发布于: Sep 3, 2021
AWS Certificate Manager(ACM)Private Certificate Authority(CA)宣布推出用于分发证书吊销信息的在线证书状态协议(OCSP)。在建立加密的 TLS 连接时,端点可以使用 OCSP 近乎实时地查询证书是否已被吊销。从而提醒端点不应信任该证书。此功能提供了一个完全托管式 OCSP 解决方案,用于通知端点证书已被吊销,而无需自己管理或操作基础设施。
此前,ACM Private CA 客户可使用 CRL 检查 ACM Private CA 所颁发证书的吊销状态或构建和管理自己的 OCSP。CRL 不适合存储有限的端点,引入额外的计算处理来访问和解析,会显得不合时宜,因为客户通常每天或以低于每天的频率下载 CRL。构建和运营 OCSP 回复程序需要客户执行自定义开发、处理标准维护并在 OCSP 出现故障时响应紧急事件。
Private CA 现在提供完全托管式 OCSP。客户可以通过控制台、CloudFormation、API 或命令行通过单个操作启用 OCSP,而无需开发或部署新的或现有的 CA。借助 Private CA 的 OCSP,客户可以部署任何 TLS 端点都可以直接查询吊销状态的证书,将存储和处理要求转移到 OCSP 回复程序并解决陈旧状态问题。颁发证书的客户现在可以选择 OCSP、证书吊销列表(CRL)或同时选择两者来分发其私有证书的吊销信息。
Private CA 为您提供高度可用的私有证书颁发机构服务,无需前期投资,也不会产生自己运行私有证书颁发机构所需的持续维护费用。CA 管理员可以使用 Private CA 创建完整的证书颁发机构层次结构,包括在线根 CA 和从属 CA,无需外部 CA。借助 Private CA,您可以使用安全、随用即付的托管式私有 CA 服务,一站式为您的资源创建和管理私有证书。OCSP 功能是 Private CA 的一个附加选项。可以在公有 ACM Private CA 定价页面上找到 OCSP 功能的定价。
要开始使用 Private CA,请访问入门页面。