Was ist AWS Private CA? - AWS Private Certificate Authority
Regionale VerfügbarkeitIntegrierte ServicesUnterstützte AlgorithmenRFC5280-KonformitätPreisgestaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Private CA?

AWS Private CA ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA), einschließlich Stamm- und untergeordneter ZertifizierungsstellenCAs, ohne dass die Investitions- und Wartungskosten für den Betrieb einer lokalen Zertifizierungsstelle anfallen. Ihre private Firma CAs kann X.509-Zertifikate für Endeinheiten ausstellen, die unter anderem in folgenden Szenarien nützlich sind:

  • Verschlüsselte Kommunikationskanäle TLS erstellen

  • Authentifizierung von Benutzern, Computern, API Endpunkten und IoT-Geräten

  • Kryptografische Code-Signatur

  • Implementierung des Online Certificate Status Protocol (OCSP) zum Abrufen des Zertifikatssperrstatus

AWS Private CA Auf Operationen kann über AWS Management Console, mit dem AWS Private CA API oder mit dem zugegriffen AWS CLI werden.

Themen

Regionale Verfügbarkeit für AWS Private Certificate Authority

Wie bei den meisten AWS Ressourcen handelt es sich bei privaten Zertifizierungsstellen (CAs) um regionale Ressourcen. Um private CAs in mehr als einer Region verwenden zu können, müssen Sie Ihre CAs in diesen Regionen erstellen. Private Daten können nicht CAs zwischen Regionen kopiert werden. Besuchen Sie AWS Regionen und -Endpunkte in der Allgemeine AWS-Referenz oder dieTabelle der AWS -Regionen, um mehr über die regionale Verfügbarkeit für AWS Private CA zu erfahren.

Anmerkung

ACMist derzeit in einigen Regionen verfügbar, was nicht AWS Private CA der Fall ist.

Dienste integriert mit AWS Private Certificate Authority

Wenn AWS Certificate Manager Sie ein privates Zertifikat anfordern, können Sie dieses Zertifikat jedem Dienst zuordnen, in den integriert istACM. Dies gilt sowohl für Zertifikate, die mit einem AWS Private CA Stamm verkettet sind, als auch für Zertifikate, die mit einem externen Stamm verkettet sind. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Integrierte Dienste.

Sie können Private auch CAs in Amazon Elastic Kubernetes Service integrieren, um die Ausstellung von Zertifikaten innerhalb eines Kubernetes-Clusters zu ermöglichen. Weitere Informationen finden Sie unter Kubernetes sichern mit AWS Private CA.

Anmerkung

Amazon Elastic Kubernetes Service ist kein ACM integrierter Service.

Wenn Sie das AWS Private CA API oder verwenden AWS CLI , um ein Zertifikat auszustellen oder ein privates Zertifikat zu exportierenACM, können Sie das Zertifikat an einem beliebigen Ort installieren.

Unterstützte kryptografische Algorithmen in AWS Private Certificate Authority

AWS Private CA unterstützt die folgenden kryptografischen Algorithmen für die Generierung privater Schlüssel und das Signieren von Zertifikaten.

Unterstützter Algorithmus
Algorithmen mit privaten Schlüsseln Signaturalgorithmen

RSA_2048

RSA_4096

EC_Prime256V1

EC_SECP384R1

SM2(Nur Regionen Chinas)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

Diese Liste gilt nur für Zertifikate, API die direkt AWS Private CA über die Konsole oder Befehlszeile ausgestellt wurden. Wenn AWS Certificate Manager Zertifikate mit einer Zertifizierungsstelle von ausgestellt werden AWS Private CA, werden einige, aber nicht alle dieser Algorithmen unterstützt. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter Privates Zertifikat anfordern.

Anmerkung

In allen Fällen muss die angegebene Signaturalgorithmusfamilie (RSAoderECDSA) mit der Algorithmusfamilie des privaten Schlüssels der Zertifizierungsstelle übereinstimmen.

RFC5280-Konformität in AWS Private Certificate Authority

AWS Private CA erzwingt bestimmte in 5280 definierte Einschränkungen nicht. RFC Umgekehrt gilt dies auch: Bestimmte zusätzliche Einschränkungen, die für eine private Zertifizierungsstelle geeignet sind, werden erzwungen.

Erzwungen

  • Not After date (Nicht-nach-Datum). Gemäß RFC5280 AWS Private CA wird die Ausstellung von Zertifikaten verhindert, deren Datum nach Not After dem Datum des Zertifikats der Not After ausstellenden Zertifizierungsstelle liegt.

  • Grundlegende Einschränkungen. AWS Private CA erzwingt grundlegende Einschränkungen und die Pfadlänge in importierten CA-Zertifikaten.

