새 ACM-PCA 인증서를 발급할 때 발생하는 오류를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 7월 7일

AWS Certificate Manager(ACM)에 대해 새 사설 최종 엔터티 인증서 또는 하위 CA를 요청하려고 했는데 요청이 실패했습니다.

간략한 설명

실패한 사설 인증서 요청 문제를 해결하려면 다음을 확인합니다.

  • 발급 인증 기관의 pathLenConstraint 매개 변수
  • 발급 인증 기관의 상태
  • 발급 인증 기관의 서명 알고리즘 계열
  • 요청된 인증서의 유효 기간
  • AWS Identity and Access Management(IAM) 권한

해결 방법

발급 인증 기관의 "pathLenConstraint" 매개 변수

발급하는 CA 인증서의 경로 길이보다 길거나 같은 경로 길이로 CA를 생성하면 ValidationException 오류가 반환됩니다. ACM 하위 CA를 발급하기 위한 pathLenConstraint가 발급 CA의 경로 길이보다 짧은지 확인합니다.

발급 인증 기관의 상태

만료된 CA(활성 상태가 아님)가 있는 IssueCertificate API를 사용하여 새 PCA 인증서를 발급하면 InvalidStateException 오류 코드가 반환됩니다.

서명 CA가 만료된 경우 새 하위 CA 인증서 또는 ACM 사설 인증서를 발급하기 전에 먼저 이를 갱신해야 합니다.

발급 인증 기관의 서명 알고리즘 계열

AWS Management Console은 사설 ECDSA 인증서 발급을 지원하지 않으므로 발급한 CA를 사용할 수 없습니다. 이는 ECDSA 사설 하위 인증 기관이 이미 생성된 경우에도 발생합니다. IssueCertificate API 호출을 사용하고 --signing-algorithm 플래그를 사용하여 ECDSA 변형을 지정할 수 있습니다.

요청된 인증서의 유효 기간

ACM에서 발급하고 관리하는 인증서(ACM이 개인 키를 생성하는 인증서)의 유효 기간은 13개월(395일)입니다.

ACM 사설 CA의 경우 IssueCertificate API를 사용하여 모든 유효 기간을 적용할 수 있습니다. 그러나 인증서 유효 기간을 발급 인증 기관보다 길게 지정하면 인증서 발급이 실패합니다.

CA 인증서 유효 기간을 하위 또는 최종 엔터티 인증서의 기간보다 2~5배 큰 값으로 설정하는 것이 가장 좋습니다. 자세한 내용은 유효 기간 선택을 참조하세요.

IAM 권한

IAM 자격 증명으로 발급된 사설 인증서에는 필요한 권한이 있어야 합니다. 그렇지 않으면 요청이 실패하고 “AccessDenied” 오류가 발생합니다. 최소 권한 부여 원칙을 준수하면서 사설 인증서를 발급할 수 있는 권한을 IAM 자격 증명에 부여하는 것이 가장 좋습니다.

자세한 내용은 AWS Certificate Manager 사설 인증 기관의 Identity and Access Managemen를 참조하세요.