ACM 사설 인증서를 해지하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 6월 22일

AWS Certificate Manager(ACM) 프라이빗 인증서를 해지하려면 어떻게 해야 합니까?

간략한 설명

revoke-certificate AWS Command Line Interface(AWS CLI) 명령을 사용하여 ACM 프라이빗 인증서를 해지할 수 있습니다.

해결 방법

ACM 프라이빗 인증서가 IssueCertificate API를 사용하여 생성되었는지, 아니면 RequestCertificate API를 사용하여 AWS Management Console에서 생성되었는지 여부에 따라 다음 지침을 따르십시오.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하십시오.

IssueCertificate API를 사용하여 생성된 ACM 사설 인증서 해지

1단계: 인증서 일련 번호 가져오기

다음 AWS CLI 명령 get-certificate 명령은 다음과 유사한 base64로 인코딩된 PEM 형식 인증서 및 인증서 체인을 출력하고 이를 certificate.pem 파일에 저장합니다.

참고: 이 예제의 ARN을 사용자 ARN으로 교체합니다.

aws acm-pca get-certificate --certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \ --certificate-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/3d295f5691637e577f3c192acd79d401
 \ --query 'Certificate' > certificate.pem --output text

2단계: OpenSSL로 인증서를 디코딩하여 일련 번호 가져오기

openssl x509 -in certificate.pem -noout -text

출력 예시:

Serial Number: 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \

3단계: 인증서 해지

다음과 유사한 AWS CLI 명령 revoke-certificate을 실행합니다.

참고: 일련 번호 예제를 2단계의 일련 번호 출력으로 변경합니다.

aws acm-pca revoke-certificate \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \ 

--revocation-reason "KEY_COMPROMISE"

다음 값 중 하나를 사용하여 인증서를 해지한 이유를 지정합니다.

  • UNSPECIFIED
  • KEY_COMPROMISE
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • AFFILIATION_CHANGED
  • SUPERSEDED
  • CESSATION_OF_OPERATION
  • PRIVILEGE_WITHDRAWN
  • A_A_COMPROMISE

참고: revoke-certificate 명령은 응답을 반환하지 않습니다.

AWS Management Console 또는 RequestCertificate API를 사용하여 생성된 ACM 프라이빗 인증서 해지

1단계: 인증서의 일련 번호 가져오기

다음과 유사한 AWS CLI describe-certificate를 실행합니다.

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

출력 예시:

"Serial" : "3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01"

2단계: 인증서 해지

다음과 유사한 AWS CLI 명령 revoke-certificate을 실행합니다.

참고: 일련 번호 예제를 1단계의 일련 번호 출력으로 변경합니다.

aws acm-pca revoke-certificate \    

--certificate-authority-arn 
arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012
 \    

--certificate-serial 3d:29:5f:56:91:63:7e:57:7f:3c:19:2a:cd:79:d4:01 \  

--revocation-reason "KEY_COMPROMISE"

다음 값 중 하나를 사용하여 인증서를 해지한 이유를 지정합니다.

  • A_A_COMPROMISE
  • PRIVILEGE_WITHDRAWN
  • CESSATION_OF_OPERATION
  • SUPERSEDED
  • AFFILIATION_CHANGED
  • CERTIFICATE_AUTHORITY_COMPROMISE
  • KEY_COMPROMISE
  • UNSPECIFIED

참고: 해지 인증서 명령은 응답을 반환하지 않습니다.

ACM 사설 인증서가 해지되었는지 확인

AWS CLI를 사용하여 감사 보고서 생성

CA 프라이빗 키가 사용될 때마다 나열되는 감사 보고서를 생성하려면 AWS CLI 명령 create-certificate-authority-audit-report를 실행합니다.

aws acm-pca create-certificate-authority-audit-report \ 

--certificate-authority-arn arn:aws:acm-pca:eu-west-1:111111111111:certificate-authority/12345678-1234-1234-1234-123456789012 \ 

--s3-bucket-name acmcrl2 \ 

--audit-report-response-format JSON

출력 예시:

{     

"AuditReportId": "10e5767f-6259-4a23-90bb-628f5a5e1fee",     

"S3Key": "audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json" 

}

Amazon Simple Storage Service(S3) 키 ID를 기록해 둡니다.

AWS CLI 명령 get-object를 사용하여 아마존 S3 객체를 가져옵니다.

aws s3api get-object --bucket acmcrl2 --key 
audit-report/12345678-1234-1234-1234-123456789012/10e5767f-6259-4a23-90bb-628f5a5e1fee.json
 revoked.txt

출력 예시:

"revokedAt": "2021-01-30T15:24:55+0000"

revokedAt 값의 타임스탬프를 기록합니다. revokedAt 값은 인증서 상태가REVOKED인 경우에만 존재합니다.

AWS Management Console을 사용하여 감사 보고서 생성

지침에 따라 AWS Management Console을 사용하여 감사 보고서를 생성합니다.

자세한 내용은 사설 인증서 해지를 참조하십시오.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?