Che cos'è CA privata AWS? - AWS Private Certificate Authority
Disponibilità regionaleServizi integratiAlgoritmi supportatiRFCConformità 5280Prezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Che cos'è CA privata AWS?

CA privata AWS consente la creazione di gerarchie di autorità di certificazione (CA) private, tra cui root e subordinateCAs, senza i costi di investimento e manutenzione legati alla gestione di una CA locale. Il personale privato CAs può emettere certificati X.509 di entità finale utili in scenari quali:

  • Creazione di canali di comunicazione crittografati TLS

  • Autenticazione di utenti, computer, API endpoint e dispositivi IoT

  • Codice di firma crittografica

  • Implementazione del protocollo Online Certificate Status (OCSP) per ottenere lo stato di revoca del certificato

CA privata AWS è possibile accedere alle operazioni da AWS Management Console, utilizzando o utilizzando. CA privata AWS API AWS CLI

Argomenti

Disponibilità regionale per AWS Private Certificate Authority

Come la maggior parte AWS delle risorse, le autorità di certificazione private (CAs) sono risorse regionali. Per utilizzare private CAs in più di una regione, devi creare le tue CAs in quelle regioni. Non è possibile copiare dati privati CAs tra regioni. Visita Regioni ed endpoint AWS in Riferimenti generali di AWS o la Tabella delle regioni AWS per vedere la disponibilità regionale per CA privata AWS.

Nota

ACMè attualmente disponibile in alcune regioni che non CA privata AWS lo sono.

Servizi integrati con AWS Private Certificate Authority

Se utilizzi l' AWS Certificate Manager opzione per richiedere un certificato privato, puoi associare tale certificato a qualsiasi servizio con cui è integratoACM. Questo vale sia per i certificati concatenati a una CA privata AWS radice che per i certificati concatenati a una radice esterna. Per ulteriori informazioni, consulta Integrated Services nella Guida per l' AWS Certificate Manager utente.

Puoi anche CAs integrare private in Amazon Elastic Kubernetes Service per fornire l'emissione di certificati all'interno di un cluster Kubernetes. Per ulteriori informazioni, consulta Proteggi Kubernetes con CA privata AWS.

Nota

Amazon Elastic Kubernetes Service non è un servizio integrato. ACM

Se usi CA privata AWS API o AWS CLI per emettere un certificato o per esportare un certificato privato daACM, puoi installare il certificato ovunque desideri.

Algoritmi crittografici supportati in AWS Private Certificate Authority

CA privata AWS supporta i seguenti algoritmi crittografici per la generazione di chiavi private e la firma dei certificati.

Algoritmo supportato
Algoritmi a chiave privata Algoritmi di firma

RSA_2048

RSA_4096

EC_Prime256v1

EC_SECP384R1

SM2(Solo regioni della Cina)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

Questo elenco si applica solo ai certificati emessi direttamente CA privata AWS tramite la relativa console o riga di comando. API Quando AWS Certificate Manager emette certificati utilizzando un CA da CA privata AWS, supporta alcuni ma non tutti questi algoritmi. Per ulteriori informazioni, consulta Richiedere un certificato privato nella Guida per l' AWS Certificate Manager utente.

Nota

In tutti i casi, la famiglia (RSAoECDSA) di algoritmi di firma specificata deve corrispondere alla famiglia di algoritmi della chiave privata della CA.

RFCConformità 5280 in AWS Private Certificate Authority

CA privata AWS non impone determinati vincoli definiti in 5280. RFC Anche la situazione inversa è vera: vengono applicati alcuni vincoli aggiuntivi appropriati per una CA privata.

Applicato

  • Non dopo la data. In conformità alla norma RFC5280, CA privata AWS impedisce l'emissione di certificati recanti una Not After data successiva alla data del certificato della CA emittente. Not After

  • Vincoli di base. CA privata AWS impone i vincoli di base e la lunghezza del percorso nei certificati CA importati.

