기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에서 프라이빗 인증서 갱신 AWS Certificate Manager
<a name="renew-private-cert"></a>

에서 프라이빗 CA가 서명한 ACM 인증서 AWS Private CA 는 관리형 갱신이 가능합니다. 공개적으로 신뢰할 수 있는 ACM 인증서와 달리 프라이빗 PKI에 대한 인증서에는 검증이 필요하지 않습니다. 트러스트는 관리자가 클라이언트 트러스트 스토어에 적절한 루트 CA 인증서를 설치할 때 설정됩니다.

**참고**  
ACM 콘솔 또는 ACM API의 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API-RequestCertificate.html) 작업을 사용하여 획득한 인증서만 관리형 갱신 자격이 있습니다. AWS Private CA API의 [IssueCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_IssueCertificate.html) 작업을 AWS Private CA 사용하여에서 직접 발급된 인증서는 ACM에서 관리하지 않습니다.

관리형 인증서의 만료일이 60일 앞으로 다가오면 ACM은 인증서 자동 갱신을 시도합니다. 여기에는 수동으로 내보내고 설치한 인증서(예: 온프레미스 데이터 센터의 경우)가 포함됩니다. 또한 고객은 언제든지 ACM API의 [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) 작업을 사용하여 강제로 갱신할 수 있습니다. 강제 갱신의 Java 구현 샘플은 [인증서 갱신](sdk-renew.md) 섹션을 참조하세요.

갱신 후 다음 중 한 가지 방법으로 인증서의 서비스가 배포됩니다.
+ 인증서가 ACM [통합 서비스](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)와 **연결된** 경우 새 인증서가 추가 고객 작업 없이 이전 인증서를 대체합니다.
+ 인증서가 ACM [통합 서비스](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)와 **연결되지 않은** 경우 갱신된 인증서를 내보내고 설치하는 고객 작업이 필요합니다. 이러한 작업은 수동으로 수행하거나 다음과 같이 [AWS Health](https://docs.aws.amazon.com/health/latest/ug/), [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/) 및 [AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html)의 도움을 받아 수행할 수 있습니다. 자세한 내용은 [갱신된 인증서 내보내기 자동화](#automating-export) 섹션을 참조하세요.

## 갱신된 인증서 내보내기 자동화
<a name="automating-export"></a>

다음 절차에서는 ACM이 인증서를 갱신할 때 프라이빗 PKI 인증서의 내보내기를 자동화하는 예제 솔루션을 제공합니다. 이 예제에서는 인증서와 해당 프라이빗 키만 ACM에서 내보냅니다. 내보낸 후에는 인증서를 대상 디바이스에 설치해야 합니다.

**콘솔을 사용하여 인증서 내보내기 자동화**

1.  AWS Lambda 개발자 안내서의 절차에 따라 ACM 내보내기 API를 호출하는 Lambda 함수를 생성하고 구성합니다.

   1. [Lambda 함수를 생성합니다](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html).

   1. 함수에 대해 [Lambda 실행 역할을 생성하고](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) 다음 신뢰 정책을 추가합니다. 정책은 ACM API의 [ExportCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_ExportCertificate.html) 작업을 호출하여 함수의 코드에 갱신된 인증서 및 프라이빗 키를 검색할 수 있는 권한을 부여합니다.

------
#### [ JSON ]

****  

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Action":"acm:ExportCertificate",
               "Resource":"*"
            }
         ]
      }
      ```

------

1.  

   [Amazon EventBridge에서 규칙을 생성](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)하여 ACM 상태 이벤트를 수신하고 Lambda 함수가 감지되면 Lambda 함수를 호출합니다. ACM은 인증서 갱신을 시도할 때마다 AWS Health 이벤트에 씁니다. 이러한 알림에 대한 자세한 내용은 [Personal Health Dashboard(PHD)를 사용하여 상태 확인](check-certificate-renewal-status.md#check-renewal-status-phd) 섹션을 참조하세요.

   다음 이벤트 패턴을 추가하여 규칙을 구성합니다.

   ```
   {
      "source":[
         "aws.health"
      ],
      "detail-type":[
         "AWS Health Event"
      ],
      "detail":{
         "service":[
            "ACM"
         ],
         "eventTypeCategory":[
            "scheduledChange"
         ],
         "eventTypeCode":[
            "AWS_ACM_RENEWAL_STATE_CHANGE"
         ]
      },
      "resources":[
         "arn:aws:acm:region:account:certificate/certificate_ID"
      ]
   }
   ```

1. 대상 시스템에 인증서를 수동으로 설치하여 갱신 프로세스를 완료합니다.

## 프라이빗 PKI 인증서의 관리형 갱신 테스트
<a name="manual-renewal"></a>

ACM API 또는를 사용하여 ACM 관리형 갱신 워크플로의 구성을 수동으로 테스트 AWS CLI 할 수 있습니다. 이렇게 하면 인증서가 만료 전 ACM에 의해 자동으로 갱신되는지 확인할 수 있습니다.

**참고**  
 AWS Private CA에서 발급하고 내보낸 인증서의 갱신만 테스트할 수 있습니다.

아래에 설명된 API 작업 또는 CLI 명령을 사용하면 ACM이 인증서 갱신을 시도합니다. 갱신이 성공하면 ACM은 관리 콘솔 또는 API 출력에 표시된 인증서 메타데이터를 업데이트합니다. 인증서가 ACM [통합 서비스](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)와 연결된 경우 새 인증서가 배포되고 Amazon CloudWatch Events에 갱신 이벤트가 생성됩니다. 갱신이 실패하면 ACM이 오류를 반환하고 해결 조치를 제안합니다. (이 정보는 [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) 명령을 사용하여 볼 수 있음) 통합 서비스를 통해 인증서가 배포되지 않은 경우에도 인증서를 내보내고 리소스에 수동으로 설치해야 합니다.

**중요**  
ACM으로 AWS Private CA 인증서를 갱신하려면 먼저 ACM 서비스 보안 주체에게 권한을 부여해야 합니다. 자세한 내용은 [ACM에 인증서 갱신 권한 할당](https://docs.aws.amazon.com/privateca/latest/userguide/assign-permissions.html#PcaPermissions)을 참조하세요.

**인증서 갱신(AWS CLI)을 수동으로 테스트하려면**

1. [renew-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/renew-certificate.html) 명령을 사용하여 내보낸 사설 인증서를 갱신합니다.

   ```
   aws acm renew-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
   ```

1. 그런 다음 [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) 명령을 사용하여 인증서의 갱신 세부 정보가 업데이트되었는지 확인합니다.

   ```
   aws acm describe-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
   ```

**인증서 갱신을 수동으로 테스트하려면(ACM API)**
+ [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) 요청을 보내어 갱신할 사설 인증서의 ARN을 지정합니다. 그런 다음 [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html) 작업을 사용하여 인증서의 갱신 세부 정보가 업데이트되었는지 확인합니다.