本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
私有憑證 AWS Certificate Manager
如果您可以存取由建立的現有私有 CA AWS 私有 CA, AWS Certificate Manager (ACM) 可以要求適合在私密金鑰基礎結構中使用的憑證 (PKI)。CA 可能位於您的帳戶中,或透過其他帳戶與您共用。如需建立私有 CA 的相關資訊,請參閱建立私有憑證授權機構。
根據預設,私有 CA 簽署的憑證不受信任,也ACM不支援任何形式的驗證。因此,管理員必須採取行動,將其安裝至組織的用戶端信任存放區。
私有ACM憑證遵循 X.509 標準,並受到下列限制:
-
名稱:您必須使用DNS符合規範的主旨名稱。如需詳細資訊,請參閱網域名稱。
-
演算法:對於加密,憑證私密金鑰演算法必須是 2048 位元RSA、256 位元或 384 位ECDSA元。ECDSA
注意
指定的簽章演算法系列 (RSA或ECDSA) 必須符合 CA 秘密金鑰的演算法系列。
-
有效期限:每個憑證的有效期限皆為 13 個月 (395 天)。簽署 CA 憑證的結束日期必須超過所請求憑證的結束日期,否則憑證請求將會失敗。
-
續約:ACM嘗試在 11 個月後自動續訂私有憑證。
用來簽署終端實體憑證的私有 CA 必須遵守其本身的限制:
-
CA 必須處於作用中狀態。
-
CA 私密金鑰演算法必須是 RSA 2048 或 RSA 4096。
注意
與公開信任的憑證不同,私有 CA 簽署的憑證不需要驗證。
