Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué es Autoridad de certificación privada de AWS?
Autoridad de certificación privada de AWS permite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las principales y las subordinadasCAs, sin los costes de inversión y mantenimiento que implica operar una CA local. Su empresa privada CAs puede emitir certificados X.509 de entidad final, útiles en situaciones como las siguientes:
-
Crear canales de comunicación cifrados TLS
-
Autenticación de usuarios, ordenadores, API puntos finales y dispositivos de IoT
-
Firmar código criptográficamente
-
Implementación del protocolo de estado de certificados en línea (OCSP) para obtener el estado de revocación de certificados
Autoridad de certificación privada de AWS se puede acceder a las operaciones desde AWS Management Console, utilizando o utilizando el AWS CLI. Autoridad de certificación privada de AWS API
Temas
- Disponibilidad regional para AWS Private Certificate Authority
- Servicios integrados con AWS Private Certificate Authority
- Algoritmos criptográficos compatibles en AWS Private Certificate Authority
- RFC5280 de conformidad en AWS Private Certificate Authority
- Precios para AWS Private Certificate Authority
- Términos y conceptos para AWS Private CA
Disponibilidad regional para AWS Private Certificate Authority
Como la mayoría de AWS los recursos, las autoridades de certificación privadas (CAs) son recursos regionales. Para usar el CAs modo privado en más de una región, debe crear el suyo CAs en esas regiones. No puedes copiar archivos privados CAs entre regiones. Visite Regiones y puntos de conexión de AWS en la Referencia general de AWS o la Tabla de regiones de AWS
nota
ACMestá disponible actualmente en algunas regiones, pero no lo Autoridad de certificación privada de AWS está.
Servicios integrados con AWS Private Certificate Authority
Si AWS Certificate Manager solía solicitar un certificado privado, puede asociar ese certificado a cualquier servicio con el que esté integradoACM. Esto se aplica tanto a los certificados encadenados a una Autoridad de certificación privada de AWS raíz como a los certificados encadenados a una raíz externa. Para obtener más información, consulte Servicios integrados en la Guía del AWS Certificate Manager usuario.
También puede integrar el sector privado CAs en Amazon Elastic Kubernetes Service para emitir certificados dentro de un clúster de Kubernetes. Para obtener más información, consulte Proteja Kubernetes con Autoridad de certificación privada de AWS.
nota
Amazon Elastic Kubernetes Service no es un servicio integrado. ACM
Si utiliza Autoridad de certificación privada de AWS API o AWS CLI para emitir un certificado o para exportar un certificado privadoACM, puede instalar el certificado en cualquier lugar que desee.
Algoritmos criptográficos compatibles en AWS Private Certificate Authority
Autoridad de certificación privada de AWS admite los siguientes algoritmos criptográficos para la generación de claves privadas y la firma de certificados.
Algoritmos de clave privada | Algoritmos de firma |
---|---|
RSA_2048 RSA_4096 EC_prime256v1 EC_secp384r1 SM2(Solo regiones de China) |
SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSASHA512WITHRSA SM3WITHSM2 |
Esta lista se aplica únicamente a los certificados emitidos directamente Autoridad de certificación privada de AWS a través de su consola o línea de comandos. API Cuando AWS Certificate Manager emite certificados mediante una CA desde Autoridad de certificación privada de AWS, es compatible con algunos de estos algoritmos, pero no con todos. Para obtener más información, consulte Solicitar un certificado privado en la Guía del AWS Certificate Manager usuario.
nota
En todos los casos, la familia (RSAoECDSA) de algoritmos de firma especificada debe coincidir con la familia de algoritmos de la clave privada de la CA.
