기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 프라이빗 CA 생성 AWS Private CA
이 섹션의 절차를 사용하여 루트 CA 또는 하위 CA 중 하나를 생성할 수 있으므로 조직의 요구 사항과 일치하는 트러스트 관계에 대해 감사 가능한 계층을 만들 수 있습니다. AWS Management Console,의 PCA 부분 AWS CLI또는를 사용하여 CA를 생성할 수 있습니다 AWS CloudFormation.
이미 생성한 CA의 구성을 업데이트하는 방법에 대한 자세한 내용은 [에서 프라이빗 CA 업데이트 AWS Private Certificate Authority](PCAUpdateCA.md) 섹션을 참조하세요.
CA를 사용하여 사용자, 디바이스 및 애플리케이션의 최종 엔터티 인증서에 서명하는 방법은 [프라이빗 최종 엔터티 인증서 발급](PcaIssueCert.md) 섹션을 참조하세요.
**참고**
계정에는 사설 CA를 생성한 시점부터 각 사설 CA에 대한 월별 요금이 청구됩니다.
최신 AWS Private CA 요금 정보는 [AWS Private Certificate Authority 요금을](https://aws.amazon.com/private-ca/pricing/) 참조하세요. [AWS 요금 계산기](https://calculator.aws/#/createCalculator/certificateManager)를 사용하여 비용을 추정할 수도 있습니다.
**Topics**
+ [프라이빗 CA 생성을 위한 CLI 예제](#create-ca-cli-examples)
------
#### [ Console ]
**콘솔을 사용하여 프라이빗 API를 생성하는 방법**
1. AWS Management Console을 사용하여 프라이빗 CA를 생성하려면 다음 단계를 완료합니다.
**콘솔을 사용하여 시작하기**
AWS 계정에 로그인하고에서 AWS Private CA 콘솔을 엽니다**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**.
+ 프라이빗 CA가 없는 리전에서 콘솔을 여는 경우 소개 페이지가 나타납니다. **프라이빗 CA 생성**을 선택합니다.
+ CA를 이미 생성한 리전에서 콘솔을 여는 경우 CA 목록이 포함된 **프라이빗 인증 기관** 페이지가 열립니다. **CA 생성**을 선택합니다.
1. **모드 옵션**에서 CA에서 발급하는 인증서의 만료 모드를 선택합니다.
+ **범용** - 모든 만료 날짜로 구성할 수 있는 인증서를 발급합니다. 기본값입니다.
+ **단기 인증서** - 최대 유효 기간이 7일인 인증서를 발급합니다. 경우에 따라 짧은 유효 기간이 해지 메커니즘을 대체할 수 있습니다.
1. 콘솔의 **유형 옵션** 섹션에서 만들려는 프라이빗 인증 기관의 유형을 선택합니다.
+ **루트**를 선택하면 새 CA 계층이 설정됩니다. 이 CA는 자체 서명된 인증서에 의해 지원됩니다. 이는 계층의 다른 CA 및 최종 엔터티 인증서에 대한 궁극적 서명 기관 역할을 합니다.
+ **하위**를 선택하면 계층에서 위에 있는 상위 CA가 서명해야 하는 CA가 생성됩니다. 하위 CA는 일반적으로 다른 하위 CA를 생성하거나 사용자, 컴퓨터 및 애플리케이션에 최종 엔터티 인증서를 발급하는 데 사용됩니다.
**참고**
AWS Private CA 는 하위 CA의 상위 CA도 호스팅되는 경우 자동 서명 프로세스를 제공합니다 AWS Private CA. 사용할 상위 CA를 선택하기만 하면 됩니다.
외부 신뢰 서비스 공급자가 하위 CA에 서명해야 할 수도 있습니다. 그렇다면는 서명된 CA 인증서를 얻기 위해 다운로드하고 사용해야 하는 인증서 서명 요청(CSR)을 AWS Private CA 제공합니다. 자세한 내용은 [외부 상위 CA에서 서명한 하위 CA 인증서 설치](PCACertInstall.md#InstallSubordinateExternal) 단원을 참조하십시오.
