Disponibilidad regional Servicios integrados Algoritmos compatibles RFCconformidad con la norma 5280 Precios

¿Qué es Autoridad de certificación privada de AWS?

Autoridad de certificación privada de AWS permite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las principales y las subordinadasCAs, sin los costes de inversión y mantenimiento que implica operar una CA local. Su empresa privada CAs puede emitir certificados X.509 de entidad final, útiles en situaciones como las siguientes:

Crear canales de comunicación cifrados TLS
Autenticación de usuarios, ordenadores, API puntos finales y dispositivos de IoT
Firmar código criptográficamente
Implementación del protocolo de estado de certificados en línea (OCSP) para obtener el estado de revocación de certificados

Autoridad de certificación privada de AWS se puede acceder a las operaciones desde AWS Management Console, utilizando o utilizando el AWS CLI. Autoridad de certificación privada de AWS API

Temas

Disponibilidad regional para AWS Private Certificate Authority
Servicios integrados con AWS Private Certificate Authority
Algoritmos criptográficos compatibles en AWS Private Certificate Authority
RFC5280 de conformidad en AWS Private Certificate Authority
Precios para AWS Private Certificate Authority
Términos y conceptos para AWS Private CA

Disponibilidad regional para AWS Private Certificate Authority

Como la mayoría de AWS los recursos, las autoridades de certificación privadas (CAs) son recursos regionales. Para usar el CAs modo privado en más de una región, debe crear el suyo CAs en esas regiones. No puedes copiar archivos privados CAs entre regiones. Visite Regiones y puntos de conexión de AWS en la Referencia general de AWS o la Tabla de regiones de AWS para ver la disponibilidad regional de Autoridad de certificación privada de AWS.

nota

ACMestá disponible actualmente en algunas regiones, pero no lo Autoridad de certificación privada de AWS está.

Servicios integrados con AWS Private Certificate Authority

Si AWS Certificate Manager solía solicitar un certificado privado, puede asociar ese certificado a cualquier servicio con el que esté integradoACM. Esto se aplica tanto a los certificados encadenados a una Autoridad de certificación privada de AWS raíz como a los certificados encadenados a una raíz externa. Para obtener más información, consulte Servicios integrados en la Guía del AWS Certificate Manager usuario.

También puede integrar el sector privado CAs en Amazon Elastic Kubernetes Service para emitir certificados dentro de un clúster de Kubernetes. Para obtener más información, consulte Proteger Kubernetes con Autoridad de certificación privada de AWS.

nota

Amazon Elastic Kubernetes Service no es un servicio integrado. ACM

Si utiliza Autoridad de certificación privada de AWS API o AWS CLI para emitir un certificado o para exportar un certificado privadoACM, puede instalar el certificado en cualquier lugar que desee.

Algoritmos criptográficos compatibles en AWS Private Certificate Authority

Autoridad de certificación privada de AWS admite los siguientes algoritmos criptográficos para la generación de claves privadas y la firma de certificados.

Algoritmo compatible
RSA_2048 RSA_4096 EC_prime256v1 EC_secp384r1 SM2(Solo regiones de China)	SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSA SHA512WITHRSA SM3WITHSM2

Algoritmo compatible

Algoritmos de clave privada

Algoritmos de firma

RSA_2048

RSA_4096

EC_prime256v1

EC_secp384r1

SM2(Solo regiones de China)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

Esta lista se aplica únicamente a los certificados emitidos directamente Autoridad de certificación privada de AWS a través de su consola o línea de comandos. API Cuando AWS Certificate Manager emite certificados mediante una CA desde Autoridad de certificación privada de AWS, es compatible con algunos de estos algoritmos, pero no con todos. Para obtener más información, consulte Solicitar un certificado privado en la Guía del AWS Certificate Manager usuario.

nota

En todos los casos, la familia (RSAoECDSA) de algoritmos de firma especificada debe coincidir con la familia de algoritmos de la clave privada de la CA.

