AWS Certificate Manager 私有证书颁发机构

ACM 私有 CA 为您提供一种更简单、更安全的方式来创建私有 CA，并使用它来创建和管理您的私有证书。ACM 私有 CA 使用 AWS 托管的硬件安全模块 (HSM) 提供安全保护。这些 HSM 遵循 FIPS 140-2 安全标准，可安全地存储私有 CA 的密钥。私有 CA 管理员可以使用 AWS Identity and Access Management (IAM) 策略控制对服务的访问。您可以使用 AWS Resource Access Manager (RAM) 共享 CA，仅用于颁发证书，从而仅限管理员开展 CA 管理工作。通过 ACM 私有 CA，您可以了解私有证书的活动，同时还可以创建相关报告。您可以使用 AWS CloudTrail 日志记录和监控服务审核私有 CA 活动。ACM 私有 CA 还会自动向 Amazon S3 发布和更新证书撤销列表 (CRL)，以防用户使用撤销的证书。例如，IoT 应用程序可以在接受来自传感器的数据之前检查该传感器的私有证书是否有效。

ACM 私有 CA 可以在一个账户中进行创建和管理，然后与其他需要颁发证书的 AWS 账户共享。AWS Resource Access Manager 是一种允许您与任何 AWS 账户或在 AWS 组织内共享 AWS 资源的 AWS 服务，通过该服务，客户可以定义包含 CA 在内的资源共享，以便与一组账户或组织共享。CA 审计报告提供了从该 CA 颁发的所有证书的详细信息。共享 CA 的每个账户都可以使用 AWS Certificate Manager 创建和颁发证书，或者直接调用 CA 签核证书签名请求 (CSR)。

ACM 私有 CA 可使 CA 管理员创建灵活的 CA 层次结构，包括根 CA 和从属 CA，无需外部 CA。客户可以在提供 ACM 私有 CA 的任何 AWS 区域创建安全、高度可用的 CA，无需构建和维持其自己的本地 CA 基础设施。或者，可以在结合在线和本地 CA 的混合模式下构建 CA 层次结构。除了简单的管理之外，ACM 私有 CA 还为根据客户内部合规性规则和安全最佳实践操作 CA 提供基本安全。

ACM 私有 CA 为您提供敏捷性，只需几次 API 调用操作、几个 CLI 命令或通过 AWS CloudFormation 模板即可创建和部署证书。借助 ACM 私有 CA，CA 管理员可将私有证书的颁发权限委派给开发人员，允许他们从与其 AWS 账户共享的私有 CA 请求证书。您还可以为需要大量短期证书的使用案例自动创建证书。例如，您可以自动创建和部署证书，以在自动扩展环境中标识新的 EC2 实例和容器，或者对从 AWS Lambda 函数发送的事件通知消息进行验证。

ACM 私有 CA 可用作独立服务（无需 ACM 证书管理）来创建和部署自定义私有证书，例如具有自定义资源名称或生命周期的证书。这种灵活性对于需要通过特定名称标识资源的使用案例（例如，通过序列号标识设备）或者当证书不能轻松轮换时（例如，在制造期间嵌入硬件设备中的证书）非常有用。

与市场上现有的传统选项相比，ACM 私有 CA 更具成本效益。ACM 私有 CA 使您能够按月支付您创建和部署的服务和证书的费用。您使用的证书越多，支付的费用就越少。请单击此处，了解关于定价的详细信息。

ACM 私有 CA 是一项托管服务，可自动执行耗时的管理任务，例如硬件预置、软件修补、高可用性和备份。ACM 私有 CA 可为高度可用的私有 CA 提供安全、配置、管理和监控功能。ACM 私有 CA 允许您在多种 CA 密钥算法和密钥大小中进行选择，包括 RSA 2048 或 4096 和 ECDSA P256 或 P384。ACM 还使您可以轻松地使用基于 API 的自动化在任何地方导出和部署私有证书。

借助 ACM 私有 CA，您可以选择将证书管理权限委派给 ACM，以获取与 ACM 集成服务（例如 Elastic Load Balancing 和 API Gateway）一起使用的证书。您可以使用 AWS 管理控制台或 AWS API 轻松地创建和部署私有证书。ACM 会自动续订这些证书并进行部署。ACM 私有 CA 还为您提供 API 以自动创建和续订本地资源、EC2 实例和 IoT 设备的私有证书。ACM 私有 CA 可让您无需借助 ACM 证书管理功能灵活地自行管理私有证书。

ACM 私有 CA 层次结构为信任链顶部最可信的根 CA 提供强大的安全和限制访问控制，同时允许对信任链较下层的从属 CA 进行更宽松的访问和批量证书颁发。您可以控制谁可以创建新 CA 或使用 AWS Identity and Access Management (IAM) 策略将访问权限制给现有 CA。一个层次结构中的所有 ACM 私有 CA 都在 FIPS 140-2 级硬件中保护您的 CA 私有密钥。

证书颁发机构用于签署证书的密钥是非常敏感的信息。ACM 私有 CA 使用 AWS 托管的硬件安全模块（也称为 HSM）来保护 CA 密钥的安全。这些 HSM 遵循 FIPS 140-2 安全标准，以帮助保护您的私有 CA 免受密钥损害。有关 FIPS 140-2 硬件的详细信息可参见私有 CA 文档。

您可以使用 AWS IAM 策略控制对私有 CA 服务的访问。例如，您可以创建一个策略来授予负责 CA 管理的 IT 管理员完全访问权限以创建和配置私有 CA，同时授予仅需要颁发和撤销证书的开发人员和用户有限的访问权限。

在建立加密 TLS 连接时，撤销基础设施会通知终端节点证书不可信。私有 CA 客户现在可以选择在线证书状态协议（OCSP）、证书吊销列表（CRL）或同时选择两者来分发其私有证书的吊销信息。

跨组织或 AWS 账户共享 CA 可以避免在所有 AWS 账户中创建和管理重复 CA 带来的成本和复杂工作。您可以通过 AWS Resource Access Manager (RAM) 创建资源共享，其中包括 ACM 私有 CA，并与一组账户或 AWS Organizations 相关联。这样，所包含的账户可从共享 CA 颁发私有证书。当使用 AWS Certificate Manager 从共享 CA 颁发私有证书时，将在发出请求的账户本地生成证书，且 ACM 提供完整的生命周期管理和续订功能。

ACM 私有 CA 可用作独立服务直接颁发证书，而无需使用 ACM 进行证书和私有密钥管理。以这种方式使用时，您可以使用任何想要的主题名称、任何支持的密钥算法、密钥大小、签名算法和任何有效期（包括自当前时间起的天数、月数或年数或者特定的结束日期）创建证书。

ACM 私有 CA 可为您和您的审计人员提供私有 CA 活动的相关信息。您可以创建包含由 CA 颁发的所有证书的状态的审核报告。ACM 私有 CA 与 AWS CloudTrail 集成。CloudTrail 从 ACM 私有 CA 控制台、CLI 或您的代码中捕获 API 调用，并将日志文件传送到您的 S3 存储桶。您可以使用 CloudTrail 收集的信息确定发出的请求、发出请求的 IP 地址、发出请求的时间等。

您可以使用 ACM 私有 CA 和 ACM API，用您选择的编程语言编写代码来自动管理证书。AWS 开发工具包使身份验证更简单，并与您的开发环境高效集成。您还可以使用命令行工具编写脚本或一次性命令来与服务进行交互。