Apa itu AWS Private CA? - AWS Private Certificate Authority
Ketersediaan wilayahLayanan terintegrasiAlgoritme yang didukungKepatuhan RFC 5280Harga

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu AWS Private CA?

AWS Private CA memungkinkan pembuatan hierarki otoritas sertifikat swasta (CA), termasuk root dan bawahan CAs, tanpa biaya investasi dan pemeliharaan pengoperasian CA lokal. Pribadi Anda CAs dapat menerbitkan sertifikat X.509 entitas akhir yang berguna dalam skenario termasuk:

  • Membuat saluran komunikasi TLS terenkripsi

  • Mengautentikasi pengguna, komputer, titik akhir API, dan perangkat IoT

  • Kode penandatanganan kriptografi

  • Menerapkan Protokol Status Sertifikat Online (OCSP) untuk mendapatkan status pencabutan sertifikat

AWS Private CA operasi dapat diakses dari AWS Management Console, menggunakan AWS Private CA API, atau menggunakan AWS CLI.

Topik

Ketersediaan regional untuk AWS Private Certificate Authority

Seperti kebanyakan AWS sumber daya, otoritas sertifikat swasta (CAs) adalah sumber daya Regional. Untuk menggunakan privat CAs di lebih dari satu Wilayah, Anda harus membuat CAs di Wilayah tersebut. Anda tidak dapat menyalin pribadi CAs antar Wilayah. Kunjungi AWS Wilayah dan Titik Akhir di Referensi Umum AWSatau Tabel AWS Wilayah untuk melihat ketersediaan Regional. AWS Private CA

catatan

ACM saat ini tersedia di beberapa wilayah yang AWS Private CA tidak.

Layanan terintegrasi dengan AWS Private Certificate Authority

Jika Anda menggunakan AWS Certificate Manager untuk meminta sertifikat pribadi, Anda dapat mengaitkan sertifikat itu dengan layanan apa pun yang terintegrasi dengan ACM. Ini berlaku baik untuk sertifikat yang dirantai ke AWS Private CA root dan sertifikat yang dirantai ke root eksternal. Untuk informasi selengkapnya, lihat Layanan Terpadu di Panduan AWS Certificate Manager Pengguna.

Anda juga dapat mengintegrasikan private CAs ke Amazon Elastic Kubernetes Service untuk memberikan penerbitan sertifikat di dalam klaster Kubernetes. Untuk informasi selengkapnya, lihat Amankan Kubernetes dengan AWS Private CA.

catatan

Amazon Elastic Kubernetes Service bukan layanan terintegrasi ACM.

Jika Anda menggunakan AWS Private CA API atau AWS CLI menerbitkan sertifikat atau mengekspor sertifikat pribadi dari ACM, Anda dapat menginstal sertifikat di mana pun Anda inginkan.

Algoritma kriptografi yang didukung di AWS Private Certificate Authority

AWS Private CA mendukung algoritma kriptografi berikut untuk pembuatan kunci pribadi dan penandatanganan sertifikat.

Algoritme yang didukung
Algoritme kunci privat Algoritme penandatanganan

RSA_2048

RSA_4096

EC_prime256v1

EC_secp384r1

SM2 (Hanya Wilayah Tiongkok)

SHA256DENGANECDSA

SHA384DENGANECDSA

SHA512DENGANECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

Daftar ini hanya berlaku untuk sertifikat yang dikeluarkan langsung AWS Private CA melalui konsol, API, atau baris perintahnya. Saat AWS Certificate Manager mengeluarkan sertifikat menggunakan CA dari AWS Private CA, ini mendukung beberapa tetapi tidak semua algoritme ini. Untuk informasi selengkapnya, lihat Meminta Sertifikat Pribadi di Panduan AWS Certificate Manager Pengguna.

catatan

Dalam semua kasus, keluarga algoritma penandatanganan yang ditentukan (RSA atau ECDSA) harus cocok dengan keluarga algoritma kunci pribadi CA.

Kepatuhan RFC 5280 di AWS Private Certificate Authority

AWS Private CA tidak memberlakukan batasan tertentu yang ditentukan dalam RFC 5280. Situasi sebaliknya juga benar: kendala tambahan tertentu yang sesuai untuk CA privat diberlakukan.

