BLOG
오늘 AWS ACM(AWS Certificate Manager), CA(Private Certificate Authority)에 대한 새로운 기능을 출시했습니다. 이 새로운 서비스는 ACM이 개인용 하위 CA로 활동할 수 있게 해 줍니다. 이전에는 개인 인증서를 사용하려는 고객에게는 유지 관리 및 운영에 많은 비용이 소요될 수 있는 전문 인프라 및 보안 전문가가 필요했습니다. ACM Private CA는 ACM의 기존 인증서 기능을 바탕으로 쓰는 대로 가격이 책정되는 형태로서 개인 인증서의 라이프사이클을 쉽고 안전하게 관리할 수 있도록 도와 줍니다. 이를 통해 개발자가 몇 번의 간단한 API호출로 인증서를 프로비저닝 할 수 있으며, 관리자는 세밀한 IAM 정책을 통해 중앙 CA 관리 콘솔과 미세한 액세스 제어를 할 수 있습니다. ACM Private CA 키는 FIPS 140-2 레벨 3 보안 표준을 준수하는 AWS 관리 하드웨어 보안 모듈(HSMs)에 안전하게 저장되어 있습니다. ACM Private CA는 Amazon Simple Storage Service(S3)에서 CRLs(Certificate Revocation Lists)을 자동으로 유지 관리하고 관리자는 API 또는 콘솔을 사용하여 인증서 생성에 대한 감사 보고서를 생성할 수 있습니다. 이 서비스는 기능이 가득 차 있으므로 CA를 프로비저닝 하는 방법에 대해 살펴보겠습니다.
개인 CA(인증서 권한) 프로비저닝
먼저, 우리 지역의 ACM 콘솔로 이동하고 사이드 바의 새 개인 CA 섹션을 선택하겠습니다. 여기서 시작을 클릭하여 CA 마법사를 시작합니다. 지금은 하위 CA를 프로비저닝 하는 옵션만 있으므로 이 옵션을 선택하고 보안된 내 데스크 톱을 루트 CA로 사용하여 다음을 클릭합니다. 이것은 제가 생산 환경에서 하는 일이 아니지만 우리의 개인 CA를 시험해 보는 데는 효과가 있을 것입니다.
이제 몇 가지 일반적인 세부 정보를 사용하여 CA를 구성하겠습니다. 여기서 가장 중요한 것은 내부 도메인을 나타내기 위해 secure.internal 로 설정할 공통 이름입니다.
이제 제 키 알고리즘을 선택해야 합니다. 사용자의 요구에 가장 적합한 알고리즘을 선택해야 하지만 ACM이 RSA CA에 연결된 인증서만 관리할 수 있도록 제한되어 있다는 점을 알아야 합니다. 지금은 RSA 2048 비트를 사용하여 다음를 클릭하겠습니다.
다음 화면에서 CRL(인증서 해지 목록)을 구성할 수 있습니다. CRL은 인증서가 만료되기 전에 인증서가 손상된 경우 클라이언트에 알리는 데 필수적입니다. ACM은 저를 위해 해지 목록을 유지할 것이며, 저는 S3 버켓을 사용자 지정 도메인에 라우팅 할 수 있는 옵션이 있습니다. 이 경우 CRL을 저장하는 새 S3 버켓을 생성하고 다음을 클릭하겠습니다.
마지막으로 모든 세부 정보를 검토하여 오류가 발생하지 않았는지 확인하고 확인 및 생성을 클릭하겠습니다.
몇 초 후에 인증 권한을 성공적으로 프로비저닝했다는 멋진 화면이 표시됩니다. 하지만 아직 남았습니다. CSR(인증서 서명 요청)을 만들어 CA를 활성화해야 합니다. 이 프로세스를 시작하려면 시작을 클릭하겠습니다.
이제 CSR을 복사하거나 루트 CA에 액세스 할 수 있는 서버 또는 데스크 톱에 다운로드합니다. (또는 클라이언트를 위해 신뢰할 수 있는 루트에 연결한 다른 하위 서버)
이제 openssl 과 같은 도구를 사용하여 인증서 체인을 생성하고 인증서에 서명할 수 있습니다.
$openssl ca -config openssl_root.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in csr/CSR.pem -out certs/subordinate_cert.pem
Using configuration from openssl_root.cnf
Enter pass phrase for /Users/randhunt/dev/amzn/ca/private/root_private_key.pem:
Check that the request matches the signature
Signature ok
The Subject’s Distinguished Name is as follows
stateOrProvinceName :ASN.1 12:’Washington’
localityName :ASN.1 12:’Seattle’
organizationName :ASN.1 12:’Amazon’
organizationalUnitName:ASN.1 12:’Engineering’
commonName :ASN.1 12:’secure.internal’
Certificate is to be certified until Mar 31 06:05:30 2028 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
그런 다음 subordinate_cert.pem 및 인증서 체인을 콘솔에 다시 복사하겠습니다. 다음을 클릭합니다.
마지막으로 모든 정보를 검토하고 확인 및 가져오기를 클릭하겠습니다. 아래에 있는 화면을 보면 제 CA가 성공적으로 활성화되었다는 것을 알 수 있습니다.
이제 개인 CA가 있으므로 ACM 콘솔로 건너뛰고 새 인증서를 만들어 개인 인증서를 제공할 수 있습니다. 새 인증서 생성 버튼을 클릭한 후 개인 인증서 요청 버튼을 선택하고 인증서 요청을 클릭합니다.
여기서는 ACM에 일반 인증서를 프로비저닝 하는 것과 비슷합니다.
이제 개인 인증서를 가지고 있는데, 저는 ELB, CloudFront 배포, API 게이트웨이 등에 바인딩 할 수 있습니다. 포함된 장치 또는 ACM 관리 환경 외부에서 사용할 수 있도록 인증서를 내보낼 수도 있습니다.
지금 사용 가능합니다.
ACM Private CA는 그 자체로도 서비스가 되고 블로그 포스트에 맞지 않는 특징들로 가득합니다. 관심 있는 독자 여러분들이 개발자 가이드를 읽어 보시고 인증서 기반 보안에 익숙해지시길 강력히 권합니다. ACM Private CA는 미국 동부(북 버지니아), 미국 동부(오하이오), 미국 서부(오리건), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다, EU(프랑크푸르트), EU(아일랜드)에서 사용할 수 있습니다. 개인 CA는 각 개인 CA에 대해 월 400달러(비례 배분)입니다. ACM에서 만들고 유지 관리하는 인증서에 대해서는 비용이 들지 않지만 개인 키에 대한 액세스 권한이 있는 인증서에 대해서는 비용이 청구됩니다. (내보내거나 ACM 밖에서 생성할 경우) 인증서별 가격은 최초 1000개의 인증서에 대해 인증서 당 0.75달러로 시작하여 10,000개의 인증서 이후에 인증서 당 0.001달러로 할인됩니다.
관리자와 개발자들이 이 새로운 서비스를 이용하게 되어 기쁩니다.
원문 URL: https://aws.amazon.com/ko/blogs/aws/aws-certificate-manager-launches-private-certificate-authority/
** 메가존 TechBlog는 AWS BLOG 영문 게재글중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.