게시된 날짜: Sep 3, 2021
AWS Certificate Manager(ACM) 사Private Certificate Authority(CA)에서 인증서 철회 정보 배포에 온라인 인증서 상태 프로토콜(OCSP)을 제공한다고 발표했습니다. 암호화된 TLS 연결을 설정하면 엔드포인트에서 OCSP를 사용하여 거의 실시간으로 인증서가 철회되었는지 쿼리할 수 있습니다. 이를 통해 인증서를 신뢰해서는 안 된다고 엔드포인트에 알립니다. 이 기능은 인프라 자체를 관리하거나 운영할 필요 없이 엔드포인트에 인증서가 철회되었음을 알리는 완전 관리형 OCSP 솔루션을 제공합니다.
원래 ACM Private CA 고객은 CRL을 사용하여 ACM Private CA가 발급한 인증서의 철회 상태를 확인하거나 자체적인 OCSP를 구축해 관리할 수 있었습니다. CRL은 스토리지가 제한된 엔드포인트에 적합하지 않고 액세스와 파싱에 추가적 컴퓨팅 처리가 포함됩니다. 클라이언트가 하루에 한 번 또는 그 미만으로 CRL을 다운로드하므로 최신이 아닐 수도 있습니다. OCSP 응답자를 구축해서 운영하려면 고객이 맞춤 개발을 수행하고, 표준 유지관리를 처리하며, OCSP에 장애가 발생하는 긴급 상황에 대응해야 합니다.
이제 사설 CA에서 완전 관리형 OCSP를 제공합니다. 고객은 콘솔, CloudFormation, API 또는 명령줄을 통해 한 번의 작업만으로 OCSP를 활성화할 수 있으며, 새로운 CA 또는 기존 CA에 대한 개발이나 배포가 필요하지 않습니다. 사설 CA의 OCSP를 사용하는 고객은 TLS 엔드포인트가 직접 철회 상태를 쿼리할 수 있는 인증서를 배포하고, 스토리지 및 처리 요구 사항을 OCSP 응답자로 옮겨 오래된 상태 문제를 해결할 수 있습니다. 인증서를 발급하는 고객은 OCSP, 인증서 철회 목록(CRL) 중 하나를 선택하거나 둘 다 선택하여 사설 인증서의 철회 정보를 배포할 수 있습니다.
사설 CA는 자체 사설 CA 운영을 위한 사전 투자 및 지속적인 유지 관리 비용 없이 가용성이 뛰어난 사설 CA 서비스를 제공합니다. CA 관리자는 사설 CA를 사용하여 외부 CA 없이도 온라인 루트 및 하위 CA를 포함하는 완전한 CA 계층 구조를 만들 수 있습니다. 사설 CA를 사용하면 안전하고 사용한 만큼만 지불하는 관리형 사설 CA 서비스를 통해 리소스용 사설 인증서를 한곳에서 생성할 수 있습니다. OCSP 기능은 사설 CA의 애드온 옵션입니다. OCSP 기능 요금은 공개 ACM Private CA 요금 페이지를 참조하세요.
CA OCSP 기능은 AWS GovCloud를 제외하고 사설 CA를 지원하는 모든 리전에서 제공됩니다. 사설 CA를 사용할 수 있는 리전 목록은
AWS 리전 및 엔드포인트
를 참조하세요.
사설 CA를 시작하려면 시작하기 페이지를 방문하세요.