AWS Private CA 루트 및 하위 CA를 다른 계정 또는 리전에 설치하려면 어떻게 해야 합니까?

3분 분량

다른 AWS 계정 또는 AWS 리전에 AWS Private Certificate Authority 루트 및 하위 CA 인증서를 설치하고 싶습니다.

간략한 설명

AWS Private CA를 사용하여 프라이빗 루트 CA 또는 프라이빗 하위 CA를 호스팅할 수 있습니다. AWS Management Console을 사용하여 AWS Private CA가 호스팅하는 프라이빗 루트 CA 또는 하위 CA 인증서를 생성하고 설치할 수 있습니다. 하지만 프라이빗 루트 CA와 하위 CA는 동일한 계정 및 리전에 있어야 합니다.

다른 계정 또는 리전에 인증서를 설치하려면AWS Command Line Interface(AWS CLI) 또는 API를 사용해야 합니다. 이는 AWS Management Console을 사용하여 다른 계정이나 리전에 인증서를 설치할 수 없기 때문입니다.

참고: AWS CLI 명령을 실행할 때 오류가 발생하면 AWS CLI 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

해결 방법

참고:

다음 예제에서는 프라이빗 CA를 region1에 생성했다고 가정합니다.
이 예제에서는 CA 유형을 프라이빗 루트 CA로 사용합니다.
SDK를 사용하여 API를 직접 호출하려면 AWS Private CA API 참조를 참조하십시오.
region1 및 region2를 사용자의 리전으로 바꾸십시오.

다른 계정 또는 리전에 프라이빗 하위 CA 생성

AWS Management Console 또는 AWS CLI를 사용하여 하위 CA를 생성합니다.

다음 예제에서는 region1을 사용하여 프라이빗 루트 CA를 생성합니다. 이 예제에서는 region1의 프라이빗 루트 CA를 사용하여 region2에서 프라이빗 하위 CA를 발급합니다.

프라이빗 루트 CA용 CA 인증서 설치

AWS Management Console 또는 AWS CLI를 사용하여 프라이빗 루트 CA 인증서를 설치합니다.

하위 CA에서 CSR 가져오기

하위 CA에서 CSR(Certificate Signing Request, 인증서 서명 요청)을 가져오려면 get-certificate-authority-csr AWS CLI 명령을 실행합니다.

$ aws acm-pca get-certificate-authority-csr \
     --certificate-authority-arn arn:aws:acm-pca:region2:account2:certificate-authority/SUB_CA_ID \
     --output text \
     --region region2 > sub_ca.csr

region1의 프라이빗 루트 CA를 사용하여 프라이빗 하위 CA 인증서 발급

프라이빗 루트 CA를 사용하여 CSR에 서명한 다음 프라이빗 루트 CA를 사용하여 하위 CA 인증서를 발급합니다.

AWS CLI 명령 issue-certificate 실행:

$ aws acm-pca issue-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID \
     --csr fileb://sub_ca.csr \
     --signing-algorithm SHA256WITHRSA \
     --template-arn arn:aws:acm-pca:::template/subordinateCAcertificate_PathLen0/V1 \
     --validity Value=1095,Type=DAYS \
     --region region1

참고: 이전 템플릿은 경로 길이가 0이므로 최종 엔티티 인증서만 발급할 수 있습니다. 모든 AWS Private CA 지원 템플릿 유형 목록은 인증서 템플릿 이해를 참조하십시오.

region1의 프라이빗 루트 CA에서 하위 CA 인증서 가져오기

AWS CLI 명령 get-certificate 실행:

$ aws acm-pca get-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID \
     --certificate-arn arn:aws:acm-pca:region1:account1:certificate-authority/ROOT_CA_ID/certificate/SUB_CERTIFICATE_ID \
     --output text \
     --region region1 > sub_ca_cert.pem

sub_ca_cert.pem 파일 예제:

-----BEGIN CERTIFICATE-----
    .....Content of your subordinate CA certificate......
    -----END CERTIFICATE-----    -----BEGIN CERTIFICATE-----
    .....Content of your parent Root CA certificate (Chain)......
    -----END CERTIFICATE-----

-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 사이의 첫 번째 텍스트 블록은 하위 CA 인증서의 본문입니다. 이 텍스트 블록을 새 파일에 입력한 다음 파일을 sub_ca_cert_body.pem으로 저장합니다.
참고: 또한 명령줄 JSON 프로세서인 jq를 사용하여 인증서와 체인을 구문 분석하여 별도의 파일로 만들 수도 있습니다. get-certificate AWS CLI 명령과 함께 jq를 사용하는 방법에 대한 자세한 내용은 APIPassthrough 템플릿을 사용하여 사용자 지정 주제 이름으로 인증서 발급을 참조하십시오.
-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 사이의 두 번째 텍스트 블록은 하위 CA 인증서에 대한 인증서 체인입니다. 인증서 체인에는 발급한 프라이빗 루트 CA의 인증서가 포함되어 있습니다. 이 텍스트 블록을 새 파일에 입력한 다음 파일을 sub_ca_cert_chain.pem으로 저장합니다.

region2에 하위 CA 인증서 설치

AWS CLI 명령 import-certificate-authority-certificate 실행:

$ aws acm-pca import-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:region2:account2:certificate-authority/SUB_CA_ID \
     --certificate fileb://sub_ca_cert_body.pem \
     --certificate-chain fileb://sub_ca_cert_chain.pem \
     --region region2

이제 하위 CA 인증서 설치가 완료되었으며 다른 계정 및 리전에서 프라이빗 최종 엔티티 인증서를 발급할 수 있습니다.