AWS Private Certificate Authority(AWS Private CA) 인증서의 최대 유효 기간을 계산하고 싶습니다.
해결 방법
ACM Private CA는 유효성 필드의 ‘Not Before’ 날짜를 날짜 및 시간에서 60분을 뺀 값으로 설정합니다. 이렇게 함으로써 60분 이내의 시스템 간에 발생하는 시간 불일치를 보완합니다.
‘NotAfter’ 날짜의 epoch 시간 형식을 가져와서 최대 유효 기간을 계산할 수 있습니다. 그런 다음 end-entity 인증서 발급 시점과 CA 만료 날짜 사이의 일수를 계산합니다.
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
1. 다음과 유사한 AWS CLI describe-certificate-authority를 실행합니다.
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
출력 예시:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
"OwnerAccount": "123456789012",
"CreatedAt": "2019-10-22T19:26:52.721000+00:00",
"LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
"Type": "SUBORDINATE",
"Serial": "4096",
"Status": "ACTIVE",
"NotBefore": "2019-10-22T18:29:30+00:00",
"NotAfter": "2029-10-22T19:29:30+00:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "AU",
"Organization": "MINDEF/SAF",
"OrganizationalUnit": "AU",
"State": "Australia",
"CommonName": "example.com.au",
"Locality": "Australia"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "crl-123456789012-region",
"S3ObjectAcl": "PUBLIC_READ"
},
"OcspConfiguration": {
"Enabled": false
}
},
"KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
}
}
2. end-entity 인증서 발급 시점과 CA 만료 날짜 사이의 일수를 계산합니다. 시간 및 날짜 AS 웹 사이트에서 날짜 계산기를 사용할 수 있습니다. 이 예에서 end-entity 인증서 날짜는 2019년 10월 22일 화요일이고 CA의 만료 날짜는 2029년 10월 22일 월요일입니다.
결과는 3,252일입니다. CA에 --validity 기간으로 설정할 수 있는 최대 일수는 3,251일입니다.
참고: 3,252일 이상의 값을 사용하는 경우 AWS CLI 명령 출력에서 다음과 비슷한 ‘ValidationException’ 오류가 반환됩니다.
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
자세한 정보는 사설 CA 수명 주기 관리를 참조하세요.
관련 정보
ACM-PCA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 사설 인증서를 요청하려면 어떻게 해야 하나요?