Qu'est-ce que c'est Autorité de certification privée AWS ? - AWS Private Certificate Authority
Disponibilité par régionServices intégrésAlgorithmes pris en chargeRFCConformité 5280Tarification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce que c'est Autorité de certification privée AWS ?

Autorité de certification privée AWS permet de créer des hiérarchies d'autorités de certification (CA) privées, y compris racine et subordonnéeCAs, sans les coûts d'investissement et de maintenance liés à l'exploitation d'une autorité de certification sur site. Votre particulier CAs peut émettre des certificats X.509 d'entité finale utiles dans des scénarios tels que :

  • Création de canaux TLS de communication cryptés

  • Authentification des utilisateurs, des ordinateurs, des API terminaux et des appareils IoT

  • Signature de code par cryptographie

  • Implémentation du protocole d'état des certificats en ligne (OCSP) pour obtenir le statut de révocation des certificats

Autorité de certification privée AWS les opérations sont accessibles depuis le AWS Management Console, en utilisant le Autorité de certification privée AWS API, ou en utilisant le AWS CLI.

Rubriques

Disponibilité régionale pour AWS Private Certificate Authority

Comme la plupart AWS des ressources, les autorités de certification privées (CAs) sont des ressources régionales. Pour utiliser CAs le mode privé dans plusieurs régions, vous devez créer le vôtre CAs dans ces régions. Vous ne pouvez pas copier en mode privé CAs entre les régions. Consultez AWS Régions et points de terminaison dans la Références générales AWS ou le Tableau des régions AWS pour consulter la disponibilité régionale pour Autorité de certification privée AWS.

Note

ACMest actuellement disponible dans certaines régions qui ne l' Autorité de certification privée AWS est pas.

Services intégrés à AWS Private Certificate Authority

Si vous demandez AWS Certificate Manager un certificat privé, vous pouvez associer ce certificat à n'importe quel service intégré àACM. Cela s'applique à la fois aux certificats chaînés à une Autorité de certification privée AWS racine et aux certificats enchaînés à une racine externe. Pour plus d'informations, consultez la section Services intégrés dans le guide de AWS Certificate Manager l'utilisateur.

Vous pouvez également intégrer le mode privé CAs dans Amazon Elastic Kubernetes Service pour permettre l'émission de certificats au sein d'un cluster Kubernetes. Pour de plus amples informations, veuillez consulter Sécurisez Kubernetes avec Autorité de certification privée AWS.

Note

Amazon Elastic Kubernetes Service n'est pas un service intégré. ACM

Si vous utilisez le Autorité de certification privée AWS API ou AWS CLI pour émettre un certificat ou pour exporter un certificat privéACM, vous pouvez installer le certificat où vous le souhaitez.

Algorithmes cryptographiques pris en charge dans AWS Private Certificate Authority

Autorité de certification privée AWS prend en charge les algorithmes cryptographiques suivants pour la génération de clés privées et la signature de certificats.

Algorithme supporté
Algorithmes à clé privée Algorithmes de signature

RSA_2048

RSA_4096

EC_Prime 256v1

EC_SECP384R1

SM2(Régions chinoises uniquement)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

Cette liste s'applique uniquement aux certificats émis directement par le Autorité de certification privée AWS biais de sa console ou de sa ligne de commande. API Lorsqu'il AWS Certificate Manager émet des certificats à l'aide d'une autorité de certification Autorité de certification privée AWS, celui-ci prend en charge certains de ces algorithmes, mais pas tous. Pour plus d'informations, consultez la section Demander un certificat privé dans le guide de AWS Certificate Manager l'utilisateur.

Note

Dans tous les cas, la famille d'algorithmes de signature spécifiée (RSAouECDSA) doit correspondre à la famille d'algorithmes de la clé privée de l'autorité de certification.

RFCConformité à la norme 5280 dans AWS Private Certificate Authority

Autorité de certification privée AWS n'applique pas certaines contraintes définies dans le RFC5280. La situation inverse est également vraie : certaines contraintes supplémentaires appropriées à une autorité de certification privée sont appliquées.

Appliqué

  • Pas après la date. Conformément au RFC5280, Autorité de certification privée AWS empêche la délivrance de certificats portant une Not After date ultérieure à la Not After date du certificat de l'autorité de certification émettrice.

