신규 사설 인증서를 요청할 때 사용할 수 있는 최대 AWS Private CA 유효 기간은 어떻게 되나요?

2분 분량
0

AWS Private Certificate Authority(AWS Private CA) 인증서의 최대 유효 기간을 계산하고 싶습니다.

해결 방법

ACM Private CA는 유효성 필드의 ‘Not Before’ 날짜를 날짜 및 시간에서 60분을 뺀 값으로 설정합니다. 이렇게 함으로써 60분 이내의 시스템 간에 발생하는 시간 불일치를 보완합니다.

‘NotAfter’ 날짜의 epoch 시간 형식을 가져와서 최대 유효 기간을 계산할 수 있습니다. 그런 다음 end-entity 인증서 발급 시점과 CA 만료 날짜 사이의 일수를 계산합니다.

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

1.    다음과 유사한 AWS CLI describe-certificate-authority를 실행합니다.

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

출력 예시:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    end-entity 인증서 발급 시점과 CA 만료 날짜 사이의 일수를 계산합니다. 시간 및 날짜 AS 웹 사이트에서 날짜 계산기를 사용할 수 있습니다. 이 예에서 end-entity 인증서 날짜는 2019년 10월 22일 화요일이고 CA의 만료 날짜는 2029년 10월 22일 월요일입니다.

결과는 3,252일입니다. CA에 --validity 기간으로 설정할 수 있는 최대 일수는 3,251일입니다.

참고: 3,252일 이상의 값을 사용하는 경우 AWS CLI 명령 출력에서 다음과 비슷한 ‘ValidationException’ 오류가 반환됩니다.

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

자세한 정보는 사설 CA 수명 주기 관리를 참조하세요.


관련 정보

ACM-PCA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 사설 인증서를 요청하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 일 년 전