AWS Private CA 프라이빗 인증서를 해지하려면 어떻게 해야 하나요?
AWS Private Certificate Authority(CA) 프라이빗 인증서를 해지하고 싶습니다.
해결 방법
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
AWS Private CA 프라이빗 인증서는 IssueCertificate API 동작 또는 RequestCertificate API 동작으로 만들 수 있습니다. AWS 사설 CA 사설 인증서 유형에 해당하는 단계를 완료합니다.
AWS Private CA 개인 인증서를 해지하려면 AWS CLI 명령 revoke-certificate를 사용합니다.
발급 인증서 API로 생성한 AWS 사설 CA 사설 인증서
다음 단계를 완료하십시오.
-
인증서의 일련 번호를 가져오려면 get-certificate 명령을 실행합니다. 이 명령은 base64로 인코딩된 PEM 형식의 인증서를 반환하고 certificate.pem 파일에 저장합니다.
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401 \ --query 'Certificate' > certificate.pem --output text참고: --certificate-authority-arn 값을 Amazon 리소스 번호(ARN) 값으로 바꿉니다.
-
일련 번호를 얻으려면 OpenSSL로 인증서를 디코딩합니다:
openssl x509 -in certificate.pem -noout -text다음은 예제 출력입니다.
Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \<.code> -
revoke-certificate 명령을 실행하고 인증서를 취소하려는 이유를 입력합니다:
참고: revoke-certificate 명령은 응답을 반환하지 않습니다.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"다음 값 중 하나를 사용하여 인증서를 해지하려는 이유를 지정합니다.
UNSPECIFIED
KEY_COMPROMISE
CERTIFICATE_AUTHORITY_COMPROMISE
AFFILIATION_CHANGED
SUPERSEDED
CESSATION_OF_OPERATION
PRIVILEGE_WITHDRAWN
A_A_COMPROMISE참고:****--certificate-serial 값을 인증서의 일련 번호로 바꾸십시오. --revocation-reason 값을 적절한 사유로 바꾸십시오.
요청 인증서 API로 생성한 AWS 사설 CA 사설 인증서
다음 단계를 완료하십시오.
-
describe-certificate 명령을 실행하여 인증서의 일련 번호를 얻습니다:
aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012참고: --certificate-arn 값을 ARN 값으로 바꿉니다.
다음은 예제 출력입니다.
"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01" -
인증서를 취소하려면 revoke-certificate 명령을 실행합니다.
참고: revoke-certificate 명령은 응답을 반환하지 않습니다.
aws acm-pca revoke-certificate \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ --revocation-reason "KEY_COMPROMISE"다음 값 중 하나를 사용하여 인증서를 해지하려는 이유를 지정합니다:
A_A_COMPROMISE
PRIVILEGE_WITHDRAWN
CESSATION_OF_OPERATION
SUPERSEDED
AFFILIATION_CHANGED
CERTIFICATE_AUTHORITY_COMPROMISE
KEY_COMPROMISE
UNSPECIFIED참고:****--certificate-serial 값을 인증서의 일련 번호로 바꾸십시오. --revocation-reason 값을 적절한 사유로 바꿉니다.
AWS Private CA 개인 인증서가 해지되었는지 확인합니다.
AWS CLI로 감사 보고서 생성하기
-
인증 기관(CA) 개인 키의 모든 사용을 나열하는 감사 보고서를 만들려면 AWS CLI 명령 create-certificate-authority-audit-report를 실행합니다:
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ --s3-bucket-name acmcrl2 \ --audit-report-response-format JSON>/code>참고: --certificate-authority-arn 값을 ARN 값으로 바꿉니다.
다음은 예제 출력입니다.
{ "AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee", "S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" }아마존 간편 스토리지 서비스(Amazon S3) 키 ID를 복사합니다.
-
AWS CLI 명령 get-object를 사용하여 Amazon S3 개체를 가져옵니다:
aws s3api get-object --bucket acmcrl2 --key audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json revoked.txt참고: --key 값을 이전 단계의 S3Key 값으로 바꿉니다.
다음은 예제 출력입니다.
"revokedAt": "2021-01-30T15:24:55+0000"revokedAt에는 AWS Private CA 개인 인증서가 해지된 시점에 대한 타임스탬프 값이 있습니다. revokedAt 값은 인증서 상태가 REVOKED인 경우에만 존재합니다.
AWS 관리 콘솔로 감사 보고서 생성하기
AWS 관리 콘솔을 사용하여 감사 보고서를 생성하려면 감사 보고서 생성을 참조하세요.
관련 정보
관련 콘텐츠
- 질문됨 일 년 전
- 질문됨 2달 전
- 질문됨 10달 전
- AWS 공식업데이트됨 10달 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
