기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AS2 인증서 관리
<a name="managing-as2-partners"></a>

이 주제에서는 AS2 인증서를 가져오고 관리하는 방법을 설명합니다. 인증서 가져오기는 Transfer Family에 대한 AS2 프로세스의 첫 번째 단계입니다.

1. 인증서 가져오기

1. [AS2 프로필 생성](configure-as2-profile.md)

1. [AS2 서버 생성](create-as2-transfer-server.md) 

1. [AS2 계약 생성](create-as2-transfer-server.md#as2-agreements)

1. [AS2 커넥터 구성](configure-as2-connector.md)

## AS2 인증서 가져오기
<a name="configure-as2-certificate"></a>

Transfer Family AS2 프로세스는 전송된 정보의 암호화와 서명 모두에 인증서 키를 사용합니다. 파트너는 두 가지 용도로 동일한 키를 사용하거나 각 용도에 별도의 키를 사용할 수 있습니다. 재해 또는 보안 침해 발생 시 데이터를 복호화할 수 있도록 신뢰할 수 있는 제3자가 에스크로에 공통 암호화 키를 보관해 둔 경우 별도의 서명 키를 사용하는 것이 좋습니다. 별도의 서명 키(에스크로하지 않음)를 사용하면 디지털 서명의 부인 방지 기능이 손상되지 않습니다.

**참고**  
AS2 인증서의 키 길이는 최소 2,048비트, 최대 4,096비트여야 합니다.

다음 사항은 프로세스 중에 AS2 인증서가 사용되는 방법을 자세히 설명합니다.
+ 인바운드 AS2
  + 거래 파트너가 서명 인증서용 퍼블릭 키를 보내면 이 키를 파트너 프로필로 가져옵니다.
  + 현지 당사자가 암호화 및 서명 인증서를 위한 퍼블릭 키를 전송합니다. 그러면 파트너가 프라이빗 키를 가져옵니다. 로컬 당사자는 서명 및 암호화를 위해 별도의 인증서 키를 보내거나 두 가지 용도로 동일한 키를 사용하도록 선택할 수 있습니다.
+ 아웃바운드 AS2
  + 파트너가 암호화 인증서용 퍼블릭 키를 보내고 이 키를 파트너 프로필로 가져옵니다.
  + 로컬 당사자는 서명용 인증서의 퍼블릭 키를 보내고 서명을 위해 인증서의 프라이빗 키를 가져옵니다.
  + HTTPS를 사용하는 경우 자체 서명된 전송 계층 보안(TLS) 인증서를 가져올 수 있습니다.

인증서 생성 방법에 대한 자세한 설명은 [1단계: AS2용 인증서 생성](as2-example-tutorial.md#as2-create-certs) 섹션을 참조하세요.

이 절차에서는 Transfer Family 콘솔을 사용하여 인증서를 가져오는 방법을 설명합니다. AWS CLI 대신를 사용하려면 단원을 참조하십시오[2단계: 인증서를 Transfer Family 인증서 리소스로 가져오기](as2-example-tutorial.md#as2-import-certs-example).

**AS2 지원 인증서를 지정하려면**

1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) AWS Transfer Family 콘솔을 엽니다.

1. 왼쪽 탐색 창의 **AS2 거래 파트너**에서 **인증서**를 선택합니다.

1. **인증서 가져오기**를 선택합니다.

1. **인증서 구성** 섹션의 **인증서 설명**에 인증서의 쉽게 식별할 수 있는 이름을 입력합니다. 설명으로 인증서의 용도를 식별할 수 있는지 확인하세요. 또한 인증서의 역할을 선택합니다.

1. **인증서 용도** 섹션에서 이 인증서의 용도를 선택합니다. 암호화, 서명 또는 둘 다에 사용할 수 있습니다.

   **팁: **사용량에 대해 **암호화 및 서명을** 선택하면 Transfer Family는 두 개의 동일한 인증서(각각 고유한 ID가 있음)를 생성합니다. 하나는 사용 값이 `ENCRYPTION`이고 다른 하나는 사용 값이 입니다`SIGNING`.

1. **인증서 내용** 섹션에서 거래 파트너의 공개 인증서를 제공하거나 로컬 인증서용 공개 및 프라이빗 키를 제공하세요.

   **인증서 내용** 섹션에 적절한 세부 정보를 입력합니다.
   + **자체 서명 인증서**를 선택하는 경우 인증서 체인을 제공하지 않습니다.
   + 인증서 텍스트와 해당 체인을 **인증서 및 인증서 체인** 필드에 붙여 넣습니다.
   + 이 인증서가 로컬 인증서인 경우 프라이빗 키를 붙여 넣습니다.

1. **인증서 가져오기**를 선택하여 프로세스를 완료하고 가져온 인증서의 세부 정보를 저장합니다.