1. **보안 주체 고유 이름 옵션**에서 프라이빗 CA의 보안 주체 이름을 구성합니다. 다음 옵션 중 하나 이상의 값을 입력해야 합니다.
+ **조직(O)** - 예: 회사 이름
+ **조직 단위(OU)** - 예: 회사 내 부서
+ **국가 이름(C)** - 두 글자로 된 국가 코드
+ **주 또는 도 이름** - 주 또는 도의 전체 이름
+ **지역 이름** - 도시 이름
+ **일반 이름(CN)** - CA를 식별하기 위해 사람이 읽을 수 있는 문자열입니다.
**참고**
발급 시 APIPassthrough 템플릿을 적용하여 인증서의 보안 주체 이름을 추가로 사용자 지정할 수 있습니다. 자세한 정보와 상세한 예제는 [APIPassThrough 템플릿을 사용하여 사용자 지정 보안 주체 이름이 포함된 인증서를 발급합니다.](PcaIssueCert.md#custom-subject-1) 섹션을 참조하세요.
백업 인증서는 자체 서명되므로 사설 CA에 제공하는 보안 주체 정보는 공용 CA에 포함된 정보보다 더 적을 수 있습니다. 보안 주체 고유 이름을 구성하는 각 값에 대한 자세한 내용은 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4)을 참조하세요.
1. **키 알고리즘 옵션**에서 키 알고리즘과 알고리즘 강도를 선택합니다. 기본값은 RSA 2048입니다. 다음 알고리즘 중에서 선택할 수 있습니다.
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. **인증서 취소 옵션**에서 인증서를 사용하는 클라이언트와 해지 상태를 공유하는 두 가지 방법 중 하나를 선택할 수 있습니다.
+ **CRL 배포 활성화**
+ **OCSP 활성화**
CA에 대해 이러한 해지 옵션 중 하나를 구성하거나, 둘 다 구성하거나, 둘 다 구성하지 않을 수 있습니다. 선택 사항이긴 하지만 관리형 해지가 [모범 사례](ca-best-practices.md)로 권장됩니다. 이 단계를 완료하기 전에 각 방법의 장점, 필요할 수 있는 예비 설정 및 추가 해지 기능에 대한 정보는 [AWS Private CA 인증서 해지 방법 계획](revocation-setup.md)섹션을 참조하세요.
**참고**
해지를 구성하지 않고 CA를 생성하는 경우 언제든지 나중에 구성할 수 있습니다. 자세한 내용은 [에서 프라이빗 CA 업데이트 AWS Private Certificate Authority](PCAUpdateCA.md) 단원을 참조하십시오.
**인증서 해지 옵션을** 구성하려면 다음 단계를 수행합니다.
1. **인증서 취소 옵션**에서 **CRL 배포 활성화**를 선택합니다.
1. **S3 버킷 URI**의 목록에서 기존 버킷을 선택합니다.
기존 버킷을 지정할 때 계정 및 버킷에 대해 BPA가 비활성화되어 있는지 확인해야 합니다. 그렇지 않으면 CA를 생성하는 작업이 실패합니다. CA가 성공적으로 생성된 경우에도 정책을 수동으로 연결해야 CRL 생성을 시작할 수 있습니다. [Amazon S3의 CRL에 대한 액세스 정책](crl-planning.md#s3-policies)에 설명된 정책 패턴 중 하나를 사용합니다. 자세한 내용은 [Amazon S3 콘솔을 사용하여 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)를 참조하세요.
1. 추가 구성 옵션을 보려면 **CRL 설정**을 확장합니다.