  • Contraintes de base. Autorité de certification privée AWS applique les contraintes de base et la longueur du chemin dans les certificats CA importés.

    Les contraintes basiques indiquent si la ressource identifiée par le certificat est une autorité de certification ou non et peut émettre des certificats. Les certificats d'une autorité de certification importés dans Autorité de certification privée AWS doivent inclure l'extension des contraintes basiques et l'extension doit être marquée critical. En plus du critical drapeau, CA=true il doit être installé. Autorité de certification privée AWS applique les contraintes de base en échouant avec une exception de validation pour les raisons suivantes :

    • L'extension n'est pas incluse dans le certificat d'une autorité de certification.

    • L'extension n'est pas marquée critical.

    La longueur du chemin (pathLenConstraint) détermine le nombre de subordonnés qui CAs peuvent exister en aval du certificat CA importé. Autorité de certification privée AWS applique la longueur du chemin en échouant avec une exception de validation pour les raisons suivantes :

    • L'importation d'un certificat d'une autorité de certification violerait la contrainte de longueur du chemin d'accès dans le certificat d'une autorité de certification ou dans tout certificat d'une autorité de certification de la chaîne.

    • L'émission d'un certificat violerait une contrainte de longueur de chemin d'accès.

  • Les contraintes de nom indiquent un espace de nom dans lequel doivent figurer tous les noms de sujets figurant dans les certificats suivants d'un chemin de certification. Des restrictions s'appliquent au nom distinctif du sujet et aux noms alternatifs du sujet.

Non appliqué

  • Politiques en matière de certificats. Les politiques de certification régissent les conditions dans lesquelles une autorité de certification émet des certificats.

  • Inhiber anyPolicy. Utilisé dans les certificats délivrés àCAs.

  • Nom alternatif de l'émetteur. Permet d'associer des identités supplémentaires à l'émetteur du certificat CA.

  • Contraintes politiques. Ces contraintes limitent la capacité d'une autorité de certification à émettre des certificats d'une autorité de certification subordonnée.

  • Mappages de politiques. Utilisé dans les certificats CA. Répertorie une ou plusieurs paires de OIDs ; chaque paire inclut un issuerDomainPolicy et unsubjectDomainPolicy.

  • Attributs du répertoire des sujets. Utilisé pour transmettre les attributs d'identification du sujet.

  • Accès aux informations sur le sujet. Comment accéder aux informations et aux services relatifs au sujet du certificat dans lequel apparaît l'extension.

  • Identifiant de clé de sujet (SKI) et identifiant de clé d'autorité (AKI). RFCNécessite un certificat CA pour contenir l'SKIextension. Les certificats émis par l'autorité de certification doivent contenir une AKI extension correspondant à celle du certificat de l'autorité de certificationSKI. AWS ne fait pas appliquer ces exigences. Si votre certificat CA ne contient pas deSKI, le certificat d'entité finale ou subordonnée émis AKI sera plutôt le hachage SHA -1 de la clé publique de l'émetteur.

  • SubjectPublicKeyInfoet nom alternatif du sujet (SAN). Lors de l'émission d'un certificat, Autorité de certification privée AWS copie les SAN extensions SubjectPublicKeyInfo et à partir du certificat fourni CSR sans effectuer de validation.

Tarification pour AWS Private Certificate Authority

Un tarif mensuel est facturé à votre compte pour chaque autorité de certification privée à partir du moment où vous l'avez créée. Vous êtes également facturé pour chaque certificat que vous émettez. Ces frais incluent les certificats que vous exportez ACM et les certificats que vous créez à partir du Autorité de certification privée AWS API ou Autorité de certification privée AWS CLI. Vous n'êtes pas facturé pour l'autorité de certification privée après sa suppression. Toutefois, si vous restaurez une autorité de certification privée, vous serez facturé pour la durée écoulée entre la suppression et la restauration. Les certificats privés pour lesquels vous ne disposez d'aucun accès à la clé privée sont gratuits. Il s'agit notamment des certificats utilisés avec des services intégrés tels que Elastic Load Balancing et API Gateway. CloudFront

Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section AWS Private Certificate Authority Tarification. Vous pouvez également utiliser le calculateur de AWS prix pour estimer les coûts.