選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

什麼是 AWS 私有 CA?

PDF
RSS
焦點模式
什麼是 AWS 私有 CA? - AWS Private Certificate Authority
區域可用性整合服務支援的演算法RFC 5280 合規定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 私有 CA 可建立私有憑證授權機構 (CA) 階層,包括根 CA 和次級 CAs,而無須投入和維護操作內部部署 CA 的成本。您的私有 CA 可以發行終端實體 X.509 憑證,在下列案例中很實用:

  • 建立加密的 TLS 通訊通道

  • 對使用者、電腦、API 端點和 IoT 裝置進行身分驗證

  • 透過加密技術簽署程式碼

  • 實作線上憑證狀態通訊協定 (OCSP) 以取得憑證撤銷狀態

AWS 私有 CA 操作可從 AWS Management Console、使用 AWS 私有 CA API 或使用 存取 AWS CLI。

主題

的區域可用性 AWS Private Certificate Authority

如同大多數 AWS 資源,私有憑證授權單位 (CAs是區域資源。若要在多個區域使用私有 CA,您必須在這些區域建立 CA。您無法在區域間複製私有 CA。請造訪 AWS 中的區域和端點AWS 一般參考AWS 區域資料表,以查看 的區域可用性 AWS 私有 CA。

注意

ACM 目前可在部分區域使用, AWS 私有 CA 但不適用於 。

與 整合的服務 AWS Private Certificate Authority

如果您使用 AWS Certificate Manager 請求私有憑證,您可以將該憑證與任何與 ACM 整合的服務建立關聯。這同時適用於鏈結至 AWS 私有 CA 根的憑證,以及鏈結至外部根的憑證。如需詳細資訊,請參閱 AWS Certificate Manager 《 使用者指南》中的整合式服務

您也可以將私有 CAs 整合到 Amazon Elastic Kubernetes Service,以在 Kubernetes 叢集內提供憑證發行。如需詳細資訊,請參閱使用 保護 Kubernetes AWS 私有 CA

注意

Amazon Elastic Kubernetes Service 不是 ACM 整合服務。

如果您使用 AWS 私有 CA API 或 AWS CLI 來發行憑證,或從 ACM 匯出私有憑證,您可以隨心所欲地安裝憑證。

中的支援密碼編譯演算法 AWS Private Certificate Authority

AWS 私有 CA 支援下列密碼編譯演算法,以產生私有金鑰和簽署憑證。

支援的演算法
私有金鑰演算法 簽署演算法

RSA_2048

RSA_3072

RSA_4096

EC_prime256v1

EC_secp384r1

EC_secp521r1

SM2 (僅限中國區域)

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SM3WITHSM2

此清單僅適用於 AWS 私有 CA 直接透過其主控台、API 或命令列發行的憑證。當 從 使用 CA AWS Certificate Manager 發行憑證時 AWS 私有 CA,它支援部分但並非所有的演算法。如需詳細資訊,請參閱 AWS Certificate Manager 《 使用者指南》中的請求私有憑證

注意

在所有情況下,指定的簽署演算法系列 (RSA 或 ECDSA) 都必須符合 CA 私有金鑰的演算法系列。

中的 RFC 5280 合規 AWS Private Certificate Authority

AWS 私有 CA 不會強制執行 RFC 5280 中定義的某些限制條件。相反的情況也是如此:適用於私有 CA 的某些額外限制會強制執行。

強制執行

  • 不在日期後。為了符合 RFC 5280 的規範,在發行 CA 憑證的 Not After 日期後, AWS 私有 CA 會防止發行具有 Not After 的憑證。

  • 基本限制條件。 AWS 私有 CA 強制執行匯入 CA 憑證中的基本限制條件和路徑長度。

    基本限制條件會指出憑證所識別的資源是否為 CA 且可以發行憑證。匯入 AWS 私有 CA 的 CA 憑證必須包含基本限制延伸,且延伸必須標記為 critical。除了 critical旗標之外,CA=true還必須設定 。由於下列原因,驗證例外狀況失敗,以 AWS 私有 CA 強制執行基本限制條件:

    • 延伸不包含在 CA 憑證中。

    • 延伸未標記為 critical

    路徑長度 (pathLenConstraint) 會判斷在匯入 CAs可能有多少次級 CA。由於下列原因,驗證例外狀況失敗,因此 AWS 私有 CA 強制執行路徑長度:

    • 匯入 CA 憑證會違反 CA 憑證中 (或鏈結中的任何 CA 憑證中) 的路徑長度限制條件。

    • 發行憑證將違反路徑長度限制條件。

  • 名稱限制條件表示名稱空間,認證路徑中後續憑證中的所有主體名稱都必須位於其中。限制適用於主體辨別名稱和主體替代名稱。

未強制執行

  • 憑證政策。憑證政策會規範 CA 發行憑證的條件。

  • 抑制 anyPolicy。用於發行給 CAs憑證。

  • 發行者替代名稱。允許其他身分與 CA 憑證的發行者相關聯。

  • 政策限制。這些限制條件會限制 CA 發行次級 CA 憑證的容量。

  • 政策映射。用於 CA 憑證。列出一或多個 OIDs 對;每一對都包含一個 issuerDomainPolicy 和一個 subjectDomainPolicy。

  • 主旨目錄屬性。用來傳達主體的識別屬性。

  • 主體資訊存取。如何存取延伸項目出現之憑證主體的資訊和服務。

  • 主體金鑰識別符 (SKI)授權機構金鑰識別符 (AKI)。RFC 需要 CA 憑證,才能包含 SKI 延伸。CA 發行的憑證必須包含符合 CA 憑證 SKI 的 AKI 延伸模組。 AWS 不會強制執行這些要求。如果您的 CA 憑證不包含 SKI,則發行的終端實體或次級 CA 憑證 AKI,將會改為發行者公有金鑰的 SHA-1 雜湊。

  • SubjectPublicKeyInfo主體替代名稱 (SAN)。發行憑證時, AWS 私有 CA 會從提供的 CSR 複製 SubjectPublicKeyInfo 和 SAN 延伸,而不會執行驗證。

的定價 AWS Private Certificate Authority

從您帳戶的建立時間開始,會針對每個私有 CA 每月向您收取費用。也會向您收取您發行的每個憑證費用。此費用包含您從 ACM 匯出的憑證,以及您從 AWS 私有 CA API 或 CLI AWS 私有 CA 建立的憑證。私有 CA 刪除後,您不需付費。不過,如果您還原私有 CA,您需支付刪除到還原這段期間的費用。您無權存取其私密金鑰的私有憑證是免費的。其中包括與 Elastic Load Balancing、CloudFront 和 API Gateway 等整合式服務搭配使用的憑證。

如需最新的 AWS 私有 CA 定價資訊,請參閱 AWS Private Certificate Authority 定價。您也可以使用AWS 定價計算器來估計成本。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。