什麼是 AWS 私有 CA? - AWS Private Certificate Authority
區域可用性整合服務支援的演算法RFC符合法規要求定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS 私有 CA?

AWS 私有 CA 可讓您建立私有憑證授權單位 (CA) 階層,包括根和從屬階層CAs,而不會產生操作內部部署 CA 所產生的投資和維護成本。您的私人CAs可以發行終端實體 X.509 憑證,適用於以下案例:

  • 建立加密TLS通訊管道

  • 驗證使用者、電腦、API端點和 IoT 裝置

  • 透過加密技術簽署程式碼

  • 實作線上憑證狀態通訊協定 (OCSP) 以取得憑證撤銷狀態

AWS 私有 CA 作業可從存取 AWS Management Console、使用 AWS 私有 CA API或使用 AWS CLI。

主題

區域可用性 AWS Private Certificate Authority

與大多數 AWS 資源一樣,私有憑證授權單位 (CAs) 是區域資源。若要CAs在多個區域中使用 private,您必須CAs在這些區域中建立您的。您無法CAs在區域之間複製私人資料。請瀏覽AWS AWS 一般參考AWS 區域表中的區域和端點,以查看的區域可用性 AWS 私有 CA。

注意

ACM目前在某些不適用的地區 AWS 私有 CA 提供。

服務整合 AWS Private Certificate Authority

如果您使用 AWS Certificate Manager 要求私人憑證,您可以將該憑證與任何整合的服務產生關聯ACM。這適用於鏈結至 AWS 私有 CA 根憑證以及鏈結至外部根的憑證。如需詳細資訊,請參閱 AWS Certificate Manager 使用指南中的整合式服務

您也可以CAs將私有資料整合至 Amazon Elastic Kubernetes Service,以便在 Kubernetes 叢集內提供憑證簽發。如需詳細資訊,請參閱使用 保護 Kubernetes AWS 私有 CA

注意

Amazon Elastic Kubernetes Service 不是一ACM項集成服務。

如果您使用 AWS 私有 CA API或 AWS CLI 來發行憑證或匯出私人憑證ACM,您可以在任何您想要的位置安裝憑證。

支援的加密演算法 AWS Private Certificate Authority

AWS 私有 CA 支援下列密碼編譯演算法,用於產生私密金鑰和憑證簽章。

支持的算法
私密金鑰演算法 簽署演算法

RSA_2048

RSA_4096

普里梅 256v1

EC_SEP384R1

SM2(僅限中國地區)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

此清單僅適用於 AWS 私有 CA 透過其主控台、API或命令列直接發行的憑證。使用 CA 發行憑證時 AWS Certificate Manager AWS 私有 CA,它支援部分 (但不是全部) 演算法。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的要求私人憑證

注意

在所有情況下,指定的簽章演算法系列 (RSA或ECDSA) 都必須符合 CA 私密金鑰的演算法系列。

RFC符合歐盟標準 AWS Private Certificate Authority

AWS 私有 CA 不會強制執行 RFC5280 中定義的某些限制。相反的情況也是如此:適用於私有 CA 的某些額外限制會強制執行。

強制執行

  • 不在日期後。符合 RFC5280, AWS 私有 CA 可防止簽發Not After日期晚於核發 CA 憑證Not After日期的憑證。

  • 基本限制。 AWS 私有 CA 在匯入的 CA 憑證中強制執行基本限制和路徑長度。

    基本限制條件會指出憑證所識別的資源是否為 CA 且可以發行憑證。匯入 AWS 私有 CA 的 CA 憑證必須包含基本限制延伸,且延伸必須標記為 critical。除了critical標誌之外,還CA=true必須設置。 AWS 私有 CA 由於下列原因,驗證例外狀況失敗,強制執行基本限制:

    • 延伸不包含在 CA 憑證中。

    • 延伸未標記為 critical

    路徑長度 (pathLenConstraint) 決定從匯入的 CA 憑證下游CAs可能存在多少從屬項目。 AWS 私有 CA 由於以下原因,驗證異常失敗來強制執行路徑長度:

    • 匯入 CA 憑證會違反 CA 憑證中 (或鏈結中的任何 CA 憑證中) 的路徑長度限制條件。

    • 發行憑證將違反路徑長度限制條件。

  • 名稱限制表示名稱空間,必須在其中找到憑證路徑中後續憑證中的所有主體名稱。限制適用於主體辨別名稱和主體替代名稱。

未強制執行

  • 憑證原則。憑證原則會規範 CA 發行憑證的條件。

  • 抑制anyPolicy。用於發行給的憑證CAs。

  • 發行人替代名稱。允許其他身分與 CA 憑證的簽發者相關聯。

  • 策略限制。這些限制條件會限制 CA 發行次級 CA 憑證的容量。

  • 策略對應。用於 CA 憑證。列出一或多對OIDs;每對都包含 issuerDomainPolicy 和subjectDomainPolicy。

  • 主旨目錄屬性。用於傳達主體的識別屬性。

  • 主旨資訊存取。如何存取出現延伸功能之憑證主旨的資訊和服務。

  • 主旨金鑰識別碼 (SKI)授權金鑰識別碼 (AKI)。RFC需要 CA 憑證才能包含SKI擴充功能。CA 發行的憑證必須包含與 CA 憑證相符的AKI副檔名SKI。 AWS 不會強制執行這些要求。如果您的 CA 證書不包含SKI,則發行的最終實體或從屬 CA 證書AKI將是發行者公鑰的 SHA -1 哈希值。

  • SubjectPublicKeyInfo主旨別名 (SAN)。發行憑證時, AWS 私有 CA 複製提供的 SubjectPublicKeyInfo 和SAN擴充功能,CSR而不執行驗證。

定價 AWS Private Certificate Authority

從您帳戶的建立時間開始,會針對每個私有 CA 每月向您收取費用。也會向您收取您發行的每個憑證費用。此費用包括您從中匯出的憑證以ACM及您從 AWS 私有 CA API或建立的憑證 AWS 私有 CA CLI。私有 CA 刪除後,您不需付費。不過,如果您還原私有 CA,您需支付刪除到還原這段期間的費用。您無權存取其私密金鑰的私有憑證是免費的。其中包括與整合式服務 (例如 Elastic Load Balancing 和API閘道) 搭配使用的憑證。 CloudFront

如需最新 AWS 私有 CA 定價資訊,請參閱AWS Private Certificate Authority 定價。您也可以使用定AWS 價計算器來估算成本。