发布于: Jan 19, 2021
AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 现在支持用于发布 CA 和端点实体证书的其他自定义选项,以满足其他使用案例的要求,诸如身份证书(包括智能卡证书)。现在,客户除了可以将证书属性包含在证书注册请求 (CSR) 中,还可以在发布时通过 API 调用包含证书属性。此外,通过该新版本,客户可以配置证书的开始日期和时间,以解决时钟偏差和 IoT 或其他设备会在断电时重置为特定日期的其他情况。
ACM 私有 CA 为您提供高度可用的私有 CA 服务,而无需前期投资和操作私有 CA 所需的持续维护费用。在此版本中,客户现在可以通过证书注册请求 (CSR)(请求发布证书时传递给 CA 的信息)来传递任何 X.509v3 证书扩展项,或者在发出证书请求时使用 API 来提供。这让 CA 管理员能够添加要包含在证书中的信息,因为这些信息不包含在证书请求中。例如,CA 管理员可以按编程的方式将主题信息添加到请求证书的客户端无法访问的证书中,诸如来自企业目录的作业或角色信息。客户现在可以通过这种方式配置端点实体证书和从属 CA 证书。例如,客户现在可以将自定义值从 API 或 CSR 传递到已颁发的证书以进行智能卡登录,或配置证书的开始日期和时间以解决时钟偏差。客户还可以使用 API 从 Active Directory (AD) 中存储的信息提供某些扩展值。借助第三方代理连接 AD 和私有 CA,客户可以通过 autoenrollment 将这些私有证书与 Active Directory 和连接 AD 的设备一起使用。
请访问 ACM 私有 CA 文档,以了解有关这些新方法的更多信息。
有关可使用 ACM 私有 CA 的区域列表,请参阅 AWS 区域和终端节点。