本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS 私有 CA?
AWS 私有 CA 允许创建私有证书颁发机构 (CA) 层次结构,包括根和下级结构 CAs,而无需运营本地 CA 的投资和维护成本。您的私有 CAs 可以颁发终端实体 X.509 证书,这些证书在以下场景中很有用:
+ 创建加密的 TLS 通信通道
+ 对用户、计算机、API 终端节点和 IoT 设备进行身份验证
+ 加密签名代码
+ 实施在线证书状态协议 (OCSP) 以获取证书吊销状态
AWS 私有 CA 可以从 AWS 管理控制台、使用 AWS 私有 CA API 或使用 AWS CLI。
**Topics**
+ [的地区可用性 AWS 私有证书颁发机构](#PcaRegions)
+ [与之集成的服务 AWS 私有证书颁发机构](#PcaIntegratedServices)
+ [中支持的加密算法 AWS 私有证书颁发机构](#supported-algorithms)
+ [符合 RFC 5280 的要求 AWS 私有证书颁发机构](#RFC-compliance)
+ [的定价 AWS 私有证书颁发机构](#PcaPricing)
+ [的术语和概念 AWS 私有 CA](PcaTerms.md)
## 的地区可用性 AWS 私有证书颁发机构
与大多数 AWS 资源一样,私有证书颁发机构 (CAs) 是区域资源。要 CAs 在多个区域中使用私有功能,您必须在这些区域 CAs 中创建您的。您不能在区域 CAs 之间复制私有内容。访问 *AWS 一般参考* 中的 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region)或 [AWS 区域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)以查看 AWS 私有 CA的区域可用性。
**注意**
ACM 目前在某些地区可用, AWS 私有 CA 但尚未提供。
## 与之集成的服务 AWS 私有证书颁发机构
如果您使用 AWS Certificate Manager 请求私有证书,则可以将该证书与任何与 ACM 集成的服务相关联。这既适用于链接到 AWS 私有 CA 根的证书,也适用于链接到外部根的证书。有关更多信息,请参阅《 AWS Certificate Manager 用户指南》中的[集成服务](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)。
您还可以将私有 CAs 集成到亚马逊 Elastic Kubernetes Service 中,以便在 Kubernetes 集群内提供证书颁发服务。有关更多信息,请参阅 [使用 Kubernetes 保护 AWS 私有证书颁发机构](PcaKubernetes.md)。
**注意**
Amazon Elastic Kubernetes Service 并非 ACM 集成服务。
如果您使用 AWS 私有 CA API 或 AWS CLI 颁发证书或从 ACM 导出私有证书,则可以将证书安装在所需的任何地方。
## 中支持的加密算法 AWS 私有证书颁发机构
AWS 私有 CA 支持以下用于私钥生成和证书签名的加密算法。
**支持的算法**
| 私有密钥算法 | 签名算法 |
| --- | --- |
| ML\$1DSA\$144 ML\$1DSA\$165 ML\$1DSA\$187 RSA\$12048 RSA\$13072 RSA\$14096 EC\$1prime256v1 EC\$1secp384r1 ec\$1secp521r1 SM2 (仅限中国地区) | ML\$1DSA\$144ML\$1DSA\$165ML\$1DSA\$187 SHA256WITHRSASHA384WITHRSASHA512WITHRSASHA256WITHECDSA SHA384WITHECDSASHA512WITHECDSASM3WITHSM2 |
此列表仅适用于 AWS 私有 CA 通过其控制台、API 或命令行直接颁发的证书。当使用来自的 CA AWS Certificate Manager 颁发证书时 AWS 私有 CA,它支持部分但不是全部算法。有关更多信息,请参阅 AWS Certificate Manager 用户指南中的[申请私有证书](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)。
**注意**
对于 RSA 或 ECDSA,指定的签名算法系列必须与 CA 私钥的密钥算法系列相匹配。
对于 ML-DSA,哈希函数被定义为算法本身的一部分。无法使用 ML-DSA 选择不同的哈希函数。为了保持与的向后兼容性 APIs,密钥算法和签名算法使用相同的值。
## 符合 RFC 5280 的要求 AWS 私有证书颁发机构
AWS 私有 CA 不强制执行 [RFC 528](https://datatracker.ietf.org/doc/html/rfc5280) 0 中定义的某些限制。相反的情况也是如此:强制实施某些适用于私有 CA 的附加约束。