    I vincoli di base indicano se la risorsa identificata dal certificato è una CA e può emettere certificati. I certificati emessi da una CA importati in CA privata AWS devono includere l'estensione dei vincoli di base e l'estensione deve essere contrassegnata con critical. Oltre alla critical bandiera, CA=true deve essere impostata. CA privata AWS impone i vincoli di base fallendo con un'eccezione di convalida per i seguenti motivi:

    • L'estensione non è inclusa nel certificato emesso da una CA.

    • L'estensione non è contrassegnata critical.

    La lunghezza del percorso (pathLenConstraint) determina quanti subordinati CAs possono esistere a valle del certificato CA importato. CA privata AWS impone la lunghezza del percorso fallendo con un'eccezione di convalida per i seguenti motivi:

    • L'importazione di un certificato emesso da una CA violerebbe il vincolo di lunghezza del percorso nel certificato emesso da una CA o in qualsiasi certificato emesso da una CA nella catena.

    • L'emissione di un certificato violerebbe un vincolo di lunghezza del percorso.

  • I vincoli di nome indicano uno spazio dei nomi all'interno del quale devono essere collocati tutti i nomi dei soggetti nei certificati successivi in un percorso di certificazione. Le restrizioni si applicano al nome distinto del soggetto e ai nomi alternativi del soggetto.

Non applicato

  • Politiche relative ai certificati. Le politiche relative ai certificati regolano le condizioni in base alle quali una CA rilascia i certificati.

  • Inibire. anyPolicy Utilizzato nei certificati rilasciati a. CAs

  • Nome alternativo dell'emittente. Consente di associare identità aggiuntive all'emittente del certificato CA.

  • Vincoli politici. Questi vincoli limitano la capacità di una CA di emettere certificati emessi da una CA subordinata.

  • Mappature delle politiche. Utilizzato nei certificati CA. Elenca una o più coppie diOIDs; ogni coppia include un issuerDomainPolicy e unsubjectDomainPolicy.

  • Attributi della directory dei soggetti. Utilizzato per trasmettere gli attributi identificativi del soggetto.

  • Accesso alle informazioni sull'argomento. Come accedere alle informazioni e ai servizi relativi all'oggetto del certificato in cui compare l'estensione.

  • Subject Key Identifier (SKI) e Authority Key Identifier () AKI. RFCRichiede un certificato CA per contenere l'SKIestensione. I certificati emessi dalla CA devono contenere un'AKIestensione corrispondente a quella del certificato CASKI. AWS non applica questi requisiti. Se il certificato CA non contiene un SKI certificato CA subordinato o di entità finale emesso AKI sarà invece l'hash SHA -1 della chiave pubblica dell'emittente.

  • SubjectPublicKeyInfoe Nome alternativo del soggetto (). SAN Quando si emette un certificato, CA privata AWS copia le SAN estensioni SubjectPublicKeyInfo e le estensioni da quelle fornite CSR senza eseguire la convalida.

Prezzi per AWS Private Certificate Authority

Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei. Verranno addebitati anche i costi per ogni certificato rilasciato. Questo addebito include i certificati esportati da ACM e i certificati creati dalla sala CA privata AWS API operatoria CA privata AWS CLI. Non è previsto alcun addebito per una CA privata dopo che è stata eliminata. Tuttavia, se ripristini una CA privata, ti verrà addebitata per l'intervallo di tempo compreso tra l'eliminazione e il ripristino. I certificati privati per i quali non hai accesso alla chiave privata sono gratuiti. Questi includono certificati utilizzati con servizi integrati come Elastic Load Balancing e CloudFront API Gateway.

Per le informazioni più recenti CA privata AWS sui prezzi, consulta la sezione AWS Private Certificate Authority Prezzi. Puoi anche utilizzare il calcolatore dei AWS prezzi per stimare i costi.