ACM-PCA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 사설 인증서를 요청하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 10월 31일

AWS Certificate Manager(ACM) 사설 인증서를 요청했는데 "Failed" 오류가 발생하거나 인증서 상태가 "Failed"입니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

ACM 인증서의 유효 기간은 13개월입니다. 지정된 유효 기간이 CA 유효 기간을 초과할 경우 ACM 사설 CA가 사설 인증서를 발급할 수 없습니다.

​해결 방법

ACM 사설 CA에서 만료 날짜가 13개월 이상인 새 사설 인증서를 발급하십시오. 그런 다음 사설 인증서 본문과 체인을 가져와 ACM으로 가져오십시오.

중요: 시작하기 전에 AWS CLI를 설치구성해야 합니다.

1.    issue-certificate 명령을 사용하여 CA에서 다음과 유사한, 만료 날짜가 13개월 이상인 사설 인증서를 발급하십시오.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234

이 예에서는 루트 CA 유효 기간이 1년 이상이어야 하므로 365일이 사용됩니다. 루트 CA와 동일한 유효 기간을 사용하십시오.

2.    get-certificate 명령을 사용하여 다음과 유사한 사설 인증서 본문 및 체인을 가져오십시오.

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

get-certificate 명령은 다음과 유사한 base64로 인코딩된 PEM 형식 인증서 및 인증서 체인을 출력합니다.

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장하십시오.

인증서 체인:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

인증서 본문:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    그런 다음, 다음과 유사한 import-certificate 명령을 사용하여 AWS Certificate Manager로 인증서 가져오기에 나와 있는 지침을 따르십시오.

참고: certfile.pem, certchain.pemPrivateKey.pem을 자체 파일 이름으로 바꾸십시오.

aws acm import-certificate --certificate file://certfile.pem --certificate-chain file://certchain.pem --private-key file://PrivateKey.pem

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?