+ **파티셔닝 활성화**를 선택하여 CRLs의 파티셔닝을 활성화합니다. 파티셔닝을 활성화하지 않으면 CA에 취소된 인증서의 최대 수가 적용됩니다. 자세한 내용은 [AWS Private Certificate Authority 할당량](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)을 참조하세요. 분할된 CRLs. [CRL 유형](crl-planning.md#crl-type)
+ **사용자 지정 CRL 이름**을 추가하여 Amazon S3 버킷에 대한 별칭을 생성합니다. 이 이름은 RFC 5280에서 정의한 “CRL 배포 지점” 확장에 따라 CA에서 발급한 인증서에 포함되어 있습니다. IPv6를 통해 CRLs 사용하려면 [ IPv6를 통해 CRLs 사용에](crl-planning.md#crl-ipv6) 설명된 대로 버킷의 듀얼 스택 S3 엔드포인트로 설정합니다.
+ **사용자 지정 경로를** 추가하여 Amazon S3 버킷의 파일 경로에 대한 DNS 별칭을 생성합니다.
+ CRL이 유효한 상태로 유지되는 **일수를 ** 입력합니다. 기본값은 7일입니다. 온라인 CRL의 경우, 유효 기간은 일반적으로 2\$17일입니다. AWS Private CA 에서는 지정된 기간의 1/2 시점에 CRL 재생성을 시도합니다.
1. **인증서 해지 옵션**에서 **OCSP 켜기를** 선택합니다.
1. **사용자 지정 OCSP 엔드포인트* - 옵션*** 필드에서 Amazon 이외의 OCSP 엔드포인트에 대한 정규화된 도메인 이름(FQDN)을 제공할 수 있습니다. IPv6를 통해 OCSP를 사용하려면 [ IPv6를 통해 OCSP 사용에](ocsp-customize.md#ocsp-ipv6) 설명된 대로이 필드를 듀얼 스택 엔드포인트로 설정합니다.
이 필드에 FQDN을 제공하면는 AWS OCSP 응답기의 기본 URL 대신 발급된 각 인증서의 *권한 정보 액세스* 확장에 FQDN을 AWS Private CA 삽입합니다. 엔드포인트는 사용자 지정 FQDN이 포함된 인증서를 받으면 해당 주소를 쿼리하여 OCSP 응답을 요청합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
+ 프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.
+ 해당 CNAME 레코드를 DNS 데이터베이스에 추가합니다.
**작은 정보**
사용자 지정 CNAME을 사용하여 완전한 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 [에 대한 OCSP URL 사용자 지정 AWS Private CA](ocsp-customize.md) 섹션을 참조하세요.
예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 OCSP에 대한 CNAME 레코드입니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/privateca/latest/userguide/create-CA.html)
**참고**
CNAME 값에 ‘http://‘ 또는 ‘https://’와 같은 프로토콜 접두사가 포함되면 안 됩니다.
1. 선택에 따라 **태그 추가** 아래에서 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키-값 페어입니다. AWS Private CA 태그 파라미터 목록과 생성 후 CAs에 태그를 추가하는 방법에 대한 지침은 섹션을 참조하세요[프라이빗 CA에 대한 태그 추가](PcaCaTagging.md).
**참고**
생성 절차 중에 프라이빗 CA에 태그를 첨부하려면 CA 관리자가 먼저 인라인 IAM 정책을 `CreateCertificateAuthority` 작업에 연결하고 태그 지정을 명시적으로 허용해야 합니다. 자세한 내용은 [생성 시 태그 지정: CA를 만들 때 CA에 태그 첨부](auth-InlinePolicies.md#tag-on-create) 단원을 참조하십시오.
1. **CA 권한 옵션**에서 선택적으로 AWS Certificate Manager 서비스 보안 주체에게 자동 갱신 권한을 위임할 수 있습니다. ACM은 이 권한이 부여된 경우에만 이 CA에서 생성한 프라이빗 최종 엔터티 인증서를 자동으로 갱신할 수 있습니다. 언제든지 AWS Private CA [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) API 또는 [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) CLI 명령을 사용하여 갱신 권한을 할당할 수 있습니다.
