As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# O que CA privada da AWSé
CA privada da AWS permite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinada CAs, sem os custos de investimento e manutenção da operação de uma CA local. Sua entidade privada CAs pode emitir certificados X.509 de entidade final úteis em cenários que incluem:
+ Criar canais de comunicação TLS criptografados
+ Autenticar usuários, computadores, endpoints de API e dispositivos de IoT
+ Assinar código de forma criptográfica
+ Implementar o protocolo OCSP para obter o status de revogação de certificados
CA privada da AWS as operações podem ser acessadas a partir do Console de gerenciamento da AWS, usando a CA privada da AWS API ou usando AWS CLI o.
**Topics**
+ [Disponibilidade regional para Autoridade de Certificação Privada da AWS](#PcaRegions)
+ [Serviços integrados com Autoridade de Certificação Privada da AWS](#PcaIntegratedServices)
+ [Algoritmos criptográficos suportados em Autoridade de Certificação Privada da AWS](#supported-algorithms)
+ [Conformidade com a RFC 5280 em Autoridade de Certificação Privada da AWS](#RFC-compliance)
+ [Preços para Autoridade de Certificação Privada da AWS](#PcaPricing)
+ [Termos e conceitos para CA Privada da AWS](PcaTerms.md)
## Disponibilidade regional para Autoridade de Certificação Privada da AWS
Como a maioria dos AWS recursos, as autoridades de certificação privadas (CAs) são recursos regionais. Para usar o CAs modo privado em mais de uma região, você deve criar o seu CAs nessas regiões. Você não pode copiar de forma privada CAs entre regiões. Acesse [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) na *Referência geral da AWS* ou na [Tabela de regiões da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) para ver a disponibilidade regional do CA privada da AWS.
**nota**
Atualmente, o ACM está disponível em algumas regiões que não CA privada da AWS estão.
## Serviços integrados com Autoridade de Certificação Privada da AWS
Se você costuma AWS Certificate Manager solicitar um certificado privado, poderá associar esse certificado a qualquer serviço integrado ao ACM. Isso se aplica tanto aos certificados encadeados a uma CA privada da AWS raiz quanto aos certificados encadeados a uma raiz externa. Para obter mais informações, consulte [Serviços integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) no Guia AWS Certificate Manager do usuário.
Você também pode integrar o privado ao Amazon Elastic Kubernetes Service para fornecer a emissão de certificados CAs dentro de um cluster Kubernetes. Para obter mais informações, consulte [Proteja o Kubernetes com Autoridade de Certificação Privada da AWS](PcaKubernetes.md).
**nota**
O Amazon Elastic Kubernetes Service não é um serviço integrado do ACM.
Se você usar a CA privada da AWS API ou AWS CLI emitir um certificado ou exportar um certificado privado do ACM, poderá instalar o certificado em qualquer lugar que desejar.
## Algoritmos criptográficos suportados em Autoridade de Certificação Privada da AWS
CA privada da AWS suporta os seguintes algoritmos criptográficos para geração de chave privada e assinatura de certificados.
**Algoritmo compatível**
| Algoritmos de chave privada | Algoritmos de assinatura |
| --- | --- |
| ML\$1DSA\$144 ML\$1DSA\$165 ML\$1DSA\$187 RSA\$12048 RSA\$13072 RSA\$14096 EC\$1prime256v1 EC\$1secp384r1 EC\$1SECP521R1 SM2 (Somente regiões da China) | ML\$1DSA\$144ML\$1DSA\$165ML\$1DSA\$187 SHA256COM A RSASHA384COM A RSASHA512COM A RSASHA256COM ECDSA SHA384COM ECDSASHA512COM ECDSASM3WITHSM2 |
Essa lista se aplica somente aos certificados emitidos diretamente por CA privada da AWS meio de seu console, API ou linha de comando. Quando AWS Certificate Manager emite certificados usando um CA de CA privada da AWS, ele suporta alguns, mas não todos esses algoritmos. Para obter mais informações, consulte [Solicitar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) no Guia AWS Certificate Manager do usuário.
**nota**
Para RSA ou ECDSA, a família de algoritmos de assinatura especificada deve corresponder à família de algoritmos de chave da chave privada da CA.
Para o ML-DSA, a função hash é definida como parte do próprio algoritmo. Não há opção para selecionar uma função de hash diferente com o ML-DSA. Para manter a compatibilidade com versões anteriores do APIs, o mesmo valor é usado para algoritmo de chave e algoritmo de assinatura.
