ACM-PCA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 사설 인증서를 요청하려면 어떻게 해야 하나요?

간략한 설명

ACM 콘솔에서 요청한 사설 인증서는 13개월 동안 유효합니다. 유효 기간이 CA 유효 기간을 초과할 경우 ACM 사설 CA가 사설 인증서를 발급할 수 없습니다. CA 유효 기간이 13개월 미만인 경우 ACM 콘솔에서 사설 인증서를 요청하는 ‘실패(Failed)’ 오류가 발생합니다.

이 오류를 해결하려면 IssueCertificate API를 사용하여 유효 기간이 더 짧은 사설 인증서를 요청하세요. 그런 다음 ACM으로 인증서를 가져와 통합 서비스와 함께 사용합니다.

해결 방법

IssueCertificate API를 사용하여 유효 기간이 CA의 유효 기간보다 짧은 새 사설 인증서를 발급합니다.

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

issue-certificate 명령을 사용하여 만료 날짜가 CA 유효 기간보다 짧은 사설 인증서를 발급합니다.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

참고: 사설 인증서에 대한 자체 CSR 및 프라이빗 키를 생성해야 합니다.

ACM PCA에서 사설 인증서 본문과 체인을 가져온 다음 ACM으로 가져옵니다.

1.    get-certificate 명령을 사용하여 사설 인증서 본문 및 체인을 가져옵니다.

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

get-certificate 명령은 base64로 인코딩된 PEM 형식 인증서 및 인증서 체인을 출력합니다.

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

2.    다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장하세요.

인증서 체인:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

인증서 본문:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    통합 서비스에서 사설 인증서를 사용하려면 다음 지침에 따라 import-certificate 명령을 사용하여 인증서를 가져옵니다.

참고: certfile.pem, privately.key 및 certchain.pem을 사용자의 파일 이름으로 바꿉니다.

aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem