什么是 AWS 私有 CA? - AWS Private Certificate Authority
区域可用性集成服务支持的算法符合 RFC 5280定价

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS 私有 CA?

AWS 私有 CA 允许创建私有证书颁发机构 (CA) 层次结构,包括根和下级结构 CAs,而无需运营本地 CA 的投资和维护成本。您的私有 CAs 可以颁发终端实体 X.509 证书,这些证书在以下场景中很有用:

  • 创建加密的 TLS 通信通道

  • 对用户、计算机、API 终端节点和 IoT 设备进行身份验证

  • 加密签名代码

  • 实施在线证书状态协议 (OCSP) 以获取证书吊销状态

AWS 私有 CA 可以从 AWS Management Console、使用 AWS 私有 CA API 或使用 AWS CLI。

主题

的地区可用性 AWS Private Certificate Authority

与大多数 AWS 资源一样,私有证书颁发机构 (CAs) 是区域资源。要 CAs 在多个区域中使用私有功能,您必须在这些区域 CAs 中创建您的。您不能在区域 CAs 之间复制私有内容。访问 AWS 一般参考 中的 AWS 区域和端点AWS 区域表以查看 AWS 私有 CA的区域可用性。

注意

ACM 目前在某些地区可用, AWS 私有 CA 但尚未提供。

与之集成的服务 AWS Private Certificate Authority

如果您使用 AWS Certificate Manager 请求私有证书,则可以将该证书与任何与 ACM 集成的服务相关联。这既适用于链接到 AWS 私有 CA 根的证书,也适用于链接到外部根的证书。有关更多信息,请参阅《 AWS Certificate Manager 用户指南》中的集成服务

您还可以将私有 CAs 集成到亚马逊 Elastic Kubernetes Service 中,以便在 Kubernetes 集群内提供证书颁发服务。有关更多信息,请参阅 使用保护 Kubernetes AWS 私有 CA

注意

Amazon Elastic Kubernetes Service 并非 ACM 集成服务。

如果您使用 AWS 私有 CA API 或 AWS CLI 颁发证书或从 ACM 导出私有证书,则可以将证书安装在所需的任何地方。

支持的加密算法 AWS Private Certificate Authority

AWS 私有 CA 支持以下用于私钥生成和证书签名的加密算法。

支持的算法
私有密钥算法 签名算法

RSA_2048

RSA_4096

EC_prime256v1

EC_secp384r1

SM2 (仅限中国地区)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

此列表仅适用于 AWS 私有 CA 通过其控制台、API 或命令行直接颁发的证书。当使用来自的 CA AWS Certificate Manager 颁发证书时 AWS 私有 CA,它支持部分但不是全部算法。有关更多信息,请参阅 AWS Certificate Manager 用户指南中的申请私有证书

注意

在所有情况下,指定的签名算法系列(RSA 或 ECDSA)必须与 CA 私有密钥的算法系列匹配。

符合 RFC 5280 的要求 AWS Private Certificate Authority

AWS 私有 CA 不强制执行 RFC 528 0 中定义的某些限制。相反的情况也是如此:强制实施某些适用于私有 CA 的附加约束。

强制实施

  • “不迟于”日期。根据 RFC 5280, AWS 私有 CA 防止颁发 Not After 日期晚于颁发 CA 证书的 Not After 日期的证书。

  • 基本限制。 AWS 私有 CA 在导入的 CA 证书中强制执行基本限制和路径长度。

    基本约束指示证书所标识的资源是否为 CA 并可以颁发证书。导入到 AWS 私有 CA 的 CA 证书必须包含基本约束扩展,并且该扩展必须标记为 critical。除了critical旗帜外,还CA=true必须设置。 AWS 私有 CA 由于以下原因而失败并出现验证异常,从而强制执行基本约束:

    • CA 证书中不包含该扩展。

    • 该扩展未标记为 critical

    路径长度 (pathLenConstraint) 决定了导入的 CA 证书的下游 CAs 可能存在多少从属证书。 AWS 私有 CA 由于以下原因,由于验证异常而失败,从而强制执行路径长度:

    • 导入 CA 证书将违反 CA 证书或链中任何 CA 证书中的路径长度约束。

    • 颁发证书将违反路径长度约束。

  • 名称限制表示一个命名空间,认证路径中后续证书中的所有使用者名称都必须位于该名称空间内。限制适用于主题可分辨名称和主题备用名称。

未强制实施

  • 证书政策。证书政策规定了 CA 颁发证书的条件。

  • 禁止任何政策。用于颁发给的证书CAs。

  • 发行人备用名称。允许将其他身份与 CA 证书的颁发者相关联。

  • 政策限制。这些约束限制 CA 颁发从属 CA 证书的能力。

  • 策略映射。用于 CA 证书。列出一对或多对 OIDs;每对包括 a issuerDomainPolicy 和 a subjectDomainPolicy。

  • 主题目录属性。用于传达拍摄对象的识别属性。

  • 主题信息访问。如何访问包含扩展程序的证书主体的信息和服务。

  • 主题密钥标识符 (SKI)授权密钥标识符 (AKI)。RFC 需要 CA 证书才能包含 SKI 扩展。CA 颁发的证书必须包含与 CA 证书的 SKI 匹配的 AKI 扩展名。 AWS 不强制执行这些要求。如果您的 CA 证书不包含 SKI,则颁发的终端实体或从属 CA 证书 AKI 将改为颁发者公有密钥的 SHA-1 哈希。

  • SubjectPublicKeyInfo主题备用名称 (SAN)。颁发证书时,无需执行验证,即可从提供的 CSR 中 AWS 私有 CA 复制 SubjectPublicKeyInfo 和 SAN 扩展。

的定价 AWS Private Certificate Authority

从您创建私有 CA 的时间开始,每月将为每个私有 CA 向您的账户收取费用。您还需要为您颁发的每个证书付费。此费用包括您从 ACM 导出的证书以及通过 AWS 私有 CA API 或 AWS 私有 CA CLI 创建的证书。删除私有 CA 后,您无需再为其付费。但是,如果您还原私有 CA,则需支付删除到还原期间内的费用。您无法访问其私有密钥的私有证书是免费的。其中包括用于集成服务(例如 Elastic Load Balancing 和 API Gateway)的证书。 CloudFront

有关最新的定 AWS 私有 CA 价信息,请参阅AWS Private Certificate Authority 定价。您也可以使用定 AWS 价计算器来估算成本。