Planen Sie für Resilienz in AWS Private CA - AWS Private Certificate Authority
Redundanz und Disaster Recovery

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Planen Sie für Resilienz in AWS Private CA

Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.

Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter AWS Globale Infrastruktur.

Redundanz und Disaster Recovery

Berücksichtigen Sie Redundanz und DR bei der Planung Ihrer CA-Hierarchie. AWS Private CA ist in mehreren Regionen verfügbar, sodass Sie Redundanzen CAs in mehreren Regionen einrichten können. Für den AWS Private CA Service gilt ein Service Level Agreement (SLA) mit einer Verfügbarkeit von 99,9%. Es gibt mindestens zwei Ansätze, die Sie für Redundanz und Notfallwiederherstellung in Betracht ziehen können. Sie können Redundanz an der Stamm-CA oder an der höchsten untergeordneten CA konfigurieren. Jeder Ansatz hat Vor- und Nachteile.

  1. Aus Redundanz- und Notfallwiederherstellungsgründen können Sie zwei Roots CAs in zwei verschiedenen AWS Regionen einrichten. Bei dieser Konfiguration arbeitet jede Stammzertifizierungsstelle unabhängig in einer AWS Region, sodass Sie im Falle eines Notfalls in einer Region geschützt sind. Das Erstellen redundanter Root-Zertifikate erhöht CAs jedoch die betriebliche Komplexität: Sie müssen beide Root-CA-Zertifikate an die Vertrauensspeicher der Browser und Betriebssysteme in Ihrer Umgebung verteilen.

  2. Sie können auch redundante untergeordnete Zertifikate CAs einrichten, die in jeder Ihrer AWS Regionen bereitgestellt werden, und diese an dieselbe eindeutige Stammzertifizierungsstelle in einer einzigen AWS Region anhängen. Der Vorteil dieses Ansatzes besteht darin, dass Sie nur ein einzelnes Stamm-CA-Zertifikat an die Vertrauensspeicher in Ihrer Umgebung verteilen müssen. Die Einschränkung besteht darin, dass Sie für den Fall einer Katastrophe, die sich auf die AWS Region auswirkt, in der sich Ihre Stammzertifizierungsstelle befindet, nicht über eine redundante Stammzertifizierungsstelle verfügen.