ACM 私有 CA 为您提供高度可用的私有 CA 服务,而无需前期投资和操作私有 CA 所需的持续维护费用。AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 是一项私有 CA 服务,可将 ACM 的证书管理功能同时扩展到公有证书和私有证书。 通过为开发人员提供 API,ACM 私有 CA 允许他们以编程方式更敏捷地创建和部署私有证书。您也可以针对需要自定义证书生命周期或资源名称的应用程序,灵活创建私有证书。借助 ACM 私有 CA,您可以使用安全、按需支付的托管私有 CA 服务集中为您的关联资源创建和管理私有证书。
CA 管理员可以使用 ACM 私有 CA 创建完整的 CA 层次结构,包括在线根 CA 和从属 CA,无需外部 CA。ACM 私有 CA 还允许具有离线和在线 CA 的混合层次结构。CA 层次结构为信任链顶部最可信的的 root CA 提供强大的安全和限制访问控制,同时允许对信任链较下层的从属 CA 进行更宽松的访问和批量证书颁发。您可以创建安全且高度可用的 CA,无需构建和维护您自己的本地 CA 基础设施。 您可以在 AWS 账户或组织之间共享 CA,以便通过 ACM 或直接从 CA 颁发证书,从而实现 CA 集中管理。这样可减少您需要管理和付费购买的 CA 数量,并允许将 CA 管理职责与证书颁发分开。
优势
安全和托管的私有证书颁发机构
ACM 私有 CA 为您提供一种更简单、更安全的方式来创建私有 CA,并使用它来创建和管理您的私有证书。ACM 私有 CA 使用 AWS 托管的硬件安全模块 (HSM) 提供安全保护。这些 HSM 遵循 FIPS 140-2 安全标准,可安全地存储私有 CA 的密钥。私有 CA 管理员可以使用 AWS Identity and Access Management (IAM) 策略控制对服务的访问。您可以使用 AWS Resource Access Manager (RAM) 共享 CA,仅用于颁发证书,从而仅限管理员开展 CA 管理工作。通过 ACM 私有 CA,您可以了解私有证书的活动,同时还可以创建相关报告。您可以使用 AWS CloudTrail 日志记录和监控服务审核私有 CA 活动。ACM 私有 CA 还会自动向 Amazon S3 发布和更新证书撤销列表 (CRL),以防用户使用撤销的证书。例如,IoT 应用程序可以在接受来自传感器的数据之前检查该传感器的私有证书是否有效。
集中管理证书颁发机构
完整的 CA 层次结构
ACM 私有 CA 可使 CA 管理员创建灵活的 CA 层次结构,包括根 CA 和从属 CA,无需外部 CA。客户可以在提供 ACM 私有 CA 的任何 AWS 区域创建安全、高度可用的 CA,无需构建和维持其自己的本地 CA 基础设施。或者,可以在结合在线和本地 CA 的混合模式下构建 CA 层次结构。除了简单的管理之外,ACM 私有 CA 还为根据客户内部合规性规则和安全最佳实践操作 CA 提供基本安全。
赋予开发人员敏捷性
ACM 私有 CA 为您提供敏捷性,只需几次 API 调用操作、几个 CLI 命令或通过 AWS CloudFormation 模板即可创建和部署证书。借助 ACM 私有 CA,CA 管理员可将私有证书的颁发权限委派给开发人员,允许他们从与其 AWS 账户共享的私有 CA 请求证书。您还可以为需要大量短期证书的使用案例自动创建证书。例如,您可以自动创建和部署证书,以在自动扩展环境中标识新的 EC2 实例和容器,或者对从 AWS Lambda 函数发送的事件通知消息进行验证。
灵活自定义私有证书
ACM 私有 CA 可用作独立服务(无需 ACM 证书管理)来创建和部署自定义私有证书,例如具有自定义资源名称或生命周期的证书。这种灵活性对于需要通过特定名称标识资源的使用案例(例如,通过序列号标识设备)或者当证书不能轻松轮换时(例如,在制造期间嵌入硬件设备中的证书)非常有用。
按需支付定价
与市场上现有的传统选项相比,ACM 私有 CA 更具成本效益。ACM 私有 CA 使您能够按月支付您创建和部署的服务和证书的费用。您使用的证书越多,支付的费用就越少。请单击此处,了解关于定价的详细信息。
功能
AWS 托管的证书颁发机构
ACM 私有 CA 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。ACM 私有 CA 可为高度可用的私有 CA 提供安全、配置、管理和监控功能。ACM 私有 CA 允许您在多种 CA 密钥算法和密钥大小中进行选择,包括 RSA 2048 或 4096 和 ECDSA P256 或 P384。ACM 还使您可以轻松地使用基于 API 的自动化在任何地方导出和部署私有证书。
集成证书生命周期管理
安全根 CA 和 CA 层次结构管理
ACM 私有 CA 层次结构为信任链顶部最可信的根 CA 提供强大的安全和限制访问控制,同时允许对信任链较下层的从属 CA 进行更宽松的访问和批量证书颁发。您可以控制谁可以创建新 CA 或使用 AWS Identity and Access Management (IAM) 策略将访问权限制给现有 CA。一个层次结构中的所有 ACM 私有 CA 都在 FIPS 140-2 级硬件中保护您的 CA 私有密钥。
保护受 HSM 支持的密钥存储(用于 CA 密钥)的安全
证书颁发机构用于签署证书的密钥是非常敏感的信息。ACM 私有 CA 使用 AWS 托管的硬件安全模块(也称为 HSM)来保护 CA 密钥的安全。这些 HSM 遵循 FIPS 140-2 安全标准,以帮助保护您的私有 CA 免受密钥损害。有关 FIPS 140-2 硬件的详细信息可参见私有 CA 文档。
