기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 프라이빗 CA 업데이트 AWS Private Certificate Authority
프라이빗 CA의 상태를 업데이트하거나 CA를 생성한 후 [해지 구성](revocation-setup.md)을 변경할 수 있습니다. 이 항목에서는 CA에 대한 콘솔 및 CLI 업데이트의 예제와 함께 CA 상태 및 CA 수명 주기에 대한 세부 정보를 제공합니다.
## CA 업데이트(콘솔)
다음 절차는 AWS Management Console를 사용하여 기존 CA 구성을 업데이트하는 방법을 보여줍니다.
### CA 상태 업데이트(콘솔)
이 예제에서는 활성화된 CA의 상태가 비활성화로 변경됩니다.
**CA의 상태를 업데이트하는 방법**
1. AWS 계정에 로그인하고 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) AWS Private CA 콘솔을 엽니다.
1. **프라이빗 인증 기관** 페이지의 목록에서 현재 활성화된 프라이빗 CA를 선택합니다.
1. **작업** 메뉴에서 **비활성화**를 선택하여 프라이빗 CA를 비활성화합니다.
### CA의 해지 구성 업데이트(콘솔)
예를 들어 OCSP 또는 CRL 지원을 추가 또는 제거하거나 설정을 수정하여 사설 CA의 [해지 구성](revocation-setup.md)을 업데이트할 수 있습니다.
**참고**
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
다음과 같은 설정을 변경할 수 있습니다.
+ OCSP 용 및 사용 중지
+ 사용자 지정 OCSP 정규화된 도메인 이름(FQDN)을 활성화하거나 비활성화합니다.
+ FQDN을 변경합니다.
CRL의 경우 다음 설정 중 하나를 선택할 수 있습니다.
+ CRL 유형(전체 또는 분할됨)
+ 사설 CA가 CRL을 생성하는지 여부
+ CRL이 만료되기까지 남은 일수. 는 지정한 일수의 1/2로 CRL을 재생성하기 AWS Private CA 시작합니다.
+ CRL이 저장되는 Amazon S3 버킷의 이름입니다.
+ Amazon S3 버킷의 이름을 공개적으로 볼 수 없도록 숨기는 별칭입니다.
**중요**
위의 파라미터를 변경하면 부정적인 영향을 미칠 수 있습니다. CRL 생성 비활성화, 유효 기간 변경, 사설 CA를 프로덕션 환경에 배치한 후 S3 버킷 변경 등을 예제로 들 수 있습니다. 이러한 변경으로 인해 CRL 및 현재 CRL 구성에 의존하는 기존 인증서가 손상될 수 있습니다. 이전 별칭이 올바른 버킷에 연결되어 있는 한 별칭을 안전하게 변경할 수 있습니다.
**해지 설정을 업데이트하는 방법**
1. AWS 계정에 로그인하고 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) AWS Private CA 콘솔을 엽니다.
1. **프라이빗 인증 기관** 페이지의 목록에서 프라이빗 CA를 선택합니다. 그러면 CA의 세부 정보 패널이 열립니다.
1. **해지 구성** 탭을 선택한 다음 **편집**을 선택합니다.
1. **인증서 해지 옵션**에는 두 가지 옵션이 표시됩니다.
+ **CRL 배포 활성화**
+ **OCSP 활성화**
CA에 대해 이러한 해지 옵션을 둘 중 하나 또는 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 [모범 사례](ca-best-practices.md)로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 [AWS Private CA 인증서 해지 방법 계획](revocation-setup.md) 섹션을 참조하세요.
#### CRL을 구성하는 방법
1. **CRL 배포 활성화**를 선택합니다.
1. CRL 항목을 위한 Amazon S3 버킷을 만들려면 **새 S3 버킷 생성**을 선택합니다. 고유한 버킷 이름을 제공합니다. (버킷에 대한 경로를 포함할 필요는 없습니다.) 그렇지 않으면 이 옵션을 선택하지 않고 **S3 버킷 이름** 목록에서 기존 버킷을 선택합니다.