## Conformidade com a RFC 5280 em Autoridade de Certificação Privada da AWS
CA privada da AWS [não impõe certas restrições definidas na RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280) A situação inversa também é verdadeira: determinadas restrições adicionais apropriadas a uma CA privada são impostas.
**Impostas**
+ [Não depois da data](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5). Em conformidade com a [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), o CA privada da AWS impede a emissão de certificados com uma `Not After` data posterior `Not After` à data do certificado da CA emissora.
+ [Restrições básicas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). CA privada da AWS impõe restrições básicas e comprimento do caminho em certificados CA importados.
As restrições básicas indicam se o recurso identificado pelo certificado é ou não uma CA e pode emitir certificados. Os certificados CA importados no CA privada da AWS devem incluir a extensão das restrições básicas e a extensão deve ser marcada como `critical`. Além da `critical` bandeira, `CA=true` deve ser definida. CA privada da AWS impõe restrições básicas ao falhar com uma exceção de validação pelos seguintes motivos:
+ A extensão não está incluída no certificado CA.
+ A extensão não está marcada como `critical`.
O comprimento do caminho ([pathLenConstraint](PcaTerms.md#terms-pathlength)) determina quantos subordinados CAs podem existir a jusante do certificado CA importado. CA privada da AWS impõe o comprimento do caminho ao falhar com uma exceção de validação pelos seguintes motivos:
+ Importar um certificado CA violaria a restrição de comprimento de caminho no certificado CA ou em qualquer certificado CA na cadeia.
+ A emissão de um certificado violaria uma restrição de comprimento de caminho.
+ [As restrições de nome](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) indicam um espaço de nomes dentro do qual todos os nomes de assuntos nos certificados subsequentes em um caminho de certificação devem estar localizados. As restrições se aplicam ao nome distinto do sujeito e aos nomes alternativos do assunto.
**Não impostas**
+ [Políticas de certificação](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). As políticas de certificado regulam as condições sob as quais uma CA emite certificados.
+ [Iniba qualquer política](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Usado em certificados emitidos paraCAs.
+ [Nome alternativo do emissor](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Permite que identidades adicionais sejam associadas ao emissor do certificado CA.
+ [Restrições políticas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Essas restrições limitam a capacidade de uma CA para emitir certificados CA subordinados.
+ [Mapeamentos de políticas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Usado em certificados CA. Lista um ou mais pares de OIDs; cada par inclui um issuerDomainPolicy e subjectDomainPolicy a.
+ [Atributos do diretório de assuntos](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Usado para transmitir atributos de identificação do sujeito.
+ [Acesso às informações do assunto](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). Como acessar informações e serviços sobre o assunto do certificado no qual a extensão aparece.
+ [Identificador de chave de assunto (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) e [Identificador de chave de autoridade (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). A RFC requer um certificado CA para conter a extensão do SKI. Os certificados emitidos pela CA devem conter uma extensão AKI correspondente à SKI do certificado CA. AWS não impõe esses requisitos. Se o certificado CA não contiver um SKI, a entidade final emitida ou o AKI do certificado CA subordinado será o hash SHA-1 da chave pública do emissor.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)e [Nome alternativo do assunto (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Ao emitir um certificado, CA privada da AWS copia as extensões SAN SubjectPublicKeyInfo e a CSR fornecida sem realizar a validação.
## Preços para Autoridade de Certificação Privada da AWS
Um preço mensal é cobrado em sua conta por cada CA privada começando no momento em que ela é criada. Você também será cobrado por cada certificado emitido. Essa cobrança inclui certificados que você exporta do ACM e certificados que você cria da CA privada da AWS API ou da CA privada da AWS CLI. Você não será cobrado por uma CA privada depois que ela for excluída. No entanto, ao restaurar uma CA privada, você é cobrado pelo tempo entre a exclusão e a restauração. Os certificados privados a cuja chave privada você não tem acesso são gratuitos. Isso inclui certificados que são usados com [serviços integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html), como Elastic Load Balancing e API CloudFront Gateway.
Para obter as informações mais recentes sobre CA privada da AWS preços, consulte [Autoridade de Certificação Privada da AWS Preços](https://aws.amazon.com/private-ca/pricing/). Você também pode usar a [Calculadora de preços da AWS](https://calculator.aws/#/createCalculator/certificateManager) para estimar os custos.
# Termos e conceitos para CA Privada da AWS
Os termos e conceitos a seguir podem ajudá-lo a trabalhar com Autoridade de Certificação Privada da AWS.