기본적으로 이러한 권한을 사용하도록 설정되어 있습니다.
**참고**
AWS Certificate Manager 는 단기 인증서의 자동 갱신을 지원하지 않습니다.
1. **요금**에서 프라이빗 CA의 요금을 이해했는지 확인하세요.
**참고**
최신 AWS Private CA 요금 정보는 [AWS Private Certificate Authority 요금을](https://aws.amazon.com/private-ca/pricing/) 참조하세요. [AWS 요금 계산기](https://calculator.aws/#/createCalculator/certificateManager)를 사용하여 비용을 추정할 수도 있습니다.
1. 입력한 모든 정보가 정확한지 확인한 후 **CA 생성**을 선택합니다. CA의 세부 정보 페이지가 열리고 상태가 **보류 중인 인증서**로 표시됩니다.
**참고**
세부 정보 페이지에서 **작업**, **CA 인증서 설치**를 선택하여 CA 구성을 완료하거나 나중에 **프리이빗 인증 기관** 목록으로 돌아가서 해당 경우에 적용되는 설치 절차를 완료할 수 있습니다.
[루트 CA 인증서 설치](PCACertInstall.md#InstallRoot)
[에서 호스팅하는 하위 CA 인증서 설치 AWS Private CA](PCACertInstall.md#InstallSubordinateInternal)
[외부 상위 CA에서 서명한 하위 CA 인증서 설치](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
프라이빗 CA를 만들려면 [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) 명령을 사용합니다. CA 구성(알고리즘 및 보안 주체 이름 정보 포함), 해지 구성(OCSP 및/또는 CRL을 사용하려는 경우), CA 유형(루트 또는 하위)을 지정해야 합니다. 구성 및 해지 구성 세부 정보는 명령에 인수로 제공하는 두 파일에 포함되어 있습니다. 선택적으로 CA 사용 모드(표준 또는 단기 인증서 발급용)를 구성하고, 태그를 첨부하고, 멱등성 토큰을 제공할 수도 있습니다.
CRL을 구성하는 경우 **create-certificate-authority** 명령을 실행하기 *전에* 안전한 Amazon S3 버킷이 있어야 합니다. 자세한 내용은 [Amazon S3의 CRL에 대한 액세스 정책](crl-planning.md#s3-policies) 단원을 참조하십시오.
CA 구성 파일은 다음 정보를 지정합니다.
+ 알고리즘의 이름
+ CA 프라이빗 키를 생성하는 데 사용할 키 크기
+ CA가 자체 인증서 서명 요청, CRLs 및 OCSP 응답에 서명하는 데 사용하는 서명 알고리즘의 유형입니다.
+ X.500 보안 주체 정보
OCSP의 해지 구성은 다음 정보를 사용하여 `OcspConfiguration` 객체를 정의합니다.
+ `Enabled` 플래그를 “true”로 설정합니다.
+ (옵션) `OcspCustomCname`의 값으로 선언된 사용자 지정 CNAME입니다.
CRL의 해지 구성은 다음 정보로 `CrlConfiguration` 객체를 정의합니다.
+ `Enabled` 플래그를 “true”로 설정합니다.
+ CRL 만료 기간(일)(CRL의 유효 기간).
+ CRL이 포함되어 있는 Amazon S3 버킷입니다.
+ (선택 사항) CRL에 공개적으로 액세스할 수 있는지 여부를 결정하는 [S3ObjectAcl](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) 값입니다. 여기에 제시된 예제에서는 공개 액세스가 차단됩니다. 자세한 내용은 [CloudFront를 사용하여 S3 퍼블릭 액세스 차단(BPA) 활성화](crl-planning.md#s3-bpa) 단원을 참조하십시오.
+ (옵션) CA에서 발급한 인증서에 포함된 S3 버킷의 CNAME 별칭입니다. CRL에 공개적으로 액세스할 수 없는 경우 이는 Amazon CloudFront와 같은 배포 메커니즘을 가리킵니다.
