기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 프라이빗 인증서 요청 AWS Certificate Manager
## 프라이빗 인증서 요청(콘솔)
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home) ACM 콘솔을 엽니다.
**인증서 요청**을 선택합니다.
1. **인증서 요청** 페이지에서 **프라이빗 인증서 요청(Request a private certificate)**을 선택하고 **다음(Next)**을 선택하여 계속합니다.
1. **인증 기관 세부 정보(Certificate authority details)** 섹션에서 **인증 기관(Certificate authority)** 메뉴를 선택하고 사용할 수 있는 프라이빗 CA 중 하나를 선택합니다. 다른 계정에서 CA를 공유한 경우 ARN 앞에 소유권 정보가 표시됩니다.
CA에 대한 세부 정보가 표시되므로 올바른 CA를 선택했는지 확인할 수 있습니다.
+ **소유자**
+ **유형**
+ **일반 이름(CN)**
+ **조직(O)**
+ **조직 단위(OU)**
+ **국가 이름(C)**
+ **주 또는 지방**
+ **시 이름**
1. **도메인 이름(Domain names)** 섹션에서 도메인 이름을 입력합니다. **www.example.com** 같은 FQDN(Fully Qualified Domain Name)이나 **example.com** 같은 베어 또는 apex 도메인 이름을 사용할 수 있습니다. 맨 왼쪽에서 별표(**\$1**)를 와일드카드로 사용하여 동일한 도메인 내에서 여러 사이트 이름을 보호할 수도 있습니다. 예를 들어 **\$1.example.com**은 **corp.example.com** 및 **images.example.com**을 보호합니다. 와일드카드 이름은 **주체(Subject)** 필드와 ACM 인증서의 **주체 대체 이름(Subject Alternative Name)** 확장에 표시됩니다.
**참고**
와일드카드 인증서를 요청할 때 별표(**\$1**)는 도메인 이름의 맨 왼쪽에 와야 하며 하나의 하위 도메인 수준만 보호할 수 있습니다. 예를 들어 **\$1.example.com**은 **login.example.com** 및 **test.example.com**을 보호할 수 있지만 **test.login.example.com**은 보호할 수 없습니다. 또한 **\$1.example.com**은 **example.com**의 하위 도메인*만* 보호하고 베어 또는 apex 도메인(**example.com**)은 보호하지 못합니다. 둘 모두를 보호하려면 다음 단계를 참조하세요.
또는 **이 인증서에 다른 이름 추가(Add another name to this certificate)**를 선택하고 텍스트 상자에 이름을 입력합니다. 이렇게 하면 베어 또는 apex 도메인(예: **example.com**)과 하위 도메인(예: **\$1.example.com**)을 인증하는 데 유용합니다.
1. **키 알고리즘** 섹션에서 알고리즘을 선택합니다.
알고리즘 선택에 도움이 되는 자세한 내용은 AWS 블로그 게시물 [에서 ECDSA 인증서를 평가하고 사용하는 방법을 AWS Certificate Manager](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)참조하세요.
1. **태그** 페이지에서 선택 사항으로 인증서에 태그를 지정할 수 있습니다. 태그는 AWS 리소스를 식별하고 구성하기 위한 메타데이터 역할을 하는 키-값 페어입니다. ACM 태그 파라미터 목록과 생성 후 인증서에 태그를 추가하는 방법에 대한 지침은 [AWS Certificate Manager 리소스 태그 지정](tags.md) 섹션을 참조하세요.
1. **인증서 갱신 권한(Certificate renewal permissions)** 섹션에서 인증서 갱신 권한에 대한 통지를 확인합니다. 이러한 권한을 사용하면 선택한 CA로 서명된 프라이빗 PKI 인증서를 자동으로 갱신할 수 있습니다. 자세한 내용은 [ACM에서 서비스 연결 역할 사용](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)을 참조하세요.
1. 필수 정보를 모두 제공한 후 **요청(Request)**을 선택합니다. 콘솔에서 새 인증서를 볼 수 있는 인증서 목록으로 돌아갑니다.
**참고**
목록을 정렬한 방법에 따라 찾고 있는 인증서가 즉시 표시되지 않을 수 있습니다. 오른쪽의 검은색 삼각형을 클릭하여 순서를 변경할 수 있습니다. 오른쪽 상단의 페이지 번호를 사용하여 여러 페이지의 인증서를 탐색할 수도 있습니다.
## 프라이빗 인증서 요청(CLI)
[request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) 명령을 사용하여 ACM에서 프라이빗 인증서를 요청합니다.
**참고**
CA가 서명한 프라이빗 PKI 인증서를 요청할 때 AWS Private CA지정된 서명 알고리즘 패밀리(RSA 또는 ECDSA)는 CA 보안 키의 알고리즘 패밀리와 일치해야 합니다.
```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID
```
이 명령은 새 사설 인증서의 Amazon 리소스 이름(ARN)을 출력합니다.
```
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```
대부분의 경우 ACM은 공유 CA를 처음 사용할 때 서비스 연결 역할(SLR)을 계정에 자동으로 연결합니다. SLR은 발급한 최종 엔터티 인증서를 자동으로 갱신할 수 있도록 합니다. SLR이 있는지 확인하려면 다음 명령을 사용하여 IAM을 쿼리하면 됩니다.
```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```
SLR이 있으면 명령 출력이 다음과 같이 나타납니다.
```
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}
```
SLR이 없으면 [ACM에서 서비스 연결 역할 사용](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)을 참조하세요.