AWS Private CA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 프라이빗 인증서를 어떻게 요청합니까?

2분 분량
0

AWS Certificate Manager(ACM) 프라이빗 인증서를 요청했는데 'Failed' 오류가 발생하거나 인증서 상태가 'Failed'입니다.

간략한 설명

ACM 콘솔을 사용하여 유효 기간이 정확히 395일(13개월)인 인증서를 발급하고 관리할 수 있습니다. ACM 콘솔을 사용하여 유효 기간이 정확히 395일이 아닌 인증서를 요청하면 'Failed' 오류가 발생합니다.

이 오류를 해결하려면 AWS Private Certificate Authority의 기능인 IssueCertificate API를 사용하여 유효 기간이 더 짧은 프라이빗 인증서를 요청하세요. 그런 다음 통합 서비스에 사용할 인증서를 ACM으로 가져옵니다.

참고: IssueCertificate API를 사용하여 인증서를 요청한 경우 ACM 콘솔에 인증서가 표시되지 않습니다.

해결 방법

IssueCertificate API를 사용하여 유효 기간이 CA 유효 기간보다 짧은 새 프라이빗 인증서를 발급합니다.

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

issue-certificate 명령을 사용하여 만료일이 CA 유효 기간보다 짧은 프라이빗 인증서를 발급합니다.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

참고: 프라이빗 인증서의 CSR 및 프라이빗 키를 직접 생성해야 합니다.

AWS Private CA를 통해 프라이빗 인증서 본문과 체인을 받고 ACM으로 가져오기

  1. get-certificate 명령을 사용하여 프라이빗 인증서의 본문과 체인을 가져옵니다.

    aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012 \
    --certificate-arn arn:aws:acm-pca:region:account:\
    certificate-authority/12345678-1234-1234-1234-123456789012/\
    certificate/6707447683a9b7f4055627ffd55cebcc \
    --output text

    get-certificate 명령은 base64로 인코딩된 PEM 형식 인증서와 인증서 체인을 보여줍니다.

    -----BEGIN CERTIFICATE-----...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
    -----BEGIN CERTIFICATE-----
    ...base64-encoded certificate...
    -----END CERTIFICATE----
  2. 다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장합니다.

    인증서 체인:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

    인증서 본문:

    aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
  3. import-certificate 명령을 사용하여 인증서를 ACM으로 가져옵니다.

    참고: certfile.pem, privately.keycertchain.pem을 해당하는 파일 이름으로 바꾸세요.

    aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem

가져온 인증서 Amazon 리소스 이름(ARN)이 성공적으로 반환되었습니다.

관련 정보

새 ACM-PCA 인증서를 발급할 때 오류를 어떻게 해결합니까?

서드 파티 퍼블릭 SSL/TLS 인증서를 ACM으로 가져올 수 없는 이유는 무엇입니까?

프라이빗 최종 엔터티 인증서 발급