发布于: Jul 15, 2021
ACM Private Certificate Authority (CA) 现在支持开源的 cert-manager 插件,从而为 Kubernetes 容器提供更安全的证书颁发机构解决方案。cert-manager 是 Kubernetes 中广泛使用的 TLS 证书管理解决方案。如果客户使用 cert-manager 进行应用程序证书生命周期管理,现在可以使用此解决方案来通过默认的 cert-manager CA 提高安全性,后者以明文方式在服务器内存中存储密钥。如果客户需要遵守有关控制其 CA 操作的访问权限并进行审计的监管要求,则可以使用此解决方案提高可审计性并支持合规。
Kubernetes 容器和应用程序使用数字证书来通过 TLS 提供安全的身份验证和加密。cert-manager 插件将从 Private CA 请求 TLS 证书,Private CA 是一种高度可用、可审计和托管式的证书颁发机构,使用通过 FIPS 验证的硬件安全模块(HSM)来保护 CA 密钥。此集成支持通过多种配置进行 TLS 证书自动化,包括入口处、Pod 上以及 Pod 之间的相互 TLS 证书自动化。您可以将 AWS Private CA 发布者插件与 Amazon Elastic Kubernetes Service 结合使用,后者是 AWS 上的一种自助管理式 Kubernetes。此外还可以将其与本地部署的 Kubernetes 结合使用。
要了解此插件的更多信息,以及查看有关如何进行配置的详细分步说明,请参阅此博客:TLS-enabled Kubernetes clusters with ACM Private CA and Amazon EKS。您可以从 GitHub 获取此插件。
Private CA 为您提供高度可用的私有证书颁发机构服务,无需前期投资,也不会产生自己运行私有证书颁发机构所需的持续维护费用。CA 管理员可以使用 Private CA 创建完整的证书颁发机构层次结构,包括在线根 CA 和从属 CA,无需外部 CA。借助 Private CA,您可以使用安全、随用即付的托管式私有 CA 服务,一站式为您的资源创建和管理私有证书。
cert-manager 是一个 Kubernetes 插件,用于提供 TLS 证书管理功能。cert-manager 会请求证书、将证书分发到 Kubernetes 容器并自动执行证书续订。cert-manager 可确保证书保持有效和更新,并在到期之前的恰当时间尝试续订证书。
有关可使用 Private CA 的区域列表,请参阅 AWS 区域和终端节点。
要开始使用 Private CA,请访问入门页面。