AWS Certificate Manager(ACM) 프라이빗 인증서를 요청했는데 'Failed' 오류가 발생하거나 인증서 상태가 'Failed'입니다.
간략한 설명
ACM 콘솔을 사용하여 유효 기간이 정확히 395일(13개월)인 인증서를 발급하고 관리할 수 있습니다. ACM 콘솔을 사용하여 유효 기간이 정확히 395일이 아닌 인증서를 요청하면 'Failed' 오류가 발생합니다.
이 오류를 해결하려면 AWS Private Certificate Authority의 기능인 IssueCertificate API를 사용하여 유효 기간이 더 짧은 프라이빗 인증서를 요청하세요. 그런 다음 통합 서비스에 사용할 인증서를 ACM으로 가져옵니다.
참고: IssueCertificate API를 사용하여 인증서를 요청한 경우 ACM 콘솔에 인증서가 표시되지 않습니다.
해결 방법
IssueCertificate API를 사용하여 유효 기간이 CA 유효 기간보다 짧은 새 프라이빗 인증서를 발급합니다.
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
issue-certificate 명령을 사용하여 만료일이 CA 유효 기간보다 짧은 프라이빗 인증서를 발급합니다.
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
참고: 프라이빗 인증서의 CSR 및 프라이빗 키를 직접 생성해야 합니다.
AWS Private CA를 통해 프라이빗 인증서 본문과 체인을 받고 ACM으로 가져오기
-
get-certificate 명령을 사용하여 프라이빗 인증서의 본문과 체인을 가져옵니다.
aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text
get-certificate 명령은 base64로 인코딩된 PEM 형식 인증서와 인증서 체인을 보여줍니다.
-----BEGIN CERTIFICATE-----...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-
다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장합니다.
인증서 체인:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem
인증서 본문:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem
-
import-certificate 명령을 사용하여 인증서를 ACM으로 가져옵니다.
참고: certfile.pem, privately.key 및 certchain.pem을 해당하는 파일 이름으로 바꾸세요.
aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
가져온 인증서 Amazon 리소스 이름(ARN)이 성공적으로 반환되었습니다.
관련 정보
새 ACM-PCA 인증서를 발급할 때 오류를 어떻게 해결합니까?
서드 파티 퍼블릭 SSL/TLS 인증서를 ACM으로 가져올 수 없는 이유는 무엇입니까?
프라이빗 최종 엔터티 인증서 발급