Ditegakkan

  • Tidak Setelah tanggal. Sesuai dengan RFC 5280, AWS Private CA mencegah penerbitan sertifikat yang memuat tanggal lebih lambat dari Not After tanggal penerbitan sertifikat CA. Not After

  • Kendala dasar. AWS Private CA memberlakukan batasan dasar dan panjang jalur dalam sertifikat CA yang diimpor.

    Kendala dasar menunjukkan apakah sumber daya yang diidentifikasi oleh sertifikat adalah CA dan dapat mengeluarkan sertifikat. Sertifikat CA yang diimpor AWS Private CA harus menyertakan ekstensi kendala dasar, dan ekstensi harus ditandai. critical Selain critical bendera, CA=true harus diatur. AWS Private CA memberlakukan kendala dasar dengan gagal dengan pengecualian validasi karena alasan berikut:

    • Ekstensi tidak termasuk dalam sertifikat CA.

    • Ekstensi tidak ditandai critical.

    Panjang jalur (pathLenConstraint) menentukan berapa banyak bawahan yang CAs mungkin ada di hilir dari sertifikat CA yang diimpor. AWS Private CA memberlakukan panjang jalur dengan gagal dengan pengecualian validasi karena alasan berikut:

    • Mengimpor sertifikat CA akan melanggar kendala panjang jalur dalam sertifikat CA atau sertifikat CA apa pun dalam rantai.

    • Menerbitkan sertifikat akan melanggar kendala panjang jalur.

  • Batasan nama menunjukkan ruang nama di mana semua nama subjek dalam sertifikat berikutnya di jalur sertifikasi harus ditempatkan. Pembatasan berlaku untuk nama subjek yang dibedakan dan nama alternatif subjek.

Tidak ditegakkan

  • Kebijakan sertifikat. Kebijakan sertifikat mengatur kondisi di mana CA mengeluarkan sertifikat.

  • Menghambat AnyPolicy. Digunakan dalam sertifikat yang dikeluarkan untukCAs.

  • Nama Alternatif Penerbit. Memungkinkan identitas tambahan dikaitkan dengan penerbit sertifikat CA.

  • Kendala kebijakan. Kendala ini membatasi kapasitas CA untuk menerbitkan sertifikat CA bawahan.

  • Pemetaan Kebijakan. Digunakan dalam sertifikat CA. Daftar satu atau lebih pasangan OIDs; setiap pasangan termasuk issuerDomainPolicy dan asubjectDomainPolicy.

  • Atribut Direktori Subjek. Digunakan untuk menyampaikan atribut identifikasi subjek.

  • Akses Informasi Subjek. Cara mengakses informasi dan layanan untuk subjek sertifikat di mana ekstensi muncul.

  • Subject Key Identifier (SKI) dan Authority Key Identifier (AKI). RFC memerlukan sertifikat CA yang berisi ekstensi SKI. Sertifikat yang dikeluarkan oleh CA harus berisi ekstensi AKI yang cocok dengan SKI sertifikat CA. AWS tidak menegakkan persyaratan ini. Jika Sertifikat CA Anda tidak berisi SKI, entitas akhir yang diterbitkan atau sertifikat CA bawahan AKI akan menjadi hash SHA-1 dari kunci publik penerbit.

  • SubjectPublicKeyInfodan Nama Alternatif Subjek (SAN). Saat menerbitkan sertifikat, salin ekstensi AWS Private CA SubjectPublicKeyInfo dan SAN dari CSR yang disediakan tanpa melakukan validasi.

Harga untuk AWS Private Certificate Authority

Akun Anda dikenai harga bulanan untuk setiap CA privat mulai dari saat Anda membuatnya. Anda juga dikenakan biaya untuk setiap sertifikat yang Anda keluarkan. Biaya ini mencakup sertifikat yang Anda ekspor dari ACM dan sertifikat yang Anda buat dari AWS Private CA API atau AWS Private CA CLI. Anda tidak dikenakan biaya untuk CA privat setelah dihapus. Namun, jika Anda memulihkan CA privat, Anda akan dikenakan biaya untuk waktu antara penghapusan dan pemulihan. Sertifikat privat yang kunci privatnya tidak dapat Anda akses gratis. Ini termasuk sertifikat yang digunakan dengan Layanan Terpadu seperti Elastic Load Balancing, CloudFront, dan API Gateway.

Untuk informasi AWS Private CA harga terbaru, lihat AWS Private Certificate Authority Harga. Anda juga dapat menggunakan kalkulator AWS harga untuk memperkirakan biaya.