    Grundlegende Einschränkungen geben an, ob es sich bei der durch das Zertifikat identifizierten Ressource um eine Zertifizierungsstelle handelt und ob diese Zertifikate ausstellen kann. In AWS Private CA importierte CA-Zertifikate müssen die Erweiterung für grundlegende Einschränkungen enthalten, und die Erweiterung muss markiert sein critical. Zusätzlich zum critical Flag CA=true muss es gesetzt werden. AWS Private CA erzwingt grundlegende Einschränkungen, indem eine Validierungsausnahme aus den folgenden Gründen fehlschlägt:

    • Die Erweiterung ist nicht im CA-Zertifikat enthalten.

    • Die Erweiterung ist nicht markiert critical.

    Die Pfadlänge (pathLenConstraint) bestimmt, wie viele untergeordnete Objekte hinter dem importierten CA-Zertifikat existieren CAs können. AWS Private CA erzwingt die Pfadlänge, indem es aus den folgenden Gründen mit einer Validierungsausnahme fehlschlägt:

    • Das Importieren eines CA-Zertifikats würde die Pfadlängenbeschränkung im CA-Zertifikat oder in einem anderen CA-Zertifikat in der Kette verletzen.

    • Das Ausstellen eines Zertifikats würde eine Pfadlängenbeschränkung verletzen.

  • Namenseinschränkungen geben einen Namensraum an, in dem sich alle Antragstellernamen in nachfolgenden Zertifikaten in einem Zertifizierungspfad befinden müssen. Einschränkungen gelten für den eindeutigen Namen des Antragstellers und für alternative Namen des Antragstellers.

Nicht erzwungen

  • Zertifikatsrichtlinien. Zertifikatsrichtlinien regeln die Bedingungen, unter denen eine Zertifizierungsstelle Zertifikate ausstellt.

  • Hemmen anyPolicy. Wird in Zertifikaten verwendet, die ausgestellt wurden fürCAs.

  • Alternativer Name des Ausstellers. Ermöglicht die Zuordnung zusätzlicher Identitäten zum Aussteller des CA-Zertifikats.

  • Politische Einschränkungen. Diese Einschränkungen begrenzen die Kapazität einer Zertifizierungsstelle zum Ausstellen untergeordneter CA-Zertifikate.

  • Zuordnungen von Richtlinien. Wird in CA-Zertifikaten verwendet. Listet ein oder mehrere Paare von aufOIDs; jedes Paar enthält ein issuerDomainPolicy und subjectDomainPolicy a.

  • Attribute des Betreffverzeichnisses. Wird verwendet, um Identifikationsmerkmale des Betreffs zu vermitteln.

  • Zugriff auf Informationen zum Thema. So greifen Sie auf Informationen und Dienste für den Betreff des Zertifikats zu, in dem die Erweiterung enthalten ist.

  • Schlüssel-ID für den Betreff (SKI) und Schlüssel-ID der Behörde (AKI). RFCFür die SKI Erweiterung ist ein CA-Zertifikat erforderlich. Von der Zertifizierungsstelle ausgestellte Zertifikate müssen eine AKI Erweiterung enthalten, die der des CA-Zertifikats entsprichtSKI. AWS erzwingt diese Anforderungen nicht. Wenn Ihr CA-Zertifikat kein Zertifikat enthältSKI, entspricht das ausgestellte Zertifikat der Endeinheit oder der untergeordneten Zertifizierungsstelle stattdessen AKI der Hash SHA -1 des öffentlichen Schlüssels des Ausstellers.

  • SubjectPublicKeyInfound Alternativer Name des Antragstellers (). SAN Wenn Sie ein Zertifikat ausstellen, werden die SubjectPublicKeyInfo und die SAN Erweiterungen aus dem bereitgestellten AWS Private CA kopiert, CSR ohne eine Überprüfung durchzuführen.

Preisgestaltung für AWS Private Certificate Authority

Ihrem Konto wird ab dem Zeitpunkt, zu dem Sie sie erstellen, ein monatlicher Preis für jede private CA in Rechnung gestellt. Zudem wird Ihnen für jedes ausgestellte Zertifikat eine Gebühr berechnet. Diese Gebühr beinhaltet Zertifikate, die Sie exportieren, ACM und Zertifikate, die Sie über das AWS Private CA API oder erstellen AWS Private CA CLI. Für eine private CA wird nichts mehr berechnet, nachdem sie gelöscht wurde. Wenn Sie aber eine gelöschte CA wiederherstellen, bezahlen Sie für die Zeit zwischen Löschung und Wiederherstellung. Private Zertifikate, auf deren privaten Schlüssel Sie nicht zugreifen können, sind kostenlos. Dazu gehören Zertifikate, die mit integrierten Diensten wie Elastic Load Balancing und API Gateway verwendet werden. CloudFront

Die neuesten AWS Private CA Preisinformationen finden Sie unter AWS Private Certificate Authority Preise. Sie können auch den AWS Preisrechner verwenden, um die Kosten zu schätzen.