프라이빗 CA에서 새 인증서를 발급할 때 오류를 해결하려면 어떻게 해야 합니까?

3분 분량
0

AWS Private Certificate Authority에 새 프라이빗 최종 엔티티 인증서 또는 하위 CA(인증 기관)를 요청하려고 했지만 요청이 실패했습니다.

간략한 설명

실패한 프라이빗 CA 인증서 요청 문제를 해결하려면 다음 변수를 확인하십시오.

  • 프라이빗 CA의 pathLenConstraint 파라미터
  • 프라이빗 CA의 상태
  • 프라이빗 CA의 서명 알고리즘군
  • 요청된 인증서의 유효 기간
  • AWS Identity and Access Management(IAM) 권한
  • AWS 계정
  • AWS Private CA 예외 오류 메시지

해결 방법

프라이빗 CA의 pathLenConstraint 파라미터

하위 CA의 경로 길이가 발급 프라이빗 CA의 경로 길이보다 크거나 같으면 다음과 같은 오류 메시지가 표시됩니다.

"Path length check failed for CA"

이 문제를 해결하려면 하위 CA의 pathLenConstraint를 프라이빗 CA의 경로 길이보다 작게 생성하십시오. 자세한 내용은 CA 계층 구조 계획을 참조하십시오.

프라이빗 CA의 상태

IssueCertificate API를 사용하여 만료되거나 삭제된 프라이빗 CA가 포함된 새 프라이빗 CA 인증서를 발급한 경우 다음 오류가 발생합니다.

"An error occurred (InvalidStateException) when calling the IssueCertificate operation: The certificate authority is not in a valid state for issuing certificates"

서명 CA가 삭제된 경우에도 7~30일 복원 기간 내에 프라이빗 CA를 복원할 수 있습니다. 복원 기간이 지나면 프라이빗 CA가 영구적으로 삭제되며 복원할 수 없습니다.

서명 CA가 만료된 경우 새 만료 날짜로 CA를 재발급하거나 만료된 CA를 교체하십시오. 만료된 CA를 새 CA로 교체하는 것이 바람직합니다. 만료된 CA를 교체하려면 새 CA를 생성한 다음 동일한 상위 CA에 연결합니다. 자세한 내용은 CA 승계 관리를 참조하십시오.

프라이빗 CA의 서명 알고리즘군

RSA 또는 ECDSA의 서명 알고리즘군은 CA 개인 키의 알고리즘군과 일치해야 합니다. 자세한 내용은 AWS Private CA에서 지원되는 암호화 알고리즘을 참조하십시오.

요청된 인증서의 유효 기간

AWS Certificate Manager(ACM)에서 발급 및 관리하는 프라이빗 최종 엔티티 인증서는 13개월(395일) 동안 유효합니다. 상위 CA의 유효 기간이 13개월 미만인 경우 ACM 콘솔에서 발급한 프라이빗 최종 엔티티 인증서 요청이 실패합니다. 다음과 같은 오류가 발생합니다.

"The signing certificate for the CA you specified in the request has expired."

참고: ACM은 단기 모드의 프라이빗 CA에서 서명한 인증서를 발급할 수 없습니다.

서명 인증서의 유효 기간이 13개월 미만인 경우 IssueCertificate API를 사용하여 사용자 지정 유효 기간을 지정합니다.

AWS Private CA에서 유효 기간이 상위 CA보다 긴 인증서를 발급하려고 하면 다음과 같은 오류 메시지가 표시됩니다.

"An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity"

이 문제를 해결하려면 최종 엔티티 인증서 또는 하위 CA 인증서의 유효 기간을 상위 CA의 유효 기간보다 짧거나 같도록 설정하십시오.

자세한 내용은 AWS Private CA의 프라이빗 CA 업데이트를 참조하십시오.

IAM 권한

IssueCertificateRequestCertificate API 호출을 수행하려면 프라이빗 CA 인증서를 요청하는 IAM ID에 필요한 권한을 부여하십시오. 그렇지 않으면 요청이 실패하고 AccessDenied 오류가 발생합니다. 최소 권한을 적용하는 것이 바람직합니다. 자세한 내용은 IAM for AWS Private CA를 참조하십시오.

AWS 계정

AWS Private CA가 다른 계정에서 CA 인증서를 발급하려고 하면 다음과 비슷한 오류 메시지가 표시됩니다.

"An error occurred (AccessDeniedException) when calling IssueCertificate because no resource-based policy allows the acm-pca:IssueCertificate action"

이 문제를 해결하려면 리소스 기반 정책을 CA 인증서에 연결하십시오. AWS Resource Access Manager(AWS RAM)를 사용하여 ACM Private CA를 다른 계정과 공유할 수도 있습니다. 자세한 내용은 ACM Private CA를 다른 AWS 계정과 공유하려면 어떻게 해야 합니까?를 참조하십시오.

AWS Private CA 예외 오류 메시지

AWS Private CA에서 여러 가지 이유로 예외 오류를 반환할 수 있습니다. AWS Private CA 예외 오류를 해결하려면 AWS Private CA 예외 메시지 문제 해결을 참조하십시오.

관련 정보

AWS Private CA용 CRL을 생성하려면 어떻게 해야 합니까?

AWS Private CA 루트 및 하위 CA를 다른 계정 또는 AWS 리전에 설치하려면 어떻게 해야 합니까?

AWS 공식
AWS 공식업데이트됨 4달 전