+ (선택 사항) 다음 정보가 포함된 `CrlDistributionPointExtensionConfiguration` 객체입니다.
+ "true" 또는 "false"로 설정된 `OmitExtension` 플래그입니다. 이렇게 하면 CDP 확장의 기본값을 CA에서 발급한 인증서에 쓸지 여부가 제어됩니다. CDP 확장에 대한 자세한 내용은 섹션을 참조하세요[CRL 배포 지점(CDP) URI 확인](crl-planning.md#crl-url). OmitExtension이 "true"인 경우 CustomCname을 설정할 수 없습니다.
+ (선택 사항) S3 버킷의 CRL에 대한 사용자 지정 경로입니다.
+ (선택 사항) CRL이 완료 또는 분할될지 여부를 결정하는 [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType) 값입니다. 입력하지 않으면 CRL이 기본적으로 완료됩니다.
**참고**
`OcspConfiguration` 객체와 `CrlConfiguration` 객체를 모두 정의하여 동일한 CA에서 두 개의 해지 메커니즘을 모두 활성화할 수 있습니다. **--revocation-configuration** 파라미터를 제공하지 않으면 기본적으로 두 메커니즘 모두 비활성화됩니다. 나중에 해지 유효성 검사 지원이 필요한 경우 [CA(CLI) 업데이트](PCAUpdateCA.md#ca-update-cli) 섹션을 참조하세요.
CLI 예제는 다음 섹션을 참조하세요.
------
## 프라이빗 CA 생성을 위한 CLI 예제
다음 예에서는 유효한 기본 리전, 엔드포인트 및 자격 증명을 사용하여 `.aws` 구성 디렉터리를 설정했다고 가정합니다. AWS CLI 환경 구성에 대한 자세한 내용은 [구성 및 자격 증명 파일 설정을](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html) 참조하세요. 가독성을 높이기 위해 예제 명령에서 CA 구성 및 해지 입력을 JSON 파일로 제공합니다. 필요에 따라 예제 파일을 수정하여 사용하세요.
달리 명시되지 않는 한 모든 예제는 다음 `ca_config.txt` 구성 파일을 사용합니다.
**파일: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### 예제 1: OCSP가 활성화된 CA 생성
이 예제에서 해지 파일은 AWS Private CA 응답기를 사용하여 인증서 상태를 확인하는 기본 OCSP 지원을 활성화합니다.
**파일: OCSP용 revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
이 명령이 제대로 실행되면 새 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### 예제 2: OCSP와 사용자 지정 CNAME이 활성화된 CA 생성
이 예제에서 해지 파일은 사용자 지정된 OCSP 지원을 활성화합니다. `OcspCustomCname` 파라미터는 정규화된 도메인 이름(FQDN)을 값으로 사용합니다.
이 필드에 FQDN을 제공하면는 AWS OCSP 응답기의 기본 URL 대신 발급된 각 인증서의 *권한 정보 액세스* 확장에 FQDN을 AWS Private CA 삽입합니다. 엔드포인트는 사용자 지정 FQDN이 포함된 인증서를 받으면 해당 주소를 쿼리하여 OCSP 응답을 요청합니다. 이 메커니즘이 작동하려면 다음 두 가지 추가 조치를 취해야 합니다.
+ 프록시 서버를 사용하여 사용자 지정 FQDN에 도착하는 트래픽을 AWS OCSP 응답기로 전달합니다.
+ 해당 CNAME 레코드를 DNS 데이터베이스에 추가합니다.
**작은 정보**
사용자 지정 CNAME을 사용하여 완전한 OCSP 솔루션을 구현하는 방법에 대한 자세한 내용은 [에 대한 OCSP URL 사용자 지정 AWS Private CA](ocsp-customize.md) 섹션을 참조하세요.
예를 들어, 다음은 Amazon Route 53에 표시되는 사용자 지정 OCSP에 대한 CNAME 레코드입니다.