**强制实施**
+ [“不迟于”日期](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5)。根据 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), AWS 私有 CA 防止颁发 `Not After` 日期晚于颁发 CA 证书的 `Not After` 日期的证书。
+ [基本限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9)。 AWS 私有 CA 在导入的 CA 证书中强制执行基本限制和路径长度。
基本约束指示证书所标识的资源是否为 CA 并可以颁发证书。导入到 AWS 私有 CA 的 CA 证书必须包含基本约束扩展,并且该扩展必须标记为 `critical`。除了`critical`旗帜外,还`CA=true`必须设置。 AWS 私有 CA 由于以下原因而失败并出现验证异常,从而强制执行基本约束:
+ CA 证书中不包含该扩展。
+ 该扩展未标记为 `critical`。
路径长度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)) 决定了导入的 CA 证书的下游 CAs 可能存在多少从属证书。 AWS 私有 CA 由于以下原因,由于验证异常而失败,从而强制执行路径长度:
+ 导入 CA 证书将违反 CA 证书或链中任何 CA 证书中的路径长度约束。
+ 颁发证书将违反路径长度约束。
+ [名称限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10)表示一个命名空间,认证路径中后续证书中的所有使用者名称都必须位于该命名空间内。限制适用于主题可分辨名称和主题备用名称。
**未强制实施**
+ [证书政策](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4)。证书政策规定了 CA 颁发证书的条件。
+ [禁止任何政策](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14)。用于颁发给的证书CAs。
+ [发行人备用名称](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7)。允许将其他身份与 CA 证书的颁发者相关联。
+ [政策限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11)。这些约束限制 CA 颁发从属 CA 证书的能力。
+ [策略映射](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5)。用于 CA 证书。列出一对或多对 OIDs;每对包括 a issuerDomainPolicy 和 a subjectDomainPolicy。
+ [主题目录属性](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8)。用于传达拍摄对象的识别属性。
+ [主题信息访问](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2)。如何访问包含扩展程序的证书主体的信息和服务。
+ [主题密钥标识符 (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) 和[授权密钥标识符 (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1)。RFC 需要 CA 证书才能包含 SKI 扩展。CA 颁发的证书必须包含与 CA 证书的 SKI 匹配的 AKI 扩展名。 AWS 不强制执行这些要求。如果您的 CA 证书不包含 SKI,则颁发的终端实体或从属 CA 证书 AKI 将改为颁发者公有密钥的 SHA-1 哈希。
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)和[主题备用名称 (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6)。颁发证书时,无需执行验证,即可从提供的 CSR 中 AWS 私有 CA 复制 SubjectPublicKeyInfo 和 SAN 扩展。
## 的定价 AWS 私有证书颁发机构
从您创建私有 CA 的时间开始,每月将为每个私有 CA 向您的账户收取费用。您还需要为您颁发的每个证书付费。此费用包括您从 ACM 导出的证书和通过 AWS 私有 CA API 或 AWS 私有 CA CLI 创建的证书。删除私有 CA 后,您无需再为其付费。但是,如果您还原私有 CA,则需支付删除到还原期间内的费用。您无法访问其私有密钥的私有证书是免费的。其中包括用于[集成服务](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)(例如 Elastic Load Balancing 和 API Gateway)的证书。 CloudFront
有关最新的定 AWS 私有 CA 价信息,请参阅[AWS 私有证书颁发机构 定价](https://aws.amazon.com/private-ca/pricing/)。您也可以使用定 [AWS 价计算器](https://calculator.aws/#/createCalculator/certificateManager)来估算成本。