IAM 集成
您可以使用 AWS IAM 策略控制对私有 CA 服务的访问。例如,您可以创建一个策略来授予负责 CA 管理的 IT 管理员完全访问权限以创建和配置私有 CA,同时授予仅需要颁发和撤销证书的开发人员和用户有限的访问权限。
通过 CRL 和 OCSP 的证书撤销
在建立加密 TLS 连接时,撤销基础设施会通知终端节点证书不可信。私有 CA 客户现在可以选择在线证书状态协议(OCSP)、证书吊销列表(CRL)或同时选择两者来分发其私有证书的吊销信息。
跨账户共享 CA
跨组织或 AWS 账户共享 CA 可以避免在所有 AWS 账户中创建和管理重复 CA 带来的成本和复杂工作。您可以通过 AWS Resource Access Manager (RAM) 创建资源共享,其中包括 ACM 私有 CA,并与一组账户或 AWS Organizations 相关联。这样,所包含的账户可从共享 CA 颁发私有证书。当使用 AWS Certificate Manager 从共享 CA 颁发私有证书时,将在发出请求的账户本地生成证书,且 ACM 提供完整的生命周期管理和续订功能。
自定义
ACM 私有 CA 可用作独立服务直接颁发证书,而无需使用 ACM 进行证书和私有密钥管理。以这种方式使用时,您可以使用任何想要的主题名称、任何支持的密钥算法、密钥大小、签名算法和任何有效期(包括自当前时间起的天数、月数或年数或者特定的结束日期)创建证书。
审计和日志记录
ACM 私有 CA 可为您和您的审计人员提供私有 CA 活动的相关信息。您可以创建包含由 CA 颁发的所有证书的状态的审核报告。ACM 私有 CA 与 AWS CloudTrail 集成。CloudTrail 从 ACM 私有 CA 控制台、CLI 或您的代码中捕获 API 调用,并将日志文件传送到您的 S3 存储桶。您可以使用 CloudTrail 收集的信息确定发出的请求、发出请求的 IP 地址、发出请求的时间等。
基于 API 的自动化
您可以使用 ACM 私有 CA 和 ACM API,用您选择的编程语言编写代码来自动管理证书。AWS 开发工具包使身份验证更简单,并与您的开发环境高效集成。您还可以使用命令行工具编写脚本或一次性命令来与服务进行交互。
帮助满足合规性要求
通过让您轻松启用 SSL/TLS,AWS Certificate Manager 可以帮助您的企业或组织满足有关传输数据加密的法规和合规性要求。有关合规性的具体信息,请参阅 AWS 云合规性网站。
延长正常运行时间
AWS Certificate Manager 可以帮助您解决维护 SSL/TLS 证书时面临的各种难题(包括证书续订),使您不必担心证书过期。
精选客户
Arctic Wolf Networks (AWN) 是业界领先的 SOC 即服务提供商,为本地部署和云应用程序及基础设施提供全天候监控和托管威胁检测与响应。我们使用 ACM 私有证书颁发机构 (CA) 颁发证书,以确保从我们的传感器到在 AWS 中运行的专用安全运营中心平台的安全连接。ACM 私有证书颁发机构为我们提供了一个安全且可托管的 CA,我们可以使用熟悉的 AWS API 将其集成到我们的基础设施中。
Michael Hart,Artic Wolf 基础设施工程总监
使用案例
AWS 服务的 TLS
利用 AWS Certificate Manager,您可以快速请求证书,在与 ACM 集成的 AWS 资源(例如 Elastic Load Balancer、Amazon CloudFront 分配和 API Gateway 上的 API)上部署该证书,并让 AWS Certificate Manager 处理证书续订事宜。私有证书用于识别和保护私有网络(例如服务器、移动和物联网设备,以及应用程序)上的关联资源之间的通信。
ACM 支持向 AWS 私有 CA 请求证书以及管理私有证书的证书生命周期,二者都会将它们与 AWS 资源关联,并将其导出以在 AWS 之外使用。如需了解详情,请参阅 AWS Certificate Manager 入门指南。
Kubernetes 的 TLS
Kubernetes 容器和应用程序使用数字证书来通过 TLS 提供安全的身份验证和加密。cert-manager 是一个 Kubernetes 插件,用于提供 TLS 证书管理功能。cert-manager 会请求证书、将证书分发到 Kubernetes 容器并自动执行证书续订。cert-manager 可确保证书保持有效和更新,并在到期之前的恰当时间尝试续订证书。
AWS 私有 CA 支持将开源插件用于证书管理器,以便为 Kubernetes 容器提供更安全的证书颁发机构解决方案。如果客户使用 cert-manager 进行应用程序证书生命周期管理,则可以使用此解决方案来通过默认的 cert-manager CA 提高安全性,后者以明文方式在服务器内存中存储密钥。如果客户需要遵守有关控制其 CA 操作的访问权限并进行审计的监管要求,则可以使用此解决方案提高可审计性并支持合规。您可以将 AWS Private CA 发布者插件与 Amazon Elastic Kubernetes Service 结合使用,后者是 AWS 上的一种自助管理式 Kubernetes。此外还可以将其与本地部署的 Kubernetes 结合使用。如需了解详情,请参阅私有 CA 文档以了解针对 Kubernetes 的配置。