RFC5280 de conformidad en AWS Private Certificate Authority
Autoridad de certificación privada de AWS no impone determinadas restricciones definidas en la norma 5280. RFC
Forzada
-
No después de la fecha
. De conformidad con la RFCnorma 5280 , Autoridad de certificación privada de AWS impide la emisión de certificados con una Not After
fecha posterior a laNot After
fecha del certificado de la CA emisora. -
Restricciones básicas
. Autoridad de certificación privada de AWS impone las restricciones básicas y la longitud de ruta en los certificados de CA importados. Las restricciones básicas indican si el recurso identificado por el certificado es una entidad de certificación y puede emitir certificados. Los certificados de entidades de certificación importados a Autoridad de certificación privada de AWS deben incluir la extensión de restricciones básicas y la extensión debe estar marcada
critical
. Además de lacritical
bandera,CA=true
debe estar configurada. Autoridad de certificación privada de AWS impone restricciones básicas al fallar con una excepción de validación por los siguientes motivos:-
La extensión no se incluye en el certificado de entidad de certificación.
-
La extensión no está marcada
critical
.
La longitud de ruta (pathLenConstraint) determina cuántos subordinados CAs pueden existir aguas abajo del certificado de CA importado. Autoridad de certificación privada de AWS impone la longitud de la ruta al fallar con una excepción de validación por los siguientes motivos:
-
La importación de un certificado de entidad de certificación violaría la restricción de longitud de ruta en el certificado de entidad de certificación o en cualquier certificado de entidad de certificación de la cadena.
-
La emisión de un certificado violaría una restricción de longitud de ruta.
-
-
Las restricciones de nombres
indican un espacio de nombres dentro del cual deben ubicarse todos los nombres de los sujetos de los certificados subsiguientes de una ruta de certificación. Se aplican restricciones al nombre distintivo del sujeto y a los nombres alternativos del sujeto.
No se aplica
-
Políticas de certificación
. Las políticas de certificados regulan las condiciones en las que una CA emite certificados. -
Inhibir anyPolicy
. Se utiliza en los certificados emitidos aCAs. -
Nombre alternativo del emisor
. Permite asociar identidades adicionales al emisor del certificado de CA. -
Restricciones políticas
. Estas restricciones limitan la capacidad de una entidad de certificación para emitir certificados de entidad de certificación subordinada. -
Mapeos de políticas
. Se utiliza en los certificados de CA. Muestra uno o más pares deOIDs; cada par incluye un issuerDomainPolicy y unsubjectDomainPolicy. -
Atributos del directorio de temas
. Se utiliza para transmitir los atributos de identificación del sujeto. -
Acceso a la información del sujeto
. Cómo acceder a la información y los servicios relacionados con el asunto del certificado en el que aparece la extensión. -
Identificador de clave de asunto (SKI)
e identificador de clave de autoridad (AKI) . RFCRequiere un certificado de CA para contener la SKI extensión. Los certificados emitidos por la CA deben contener una AKI extensión que coincida con la del certificado de la CASKI. AWS no exige estos requisitos. Si su certificado de CA no contiene unSKI, la entidad final o el certificado de CA subordinado emitido AKI será el hash SHA -1 de la clave pública del emisor. -
SubjectPublicKeyInfo
y nombre alternativo del sujeto (). SAN Al emitir un certificado, Autoridad de certificación privada de AWS copia las SAN extensiones SubjectPublicKeyInfo y las extensiones del certificado proporcionado CSR sin realizar la validación.
Precios para AWS Private Certificate Authority
A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea. También se le cobrará cada certificado que emita. Este cargo incluye los certificados desde los que exporta ACM y los certificados que crea en el Autoridad de certificación privada de AWS API quirófano Autoridad de certificación privada de AWS CLI. Una vez que se elimina una CA privada, no se le aplicarán cargos por ella. Sin embargo, si restaura una entidad de certificación privada, se le cobrará por el tiempo que ha pasado entre su eliminación y su restauración. Los certificados privados en los que no tiene acceso a la clave privada son gratis. Estos incluyen los certificados que se utilizan con servicios integrados, CloudFront como Elastic Load Balancing y API Gateway.
Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios