ACM-PCA 유효 기간이 13개월 미만인 경우 ACM 콘솔을 사용하여 사설 인증서를 요청하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2021년 12월 18일

AWS Certificate Manager(ACM) 사설 인증서를 요청했는데 ‘실패(Failed)’ 오류가 발생하거나 인증서 상태가 ‘실패(Failed)’입니다. 이 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

ACM 콘솔에서 요청한 사설 인증서는 13개월 동안 유효합니다. 유효 기간이 CA 유효 기간을 초과할 경우 ACM 사설 CA가 사설 인증서를 발급할 수 없습니다. CA 유효 기간이 13개월 미만인 경우 ACM 콘솔에서 사설 인증서를 요청하는 ‘실패(Failed)’ 오류가 발생합니다.

이 오류를 해결하려면 IssueCertificate API를 사용하여 유효 기간이 더 짧은 사설 인증서를 요청하세요. 그런 다음 ACM으로 인증서를 가져와 통합 서비스와 함께 사용합니다.

해결 방법

IssueCertificate API를 사용하여 유효 기간이 CA의 유효 기간보다 짧은 새 사설 인증서를 발급합니다.

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

issue-certificate 명령을 사용하여 만료 날짜가 CA 유효 기간보다 짧은 사설 인증서를 발급합니다.

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" --idempotency-token 1234

참고: 사설 인증서에 대한 자체 CSR 및 프라이빗 키를 생성해야 합니다.

ACM PCA에서 사설 인증서 본문과 체인을 가져온 다음 ACM으로 가져옵니다.

1.    get-certificate 명령을 사용하여 사설 인증서 본문 및 체인을 가져옵니다.

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

get-certificate 명령은 base64로 인코딩된 PEM 형식 인증서 및 인증서 체인을 출력합니다.

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

2.    다음 명령을 사용하여 인증서 본문과 인증서 체인을 .pem 파일로 저장하세요.

인증서 체인:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

인증서 본문:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    통합 서비스에서 사설 인증서를 사용하려면 다음 지침에 따라 import-certificate 명령을 사용하여 인증서를 가져옵니다.

참고: certfile.pem, privately.keycertchain.pem을 사용자의 파일 이름으로 바꿉니다.

aws acm import-certificate --certificate fileb://certfile.pem --private-key file://privatekey.key --certificate-chain file://certchain.pem

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?