ACM PCA에 대한 CRL(인증서 해지 목록)을 생성하려면 어떻게 해야 합니까?

3분 분량

AWS Certificate Manager(ACM) 사설 인증 권한(CA)에 대한 CRL(인증서 해지 목록)을 생성하려고 합니다. 어떻게 해야 합니까?

간략한 설명

ACM 사설 CA는 CRL을 사용자가 사용하도록 지정한 Amazon Simple Storage Service(S3) 버킷에 배치합니다. Amazon S3 버킷은 연결된 권한 정책에 의해 보호되어야 합니다. 승인된 사용자 및 서비스 보안 주체는 ACM 사설 CA가 객체를 버킷에 배치할 수 있도록 Put 권한과 객체를 검색할 수 있는 Get 권한이 필요합니다.

자세한 내용은 Amazon S3의 CRL에 대한 액세스 정책을 참조하세요.

해결 방법

다음 지침에 따라 Amazon S3 버킷, Amazon CloudFront 배포를 생성하고 CRL에 대한 CA를 구성합니다.

참고:

AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인합니다.
새로운 Amazon S3 버킷은 기본적으로 퍼블릭 액세스 차단(BPA) 기능이 활성화된 상태로 구성됩니다.

1단계: BPA 설정이 활성화된 상태로 새 Amazon S3 버킷 생성

1. Amazon S3 콘솔을 열고 버킷 생성을 선택합니다.

2. 버킷 이름에 버킷의 이름을 입력합니다.

3. 객체 소유권에서 ACL 활성화를 선택한 다음 버킷 생성을 선택합니다.

4. 버킷에서, 3단계에서 생성한 버킷을 선택합니다.

5. 권한 탭을 선택합니다.

6. 버킷 정책에서 편집을 선택합니다.

7. 정책에서 다음 정책을 복사하여 붙여넣습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

참고: S3 버킷 이름, 계정 ID 및 ACM PCA ARN을 변수로 교체합니다.

8. 변경 사항 저장을 선택합니다.

자세한 내용은 버킷 생성을 참조하세요.

2단계: CloudFront 배포 생성

1. CloudFront 콘솔을 열고 배포 생성을 선택합니다.

2. 오리진 도메인에 이전 단계에서 생성한 버킷의 이름을 입력합니다.

3. S3 버킷 액세스에서 **예, OAI 사용(버킷은 액세스를 CloudFront로만 제한 가능)**을 선택합니다.

4. 오리진 액세스 ID에서 새 OAI 생성을 선택한 다음 생성을 선택합니다.

5. 배포 생성을 선택합니다.

자세한 내용은 배포 생성을 참조하세요.

3단계: CRL을 사용하여 CA 구성

1. 다음과 유사한 AWS CLI 명령 create-certificate-authority를 사용하여 CA를 생성합니다.

$ aws acm-pca create-certificate-authority --certificate-authority-configuration "KeyAlgorithm=RSA_2048,SigningAlgorithm=SHA256WITHRSA,Subject={CommonName=s3-bpa}" --certificate-authority-type "ROOT" --revocation-configuration "CrlConfiguration={Enabled=true,S3BucketName=examplebucket,ExpirationInDays=7,S3ObjectAcl=BUCKET_OWNER_FULL_CONTROL}" --region us-east-1

revoke_config.txt 파일에는 다음과 유사한 해지 정보가 들어 있습니다.

{
  "CrlConfiguration": {
    "Enabled": true,
    "ExpirationInDays": integer,
    "S3BucketName": "string",
    "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
  }
}

참고: AWS Management Console을 사용하여 CRL을 구성한 경우 "ValidationException" 오류가 발생할 수 있습니다. AWS CLI를 사용하여 CA 해지 구성을 업데이트하려면 1단계를 반복합니다.

(선택 사항) 4단계: CRL 암호화

CRL이 포함된 Amazon S3 버킷에서 자동 또는 사용자 지정 암호화를 구성할 수 있습니다. 지침은 CRL 암호화를 참조하세요.