****
| 레코드 이름 | Type | 라우팅 정책 | 차별화 요소 | 값/트래픽 라우팅 대상 |
| --- | --- | --- | --- | --- |
| alternative.example.com | CNAME | 간편함 | - | proxy.example.com |
**참고**
CNAME 값에 ‘http://‘ 또는 ‘https://’와 같은 프로토콜 접두사가 포함되면 안 됩니다.
**파일: OCSP용 revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### 예제 3: CRL이 첨부된 CA 생성
이 예제에서는 해지 구성이 CRL 파라미터를 정의합니다.
**파일: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### 예제 4: CRL이 첨부되고 사용자 지정 CNAME이 활성화된 CA 생성
이 예제에서 해지 구성은 사용자 지정 CNAME이 포함된 CRL 파라미터를 정의합니다.
**파일: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### 예제 5: CA 생성 및 사용 모드 지정
이 예제에서는 CA를 생성할 때 CA 사용 모드를 지정합니다. 지정하지 않을 경우 사용 모드 파라미터의 기본값은 GENERAL\$1PURPOSE입니다. 이 예제에서는 파라미터가 SHORT\$1LIVED\$1CERTICATION으로 설정되어 있습니다. 즉, CA는 최대 유효 기간이 7일인 인증서를 발급합니다. 해지를 구성하는 것이 불편한 상황에서는 손상된 단기 인증서가 정상 작업의 일부로 빠르게 만료됩니다. 따라서 이 예제 CA에는 해지 메커니즘이 없습니다.
**참고**
AWS Private CA 는 루트 CA 인증서에 대한 유효성 검사를 수행하지 않습니다.
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
다음 [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html) 명령과 같이에서 명령을 사용하여 결과 CA에 대한 세부 정보를 AWS CLI 표시합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### 예제 6: Active Directory 로그인을 위한 CA 생성
Microsoft Active Directory(AD)의 Enterprise NTAuth 저장소에서 사용하기에 적합한 프라이빗 CA를 만들 수 있으며, 이 저장소에서 카드 로그온 또는 도메인 컨트롤러 인증서를 발급할 수 있습니다. CA 인증서를 AD로 가져오는 방법에 대한 자세한 내용은 [타사 인증 기관(CA) 인증서를 Enterprise NAuth 저장소로 가져오는 방법](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store)을 참조하세요.
Microsoft [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) 도구를 사용하면 **-dspublish** 옵션을 호출하여 AD에 CA 인증서를 게시할 수 있습니다. certutil을 사용하여 AD에 게시된 인증서는 전체 포리스트에서 신뢰됩니다. 그룹 정책을 사용하여 전체 포리스트의 하위 집합(예: 단일 도메인 또는 도메인의 컴퓨터 그룹)으로 신뢰를 제한할 수도 있습니다. 로그온이 제대로 작동하려면 발급 CA도 NTAuth 저장소에 게시해야 합니다. 자세한 내용은 [그룹 정책을 사용하여 클라이언트 컴퓨터에 인증서 배포](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy)를 참조하세요.
이 예제에서는 다음 `ca_config_AD.txt` 구성 파일을 사용합니다.
**파일: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### 예제 7: 발급된 인증서에서 생략된 CRL 및 CDP 확장이 연결된 Matter CA 생성
Matter 스마트 홈 표준에 대한 인증서를 발급하는 데 적합한 프라이빗 CA를 생성할 수 있습니다. 이 예제에서의 CA 구성은 공급업체 ID(VID)가 FFF1로 설정된 Matter Product Attestation Authority(PAA)를 `ca_config_PAA.txt` 정의합니다.
**파일: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
취소 구성은 CRLs 활성화하고 발급된 인증서에서 기본 CDP URL을 생략하도록 CA를 구성합니다.
**파일: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**명령**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
이 명령이 제대로 실행되면 CA의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
CA의 구성을 검사하려면 다음 명령을 사용합니다.
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
이 설명에 다음 사항이 포함되어 있어야 합니다.
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```