새 버킷을 생성하는 경우는 [필요한 액세스 정책을](crl-planning.md#s3-policies) AWS Private CA 생성하고 연결합니다. 기존 버킷을 사용하기로 결정한 경우 먼저 액세스 정책을 추가해야 CRL 생성을 시작할 수 있습니다. [Amazon S3의 CRL에 대한 액세스 정책](crl-planning.md#s3-policies)에 설명된 정책 패턴 중 하나를 사용합니다. 정책 연결에 대한 자세한 내용은 [Amazon S3 콘솔을 사용하여 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)를 참조하세요.
**참고**
AWS Private CA 콘솔을 사용하는 경우 다음 두 조건이 모두 적용되는 경우 CA 생성 시도가 실패합니다.
Amazon S3 버킷 또는 계정에 퍼블릭 액세스 차단 설정을 적용하고 있습니다.
Amazon S3 버킷을 자동으로 생성 AWS Private CA 하도록 요청했습니다.
이 경우 콘솔은 기본적으로 공개적으로 액세스할 수 있는 버킷을 만들려고 시도하지만 Amazon S3는 이 작업을 거부합니다. 이 경우 Amazon S3 설정을 확인하합니다. 자세한 내용은 [Amazon S3 스토리지에 대한 퍼블릭 액세스 차단](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)을 참조하세요.
1. 추가 구성 옵션을 보려면 **고급**을 확장합니다.
+ **파티셔닝 활성화**를 선택하여 CRLs의 파티셔닝을 활성화합니다. 파티셔닝을 활성화하지 않으면 CA에 [AWS Private Certificate Authority 할당량](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)에 표시된 취소된 인증서의 최대 수가 적용됩니다. 분할된 CRLs. [CRL 유형](crl-planning.md#crl-type)
+ **사용자 지정 CRL 이름**을 추가하여 Amazon S3 버킷에 대한 별칭을 생성합니다. 이 이름은 RFC 5280에서 정의한 “CRL 배포 지점” 확장에 따라 CA에서 발급한 인증서에 포함되어 있습니다. IPv6를 통해 CRLs 사용하려면 [ IPv6를 통해 CRLs 사용에](crl-planning.md#crl-ipv6) 설명된 대로 버킷의 듀얼 스택 S3 엔드포인트로 설정합니다.
+ **사용자 지정 경로를** 추가하여 Amazon S3 버킷의 파일 경로에 대한 DNS 별칭을 생성합니다.
+ CRL이 유효하게 유지되는 **일수를 ** 입력합니다. 기본값은 7일입니다. 온라인 CRL의 경우, 유효 기간은 일반적으로 2\$17일입니다. AWS Private CA 에서는 지정된 기간의 1/2 시점에 CRL 재생성을 시도합니다.
1. 작업을 마쳤으면 **변경 사항 저장**을 선택합니다.
#### OCSP를 구성하는 방법
1. **인증서 해지** 페이지에서 **OCSP 활성화**를 선택합니다.
1. (옵션) **사용자 지정 OCSP 엔드포인트** 필드에 OCSP 엔드포인트에 대한 정규화된 도메인 이름(FQDN)을 제공합니다. IPv6를 통해 OCSP를 사용하려면 [ IPv6를 통해 OCSP 사용에](ocsp-customize.md#ocsp-ipv6) 설명된 대로이 필드를 듀얼 스택 엔드포인트로 설정합니다.
이 필드에 FQDN을 제공하면는 AWS OCSP 응답기의 기본 URL 대신 발급된 각 인증서의 *권한 정보 액세스* 확장에 FQDN을 AWS Private CA 삽입합니다. 엔드포인트는 사용자 지정 FQDN이 포함된 인증서를 받으면 해당 주소를 쿼리하여 OCSP 응답을 요청합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
+ 프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.
+ 해당 CNAME 레코드를 DNS 데이터베이스에 추가합니다.
**작은 정보**
사용자 지정 CNAME을 사용하여 완전한 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 [에 대한 OCSP URL 사용자 지정 AWS Private CA](ocsp-customize.md) 섹션을 참조하세요.
