Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
AWS Private CA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 프라이빗 인증서를 어떻게 요청합니까?
AWS Certificate Manager(ACM) 프라이빗 인증서를 요청했는데 'Failed' 오류가 발생하거나 인증서 상태가 'Failed'입니다.
간략한 설명
ACM 콘솔을 사용하여 유효 기간이 정확히 395일(13개월)인 인증서를 발급하고 관리할 수 있습니다. ACM 콘솔을 사용하여 유효 기간이 정확히 395일이 아닌 인증서를 요청하면 'Failed' 오류가 발생합니다.
이 오류를 해결하려면 AWS Private Certificate Authority의 기능인 IssueCertificate API를 사용하여 유효 기간이 더 짧은 프라이빗 인증서를 요청하세요. 그런 다음 통합 서비스에 사용할 인증서를 ACM으로 가져옵니다.
참고: IssueCertificate API를 사용하여 인증서를 요청한 경우 ACM 콘솔에 인증서가 표시되지 않습니다.
해결 방법
IssueCertificate API를 사용하여 유효 기간이 CA 유효 기간보다 짧은 새 프라이빗 인증서를 발급합니다.
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
issue-certificate 명령을 사용하여 만료일이 CA 유효 기간보다 짧은 프라이빗 인증서를 발급합니다.
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr fileb://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234
참고: 프라이빗 인증서의 CSR 및 프라이빗 키를 직접 생성해야 합니다.
AWS Private CA를 통해 프라이빗 인증서 본문과 체인을 받고 ACM으로 가져오기
-
get-certificate 명령을 사용하여 프라이빗 인증서의 본문과 체인을 가져옵니다.
aws acm-pca get-certificate \--certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012/\ certificate/6707447683a9b7f4055627ffd55cebcc \ --output textget-certificate 명령은 base64로 인코딩된 PEM 형식 인증서와 인증서 체인을 보여줍니다.
-----BEGIN CERTIFICATE-----...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- ...base64-encoded certificate... -----END CERTIFICATE---- -
다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장합니다.
인증서 체인:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem인증서 본문:
aws acm-pca get-certificate --certificate-authority-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem -
import-certificate 명령을 사용하여 인증서를 ACM으로 가져옵니다.
참고: certfile.pem, privately.key 및 certchain.pem을 해당하는 파일 이름으로 바꾸세요.
aws acm import-certificate --certificate fileb://certfile.pem --private-key fileb://privatekey.key --certificate-chain fileb://certchain.pem
가져온 인증서 Amazon 리소스 이름(ARN)이 성공적으로 반환되었습니다.
관련 정보
새 ACM-PCA 인증서를 발급할 때 오류를 어떻게 해결합니까?