**Topics**
+ [Confiança](#terms-trust)
+ [Certificados do servidor TLS](#terms-tlscert)
+ [Assinatura de certificado](#terms-signing)
+ [Autoridade certificadora](#terms-ca)
+ [CA raiz](#terms-rootca)
+ [Certificado CA](#terms-ca-cert)
+ [Certificado CA raiz](#terms-root)
+ [Certificado de entidade final](#terms-endentity)
+ [Certificados autoassinados](#terms-selfsignedcert)
+ [Certificado privado](#terms-pca-cert)
+ [Caminho do certificado](#terms-certpath)
+ [Restrição de comprimento de caminho](#terms-pathlength)
## Confiança
Para que um navegador da web confie na identidade de um site, o navegador deve ser capaz de verificar o certificado do site. Os navegadores, no entanto, confiam em apenas um pequeno número de certificados conhecidos como certificados CA raiz. Um terceiro confiável, conhecido como uma autoridade certificadora (CA), valida a identidade do site e emite um certificado digital assinado para o operador do site. O navegador pode, então, verificar a assinatura digital para validar a identidade do site. Se a validação for bem-sucedida, o navegador exibe um ícone de cadeado na barra de endereços.
## Certificados do servidor TLS
As transações HTTPS exigem certificados de servidor para autenticar um servidor. Um certificado de servidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto do certificado. Um certificado TLS é assinado por uma autoridade de certificação (CA). Ele contém o nome do servidor, o período de validade, a chave pública, o algoritmo de assinatura e muito mais.
## Assinatura de certificado
Uma assinatura digital é um hash criptografado sobre um certificado. Uma assinatura é usada para confirmar a integridade dos dados do certificado. Sua CA privada cria uma assinatura usando uma função de hash criptográfica, como SHA256 sobre o conteúdo do certificado de tamanho variável. Esta função hash produz uma cadeia de dados de tamanho fixo que não pode ser falsificada. Essa string é chamada de hash. Em seguida, a CA criptografa o valor do hash com sua chave privada e concatena o hash criptografado com o certificado.
## Autoridade certificadora
Uma autoridade de certificado (CA) emite e, se necessário, revoga certificados digitais. O tipo mais comum de certificado é baseado no padrão ISO X.509. Um certificado X.509 afirma a identidade do objeto do certificado e vincula essa identidade a uma chave pública. O objeto pode ser um usuário, um aplicativo, um computador ou outro dispositivo. A CA assina um certificado aplicando hash ao conteúdo e criptografando o hash com a chave privada relacionada à chave pública no certificado. Um aplicativo cliente, como um navegador da Web que precisa confirmar a identidade de um objeto, usa a chave pública para descriptografar a assinatura do certificado. Em seguida, ele aplica hash ao conteúdo do certificado e compara o valor de hash com a assinatura descriptografada para determinar se correspondem. Para obter mais informações sobre assinatura de certificado, consulte [Assinatura de certificado](#terms-signing).
Você pode usar CA privada da AWS para criar uma CA privada e usar a CA privada para emitir certificados. Sua CA privada emite somente SSL/TLS certificados privados para uso em sua organização. Para obter mais informações, consulte [Certificado privado](#terms-pca-cert). Sua CA privada também requer um certificado para poder ser usada. Para obter mais informações, consulte [Certificado CA](#terms-ca-cert).
## CA raiz
Um bloco de criação criptográfica e raiz de confiança em que os certificados podem ser emitidos. Ela é composta de uma chave privada para assinar (emitir) certificados e um certificado raiz que identifica a CA raiz e vincula a chave privada ao nome da CA. O certificado raiz é distribuído aos armazenamentos de confiança de cada entidade em um ambiente. Os administradores criam repositórios confiáveis para incluir somente aqueles em CAs que confiam. Os administradores atualizam ou criam os armazenamentos de confiança nos sistemas operacionais, instâncias e imagens de máquina host de entidades em seu ambiente. Quando os recursos tentam se conectar uns com os outros, eles verificam os certificados apresentados por cada entidade. Um cliente verifica a validade dos certificados e se existe uma cadeia do certificado a um certificado raiz instalada no armazenamento de confiança. Se essas condições forem atendidas, um handshake é realizado entre os recursos. Este handshake comprova criptograficamente a identidade de cada entidade para a outra e cria um canal de comunicação criptografado (TLS/SSL) entre elas.
## Certificado CA
Um certificado de autoridade de certificado (CA) afirma a identidade da CA e a vincula à chave pública contida no certificado.
