AWS Certificate Manager에서 프라이빗 인증서 요청 - AWS 인증서 관리자
프라이빗 인증서 요청(콘솔)프라이빗 인증서 요청(CLI)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Certificate Manager에서 프라이빗 인증서 요청

프라이빗 인증서 요청(콘솔)

  1. AWS 관리 콘솔에 로그인하여 https://console.aws.amazon.com/acm/home에서 ACM 콘솔을 엽니다.

    인증서 요청을 선택합니다.

  2. 인증서 요청 페이지에서 프라이빗 인증서 요청(Request a private certificate)을 선택하고 다음(Next)을 선택하여 계속합니다.

  3. 인증 기관 세부 정보(Certificate authority details) 섹션에서 인증 기관(Certificate authority) 메뉴를 클릭하고 사용할 수 있는 프라이빗 CA 중 하나를 선택합니다. 다른 계정에서 CA를 공유한 경우 ARN 앞에 소유권 정보가 표시됩니다.

    CA에 대한 세부 정보가 표시되므로 올바른 CA를 선택했는지 확인할 수 있습니다.

    • 소유자

    • 유형

    • 일반 이름(CN)

    • 조직(O)

    • 조직 단위(OU)

    • 국가 이름(C)

    • 주 또는 지방

    • 시 이름

  4. 도메인 이름(Domain names) 섹션에서 도메인 이름을 입력합니다. www.example.com 같은 FQDN(Fully Qualified Domain Name)이나 example.com 같은 베어 또는 apex 도메인 이름을 사용할 수 있습니다. 맨 왼쪽에서 별표(*)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 예를 들어 *.example.comcorp.example.comimages.example.com을 보호합니다. 와일드카드 이름은 [주체(Subject)] 필드와 ACM 인증서의 [주체 대체 이름(Subject Alternative Name)] 확장에 표시됩니다.

    참고

    와일드카드 인증서를 요청할 때 별표(*)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 *.example.comlogin.example.comtest.example.com을 보호할 수 있지만 test.login.example.com은 보호할 수 없습니다. 또한 *.example.comexample.com의 하위 도메인 보호하고 베어 또는 apex 도메인(example.com)은 보호하지 못합니다. 둘 모두를 보호하려면 다음 단계를 참조하세요.

    또는 이 인증서에 다른 이름 추가(Add another name to this certificate)를 선택하고 텍스트 상자에 이름을 입력합니다. 이렇게 하면 베어 또는 apex 도메인(예: example.com)과 하위 도메인(예: *.example.com)을 인증하는 데 유용합니다.

  5. 키 알고리즘 섹션에서 알고리즘을 선택합니다.

    알고리즘을 선택하는 도움이 되는 정보는 AWS Certificate Manager 리소스 태깅 섹션을 참조하세요

  6. 태그 페이지에서 선택 사항으로 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키-값 페어입니다. ACM 태그 파라미터 목록과 생성 후 인증서에 태그를 추가하는 방법에 대한 지침은 AWS Certificate Manager 리소스 태깅 섹션을 참조하세요.

  7. 인증서 갱신 권한(Certificate renewal permissions) 섹션에서 인증서 갱신 권한에 대한 통지를 확인합니다. 이러한 권한을 사용하면 선택한 CA로 서명된 프라이빗 PKI 인증서를 자동으로 갱신할 수 있습니다. 자세한 내용은 ACM에서 서비스 연결 역할 사용을 참조하세요.

  8. 필수 정보를 모두 제공한 후 요청(Request)을 선택합니다. 콘솔에서 새 인증서를 볼 수 있는 인증서 목록으로 돌아갑니다.

    참고

    목록을 정렬한 방법에 따라 찾고 있는 인증서가 즉시 표시되지 않을 수 있습니다. 오른쪽의 검은색 삼각형을 클릭하여 순서를 변경할 수 있습니다. 오른쪽 상단의 페이지 번호를 사용하여 여러 페이지의 인증서를 탐색할 수도 있습니다.

프라이빗 인증서 요청(CLI)

request-certificate 명령을 사용하여 ACM에서 프라이빗 인증서를 요청합니다.

참고

CA에서 서명한 프라이빗 PKI 인증서를 AWS Private CA에서 요청하는 경우 지정된 서명 알고리즘 계열(RSA 또는 ECDSA)은 CA의 보안 키의 알고리즘 계열과 일치해야 합니다.

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

이 명령은 새 사설 인증서의 Amazon 리소스 이름(ARN)을 출력합니다.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

대부분의 경우 ACM은 공유 CA를 처음 사용할 때 서비스 연결 역할(SLR)을 계정에 자동으로 연결합니다. SLR은 발급한 최종 엔터티 인증서를 자동으로 갱신할 수 있도록 합니다. SLR이 있는지 확인하려면 다음 명령을 사용하여 IAM을 쿼리하면 됩니다.

aws iam get-role --role-name AWSServiceRoleForCertificateManager

SLR이 있으면 명령 출력이 다음과 같이 나타납니다.

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

SLR이 없으면 ACM에서 서비스 연결 역할 사용을 참조하세요.