RFC5280 de conformidad en AWS Private Certificate Authority

Autoridad de certificación privada de AWS no impone determinadas restricciones definidas en la norma 5280. RFC La situación inversa también es cierta: se aplican determinadas restricciones adicionales apropiadas para una entidad de certificación privada.

Forzada

No después de la fecha. De conformidad con la RFCnorma 5280, Autoridad de certificación privada de AWS impide la emisión de certificados con una Not After fecha posterior a la Not After fecha del certificado de la CA emisora.
Restricciones básicas. Autoridad de certificación privada de AWS impone las restricciones básicas y la longitud de ruta en los certificados de CA importados.

Las restricciones básicas indican si el recurso identificado por el certificado es una entidad de certificación y puede emitir certificados. Los certificados de entidades de certificación importados a Autoridad de certificación privada de AWS deben incluir la extensión de restricciones básicas y la extensión debe estar marcada critical. Además de la critical bandera, CA=true debe estar configurada. Autoridad de certificación privada de AWS impone restricciones básicas al fallar con una excepción de validación por los siguientes motivos:
- La extensión no se incluye en el certificado de entidad de certificación.
- La extensión no está marcada critical.
La longitud de ruta (pathLenConstraint) determina cuántos subordinados CAs pueden existir aguas abajo del certificado de CA importado. Autoridad de certificación privada de AWS impone la longitud de la ruta al fallar con una excepción de validación por los siguientes motivos:
- La importación de un certificado de entidad de certificación violaría la restricción de longitud de ruta en el certificado de entidad de certificación o en cualquier certificado de entidad de certificación de la cadena.
- La emisión de un certificado violaría una restricción de longitud de ruta.
Las restricciones de nombres indican un espacio de nombres dentro del cual deben ubicarse todos los nombres de los sujetos de los certificados subsiguientes de una ruta de certificación. Se aplican restricciones al nombre distintivo del sujeto y a los nombres alternativos del sujeto.

No se aplica

Políticas de certificación. Las políticas de certificados regulan las condiciones en las que una CA emite certificados.
Inhibir anyPolicy. Se utiliza en los certificados emitidos aCAs.
Nombre alternativo del emisor. Permite asociar identidades adicionales al emisor del certificado de CA.
Restricciones políticas. Estas restricciones limitan la capacidad de una entidad de certificación para emitir certificados de entidad de certificación subordinada.
Mapeos de políticas. Se utiliza en los certificados de CA. Muestra uno o más pares deOIDs; cada par incluye un issuerDomainPolicy y unsubjectDomainPolicy.
Atributos del directorio de temas. Se utiliza para transmitir los atributos de identificación del sujeto.
Acceso a la información del sujeto. Cómo acceder a la información y los servicios relacionados con el asunto del certificado en el que aparece la extensión.
Identificador de clave de asunto (SKI) e identificador de clave de autoridad (AKI). RFCRequiere un certificado de CA para contener la SKI extensión. Los certificados emitidos por la CA deben contener una AKI extensión que coincida con la del certificado de la CASKI. AWS no exige estos requisitos. Si su certificado de CA no contiene unSKI, la entidad final o el certificado de CA subordinado emitido AKI será el hash SHA -1 de la clave pública del emisor.
SubjectPublicKeyInfoy nombre alternativo del sujeto (). SAN Al emitir un certificado, Autoridad de certificación privada de AWS copia las SAN extensiones SubjectPublicKeyInfo y las extensiones del certificado proporcionado CSR sin realizar la validación.

Precios para AWS Private Certificate Authority

A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea. También se le cobrará cada certificado que emita. Este cargo incluye los certificados desde los que exporta ACM y los certificados que crea en el Autoridad de certificación privada de AWS API quirófano Autoridad de certificación privada de AWS CLI. Una vez que se elimina una CA privada, no se le aplicarán cargos por ella. Sin embargo, si restaura una entidad de certificación privada, se le cobrará por el tiempo que ha pasado entre su eliminación y su restauración. Los certificados privados en los que no tiene acceso a la clave privada son gratis. Estos incluyen los certificados que se utilizan con servicios integrados, CloudFront como Elastic Load Balancing y API Gateway.

Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Términos y conceptos para AWS Private CA