Você pode usar CA privada da AWS para criar uma CA raiz privada ou uma CA subordinada privada, cada uma apoiada por um certificado de CA. Os certificados CA subordinados são assinados por outro certificado CA superior em uma cadeia de confiança. Mas, no caso de uma CA raiz, o certificado é autoassinado. Você também pode estabelecer uma autoridade raiz externa (hospedada on-premises, por exemplo). Depois, você pode usar sua autoridade raiz para assinar um certificado CA raiz subordinado hospedado pelo CA privada da AWS.
O exemplo a seguir mostra os campos típicos contidos em um certificado CA CA privada da AWS X.509. Observe que para um certificado de CA, o valor `CA:` no campo `Basic Constraints` é definido como `TRUE`.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4121 (0x1019)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com
Validity
Not Before: Feb 26 20:27:56 2018 GMT
Not After : Feb 24 20:27:56 2028 GMT
Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c0: ... a3:4a:51
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
X509v3 Authority Key Identifier:
keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
6:bb:94: ... 80:d8
```
## Certificado CA raiz
Uma autoridade de certificação (CA) normalmente existe dentro de uma estrutura hierárquica que contém várias outras CAs com relações pai-filho claramente definidas entre elas. A criança ou o subordinado CAs são certificados pelos pais CAs, criando uma cadeia de certificados. A CA no alto da hierarquia é chamada de CA raiz, e seu certificado é chamado de certificado raiz. Este certificado é geralmente autoassinado.
## Certificado de entidade final
Um certificado de entidade final identifica um recurso, como um servidor, instância, contêiner ou dispositivo. Ao contrário dos certificados de CA, os certificados de entidade final não podem ser usados para emitir certificados. Outros termos comuns para certificado de entidade final são certificado “cliente” ou “folha”.
## Certificados autoassinados
Um certificado assinado pelo emissor em vez de uma CA superior. Ao contrário dos certificados emitidos de uma raiz segura, mantida por uma CA, os certificados autoassinados atuam como sua própria raiz. Como resultado, eles apresentam limitações significativas: podem ser usados para criptografar comunicações, mas não verificam a identidade nem podem ser revogados. Do ponto de vista da segurança, esses certificados não são aceitáveis Mas, todavia, são usados pelas organizações porque podem ser gerados facilmente, não exigem especialização nem infraestrutura e são aceitos por vários aplicativos. Não há controles implementados para emitir certificados autoassinados. As organizações que usam esses certificados correm maior risco de interrupções causadas por expirações de certificados porque não contam com uma forma de controlar as datas de expiração.
## Certificado privado
CA privada da AWS certificados são SSL/TLS certificados privados que você pode usar em sua organização, mas não são confiáveis na Internet pública. Use-os para identificar recursos, como clientes, servidores, aplicativos, serviços, dispositivos e usuários. Ao estabelecer um canal de comunicações criptografadas seguras, cada recurso usa um certificado como o seguinte, bem como técnicas criptográficas para provar sua identidade para outro recurso. Endpoints de API internos, servidores da Web, usuários de VPN, dispositivos IoT e muitos outros aplicativos usam certificados privados para estabelecer canais de comunicação criptografados que são necessários para sua operação segura. Por padrão, os certificados privados não são publicamente confiáveis. Um administrador interno deve configurar explicitamente aplicativos para confiar em certificados privados e distribuir os certificados.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
```
## Caminho do certificado
Um cliente que depende de um certificado valida que existe um caminho do certificado da entidade final, possivelmente por meio de uma cadeia de certificados intermediários, até uma raiz confiável. O cliente verifica se cada certificado ao longo do caminho é válido (não revogado). Ele também verifica se o certificado de entidade final não expirou, é íntegro (não foi adulterado ou modificado) e se as restrições no certificado estão impostas.
## Restrição de comprimento de caminho
As restrições básicas de um certificado *pathLenConstraint*de CA definem o número de certificados de CA subordinados que podem existir na cadeia abaixo dele. Por exemplo, um certificado CA com uma restrição de comprimento de caminho igual a zero não pode ter nenhum subordinado CAs. Uma CA com uma restrição de comprimento de caminho de um pode ter até um nível de subordinado CAs abaixo dela. [O RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) define isso como “o número máximo de certificados non-self-issued intermediários que podem seguir esse certificado em um caminho de certificação válido”. O valor do comprimento do caminho exclui o certificado de entidade final, embora uma linguagem informal sobre o “comprimento” ou a “profundidade” de uma cadeia de validação possa incluí-lo, causando confusão.