本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 私有 CA 最佳實務
最佳實務是可協助您 AWS 私有 CA 有效使用的建議。下列最佳實務是以目前 AWS Certificate Manager 和 AWS 私有 CA 客戶的真實體驗為基礎。
記錄 CA 結構和政策
AWS 建議記錄您操作 CA 的所有政策和實務。這可能包括:
-
CA 結構決策的理由
-
顯示您CAs及其關係的圖表
-
CA 有效期間的政策
-
CA 繼承規劃
-
路徑長度政策
-
許可目錄
-
管理控制結構的說明
-
安全
您可以在兩個文件中擷取此資訊,稱為憑證政策 (CP) 和憑證實務陳述式 (CPS)。請參閱 RFC 3647
如果可能,將根 CA 的使用降至最低
一般而言,根 CA 應僅用於為中繼 發出憑證CAs。這可讓根 CA 在中間執行發出結束實體憑證的CAs每日任務時,不受傷害地存放。
不過,如果您組織的目前做法是直接從根 CA 發出最終實體憑證, AWS 私有 CA 可以支援此工作流程,同時改善安全性和操作控制。在此案例中發行終端實體憑證需要IAM許可政策,允許根 CA 使用終端實體憑證範本。如需IAM政策的相關資訊,請參閱 的身分和存取管理 (IAM) AWS Private Certificate Authority。
注意
此組態會施加限制,可能會導致操作挑戰。例如,如果您的根 CA 遭到洩露或遺失,您必須建立新的根 CA,並將其分配到您環境中所有的用戶端。在完成此復原程序前,您將無法發行新的憑證。直接從根 CA 發行憑證也會讓您無法限制存取及限制從您根發行的憑證數,即使這兩種皆是管理根 CA 的最佳實務。
將自己的根 CA 提供給 。 AWS 帳戶
在兩個不同 AWS 帳戶中建立根 CA 和下級 CA 是建議的最佳實務。如此可以為您提供額外的保護,以及您根 CA 的存取控制。您可以從一個帳戶中CSR的下級 CA 匯出 ,並使用不同帳戶中的根 CA 簽署 ,藉此執行此操作。這種方法的好處是您可以CAs依帳戶分開控制您的 。缺點是您無法使用 AWS Management Console 精靈簡化從根 CA 簽署下級 CA 的 CA 憑證的程序。
重要
我們強烈建議您隨時存取 時使用多重要素驗證 (MFA) AWS 私有 CA。
分開管理員和發行者角色
CA 管理員角色應與僅需要發出最終實體憑證的使用者分開。如果您的 CA 管理員和憑證發行者位於相同的 中 AWS 帳戶,您可以透過為該目的建立IAM使用者來限制發行者許可。
實作憑證的受管撤銷
受管撤銷會在憑證遭到撤銷時,自動向憑證用戶端提供通知。如果憑證的密碼編譯資訊遭到洩露或錯誤發出,您可能需要撤銷憑證。用戶端通常會拒絕接受已撤銷的憑證。 AWS 私有 CA 提供兩個標準選項,用於受管撤銷:線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單 (CRLs)。如需詳細資訊,請參閱規劃您的 AWS Private CA 憑證撤銷方法。
開啟 AWS CloudTrail
在建立和開始操作私有 CA 之前,請開啟 CloudTrail 記錄。使用 CloudTrail,您可以擷取帳戶的呼叫歷史記錄 AWS API,以監控您的 AWS 部署。此歷史記錄包含從 AWS Management Console、 AWS SDKs、 AWS Command Line Interface和更高層級 AWS 服務進行的API呼叫。您也可以識別稱為 PCA API 操作的使用者和帳戶、進行呼叫的來源 IP 地址,以及呼叫的時間。您可以使用 整合 CloudTrail 到應用程式API、自動化組織追蹤建立、檢查追蹤狀態,並控制管理員如何開啟和關閉 CloudTrail 記錄。如需詳細資訊,請參閱建立追蹤記錄。前往 使用 記錄 AWS Private Certificate Authority API通話 AWS CloudTrail 查看 AWS 私有 CA 操作的範例追蹤。
輪換 CA 私有金鑰
這是為您的私有 CA 定期更新私密金鑰的最佳實務。您可以透過匯入新的 CA 憑證,或是將私有 CA 取代為新的 CA,來更新金鑰。
注意
如果您取代 CA 本身,請注意 CA ARN的 會變更。這會導致自動化依賴硬式編碼ARN失敗。
刪除未使用的 CAs
您可以永久刪除私有 CA。如果您不再需要 CA,或想要以具有較新私密金鑰的 CA 取代現有 CA,可執行此動作。若要安全刪除 CA,我們建議您依照 刪除您的私有 CA 中所述的流程操作。
注意
AWS 會向您收取 CA 的費用,直到刪除為止。
封鎖對 的公開存取 CRLs
AWS 私有 CA 建議在包含 的儲存貯體上使用 Amazon S3 Block Public Access (BPA) 功能CRLs。這可避免不必要地將私有的詳細資訊暴露PKI給潛在的對手。BPA 是 S3 最佳實務,並預設在新儲存貯體上啟用。在某些情況下需要額外設定。如需詳細資訊,請參閱使用 啟用 S3 Block Public Access (BPA) CloudFront。
Amazon EKS 應用程式最佳實務
使用 AWS 私有 CA 以 EKS X.509 憑證佈建 Amazon 時,請遵循 Amazon EKS 最佳實務指南