
+ **서명 알고리즘** - 루트 CA가 새 인증서를 발급할 때 사용할 서명 알고리즘을 지정합니다. 옵션은 다음과 같습니다.
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ **경로 길이** - 새 인증서에 서명할 때 하위 CA가 추가할 수 있는 신뢰 계층 수입니다. 경로 길이가 0(기본값)이면 CA 인증서가 아닌 최종 엔터티 인증서만 생성될 수 있음을 의미합니다. 경로 길이가 1 이상이면 하위 CA가 인증서를 발급하여 추가할 하위 CA를 생성할 수 있습니다.
+ **템플릿 ARN** - 이 CA 인증서에 대한 구성 템플릿의 ARN을 표시합니다. 지정된 **경로 길이**를 변경하면 템플릿이 변경됩니다. CLI [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 명령 또는 API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) 작업을 사용하여 인증서를 생성하는 경우 ARN을 수동으로 지정해야 합니다. 사용 가능한 CA 인증서 템플릿에 대한 자세한 내용은 [AWS Private CA 인증서 템플릿 사용](UsingTemplates.md) 단원을 참조하십시오.
1. 설정이 올바른지 검토한 다음 **확인 및 install**. AWS Private CA exports a CSR을 선택하고 하위 CA 인증서 [템플릿을](UsingTemplates.md) 사용하여 인증서를 생성한 다음 선택한 상위 CA로 인증서에 서명합니다. AWS Private CA 그런 다음는 서명된 하위 CA 인증서를 가져옵니다.
1. CA의 세부 정보 페이지 상단에 설치 상태(성공 또는 실패)가 표시됩니다. 설치가 성공하면 새로 완료된 하위 CA의 **일반** 창에 **활성** 상태가 표시됩니다.
## 외부 상위 CA에서 서명한 하위 CA 인증서 설치
에 설명된 대로 하위 프라이빗 CA를 생성한 후 외부 서명 기관에서 서명한 CA 인증서를 설치하여 활성화[에서 프라이빗 CA 생성 AWS Private CA](create-CA.md)할 수 있습니다. 외부 CA로 하위 CA 인증서를 서명하려면 먼저 외부 신뢰 서비스 공급자를 서명 기관으로 설정하거나 타사 공급자를 사용하도록 설정해야 합니다.
**참고**
외부 신뢰 서비스 공급자를 생성하거나 얻는 절차는 이 설명서에서는 다루지 않습니다.
하위 CA를 만들고 외부 서명 기관에 액세스할 수 있게 되면 다음 작업을 완료합니다.
1. 에서 인증서 서명 요청(CSR)을 가져옵니다 AWS Private CA.
1. CSR을 외부 서명 기관에 제출하고 모든 체인 인증서와 함께 서명된 CA 인증서를 받습니다.
1. CA 인증서를 가져오고에 연결하여 하위 CA AWS Private CA 를 활성화합니다.
자세한 절차는 [외부에서 서명된 사설 CA 인증서 사용](PcaExternalRoot.md) 섹션을 참조하세요.