예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 OCSP에 대한 CNAME 레코드입니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/PCAUpdateCA.html)
**참고**
CNAME 값에 ‘http://‘ 또는 ‘https://’와 같은 프로토콜 접두사가 포함되면 안 됩니다.
1. 작업을 마쳤으면 **변경 사항 저장**을 선택합니다.
## CA(CLI) 업데이트
다음 절차는 AWS CLI를 사용하여 기존 CA의 상태 및 [해지 구성](revocation-setup.md)을 업데이트하는 방법을 보여줍니다.
**참고**
CA의 해지 구성을 변경해도 이미 발급된 인증서에는 영향을 주지 않습니다. 관리형 해지가 제대로 작동하려면 이전 인증서를 다시 발급해야 합니다.
**프라이빗 CA의 상태를 업데이트하는 방법(AWS CLI)**
[update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 명령을 사용합니다.
이는 상태 `DISABLED`를 `ACTIVE`로 설정하려는 기존 CA가 있을 때 유용합니다. 시작하려면 다음 명령을 사용하여 CA의 초기 상태를 확인합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
결과로 다음과 유사한 출력이 반환됩니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
다음 명령은 프라이빗 CA의 상태를 `ACTIVE`로 설정합니다. 이는 CA에 유효한 인증서가 설치된 경우에만 가능합니다.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--status "ACTIVE"
```
CA의 새 상태를 검사합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이제 상태가 `ACTIVE`로 표시됩니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
해지 메커니즘이 구성되어 있지 않은 활성 CA가 있기도 합니다. 인증서 취소 목록(CRL) 을 사용하기 시작하려면 다음 절차를 사용합니다.
**기존 CA에 CRL을 추가하는 방법(AWS CLI)**
1. CA의 현재 상태를 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
출력은 CA가 상태 `ACTIVE`는 있지만 CRL을 사용하도록 구성되지 않았음을 확인합니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
1. CRL 구성 매개 변수를 정의하는 `revoke_config.txt`과 같은 이름을 가진 파일을 만들고 저장합니다.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
}
}
```
**참고**
CRLs을 활성화하도록 Matter 디바이스 증명 CA를 업데이트할 때 현재 Matter 표준을 준수하도록 발급된 인증서에서 CDP 확장을 생략하도록 구성해야 합니다. 이렇게 하려면 아래 그림과 같이 CRL 구성 파라미터를 정의합니다.
```
{
"CrlConfiguration":{
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension": true
}
}
}
```
1. [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 명령과 해지 구성 파일을 사용하여 CA를 업데이트합니다.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. CA의 상태를 다시 검사합니다.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
출력을 통해 CA가 이제 CRL을 사용하도록 구성되었음을 확인할 수 있습니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
이전 절차와 같이 CRL을 활성화하는 대신 OCSP 취소 지원을 추가해야 하는 경우도 있습니다. 이 경우 다음 단계를 사용합니다.
**기존 CA에 OCSP 지원을 추가하는 방법(AWS CLI)**
1. OCSP 파라미터를 정의하는 `revoke_config.txt`과 같은 이름을 사용하여 파일을 만들고 저장합니다.
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
1. [update-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/update-certificate-authority.html) 명령과 해지 구성 파일을 사용하여 CA를 업데이트합니다.
```
$ aws acm-pca update-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--revocation-configuration file://revoke_config.txt
```
1. CA의 상태를 다시 검사합니다.
```
$ aws acm-pca describe-certificate-authority
--certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
--output json
```
출력은 CA가 이제 OCSP를 사용하도록 구성되어 있음을 확인합니다.
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-08T14:36:26.449000-08:00",
"LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T13:46:50-08:00",
"NotAfter": "2022-03-08T14:46:50-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": false
},
"OcspConfiguration": {
"Enabled": true
}
}
}
}
```
**참고**
CA에서 CRL 및 OCSP 지원을 모두 구성할 수도 있습니다.