发布于: Oct 29, 2019

AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 现已在导入的 CA 证书中实施名称约束。名称约束在 Internet 公钥基础设施 (PKI) 标准 RFC 5280 中定义,并为 CA 管理员提供了一种方法来限制证书中的主题名称。

管理员现在可以控制在其私人 CA 发布的证书中允许或禁止使用哪些名称。客户使用私有 CA 颁发证书,以标识其组织内的资源,例如,具有 api-example.corp 之类名称的 API 终端节点,或诸如 server1.project1.corp 之类的服务器名称。管理员可以允许使用他们想要使用的名称,例如 project1.corp,并拒绝某些名称,包括公共 DNS 域名(例如 example.com 或 *.com)或保留给其他内部项目的私有域名(例如 project2.corp)。有了这些名称限制策略,CA 管理员可以确保其 CA 用于仅为批准的资源名称颁发私有证书。要了解有关名称约束的更多信息,请参阅 ACM 私有 CA 文档

有关可使用 ACM 私有 CA 的区域列表,请参阅 AWS 区域和终端节点。 

要开始使用,第一次使用 ACM 私有 CA 的客户可以免费试用该服务 30 天,以运行他们的第一个 CA。要了解有关 ACM 私有 CA 的更多信息,请访问 ACM 私有 CA 网站。