**참고**  
TLS 인증서는 파트너의 퍼블릭 인증서로만 가져올 수 있습니다. **파트너의 퍼블릭 인증서를** 선택한 다음 사용량에 대해 **전송 계층 보안(TLS)**을 선택하면 경고가 표시됩니다. 또한 TLS 인증서는 자체 서명되어야 합니다(즉, TLS 인증서를 가져오려면 **자체 서명된** 인증서를 선택해야 함).

## AS2 인증서 교체
<a name="as2-certificate-rotation"></a>

인증서는 6개월에서 1년 동안 유효한 경우가 많습니다. 더 오래 유지하려는 프로필을 설정했을 수 있습니다. 이를 용이하게 하기 위해 Transfer Family는 인증서 교체 서비스를 제공합니다. 프로필에 여러 인증서를 지정하여 프로필을 여러 해 동안 계속 사용할 수 있습니다. Transfer Family는 서명(옵션) 및 암호화(필수)에 인증서를 사용합니다. 원하는 경우 두 가지 용도로 사용할 단일 인증서를 지정할 수 있습니다.

인증서 교체는 만료되는 오래된 인증서를 새 인증서로 교체하는 프로세스입니다. 이 전환은 계약 파트너가 아직 아웃바운드 전송을 위한 새 인증서를 구성하지 않았거나 새 인증서를 사용할 수 있는 기간 중에 이전 인증서로 서명 또는 암호화된 페이로드를 보내는 경우 전송이 중단되지 않도록 점진적으로 진행됩니다. 기존 인증서와 새 인증서가 모두 유효한 중간 기간을 *유예 기간*이라고 합니다.

X.509 인증서에는 `Not Before` 및 `Not After` 날짜가 있습니다. 하지만 이러한 파라미터는 관리자에게 충분한 통제 기능을 제공하지 못할 수 있습니다. Transfer Family는 아웃바운드 페이로드에 사용되는 인증서와 인바운드 페이로드에 허용되는 인증서를 통제하는 `Active Date` 및 `Inactive Date` 설정을 제공합니다.

### 인증서 만료 모니터링
<a name="as2-certificate-expiry-monitoring"></a>

Transfer Family는 인증서를 가져온 `DaysUntilExpiry` 후 Amazon CloudWatch 지표를 게시합니다. 지표는 현재 날짜와 인증서의 로 지정된 날짜 사이의 일수`InactiveDate`를 내보냅니다. 지표는 CloudWatch 지표 대시보드의 `Transfer` AWS 네임스페이스 아래에 있습니다.

이 지표는 항상 **CertificateId**에 대한 지표 차원을 가지며 고객이 인증서에 제공하는 경우 선택적으로 **설명** 차원을 포함합니다. CloudWatch 지표 차원에 대한 자세한 내용은 *CloudWatch API* 참조의 [차원](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html)을 참조하세요.

**참고**  
Transfer Family용 인증서를 가져온 후이 지표를 고객 계정으로 내보내는 데 최대 하루가 걸릴 수 있습니다.

이 지표를 사용하여 인증서가 만료될 때 알려주는 CloudWatch 경보를 생성할 수 있습니다.

아웃바운드 인증서 선택은 전송 날짜 이전의 최대값을 `Inactive Date`로 사용합니다. 인바운드 프로세스는 범위 `Not Before` 및 `Not After` 내 및 범위 `Active Date` 및 `Inactive Date` 내에서 인증서를 수락합니다.

### 인증서 교체 예제
<a name="as2-cert-rotate-example"></a>

다음 표에서는 단일 프로필에 대해 두 개의 인증서를 구성할 수 있는 한 가지 방법을 설명합니다.


**두 개의 인증서 교대**  

| 명칭 | NOT BEFORE(인증 기관에서 통제) | ACTIVE DATE(Transfer Family에서 설정) | INACTIVE DATE(Transfer Family에서 설정) | NOT AFTER(인증 기관에서 설정) | 
| --- | --- | --- | --- | --- | 
| Cert1(이전 인증서) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 | 
| Cert2(최신 인증서) | 2020-11-01 | 2020-06-01 | 2021-06-01 | 2025-01-01 | 

 유념할 사항: 
+ 인증서에 `Active Date` 및 `Inactive Date`를 지정하는 경우 범위는 `Not Before` 및 `Not After`의 범위 내에 있어야 합니다.
+ 각 프로필에 대해 여러 인증서를 구성하여 모든 인증서의 활성 날짜 범위가 프로필을 사용하려는 기간을 포함하도록 하는 것이 좋습니다.
+ 이전 인증서가 비활성화되는 시점과 새 인증서가 활성화되는 시점 사이에 약간의 유예 시간을 지정하는 것이 좋습니다. 위 예에서 첫 번째 인증서는 2020년 12월 31일까지는 비활성화되지 않지만, 두 번째 인증서는 2020년 6월 1일에 활성화되어 6개월의 유예 기간이 제공됩니다. 2020년 6월 1부터 2020년 12월 31일까지의 기간 동안 두 인증서 모두 활성 상태입니다.