使用 AWS CloudHSM將 Windows Server 設定為憑證授權單位 (CA)

在公有金鑰基礎設施 (PKI) 中，憑證授權單位 (CA) 是發行數位憑證的受信任實體。這些數位憑證透過公有金鑰加密和數位簽章，將公有金鑰繫結至身分識別 (個人或組織)。若要操作 CA，您必須保護簽署 CA 所發行憑證的私有金鑰，以維護信任。您可以將私有金鑰儲存在 AWS CloudHSM 叢集中的 HSM 中，並使用 HSM 執行密碼編譯簽署作業。

在本教學課程中，您 AWS CloudHSM 將使用 Windows 伺服器並設定 CA。您會在 Windows 伺服器上安裝適用於 Windows 的 AWS CloudHSM 用戶端軟體，然後將 Active Directory Certificate Services (AD CS) 角色新增到您的 Windows Server。設定此角色時，您可以使用 AWS CloudHSM 金鑰儲存區提供者 (KSP) 在 AWS CloudHSM 叢集上建立並儲存 CA 的私密金鑰。KSP 是將 Windows 伺服器連接到 AWS CloudHSM 叢集的橋接器。在最後一個步驟，您會使用 Windows Server CA 來簽署憑證簽署要求 (CSR)。

如需詳細資訊，請參閱下列主題：