AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 是一项托管的私有 CA 服务,可帮助您轻松安全地管理私有证书的生命周期。ACM 私有 CA 为您提供高度可用的私有 CA 服务,而无需前期投资和持续维护成本来运营您自己的私有 CA。ACM 私有 CA 将 ACM 的证书管理功能扩展到私有证书,从而使您能够集中管理公有证书和私有证书。ACM 私有 CA 通过为开发人员提供 API 允许他们以编程方式更敏捷地创建和部署私有证书。您还可以灵活地为需要自定义证书生命周期或资源名称的应用程序创建私有证书。借助 ACM 私有 CA,您可以使用安全、按需支付的托管私有 CA 服务集中为您的连接资源创建和管理私有证书。

开始使用 AWS Certificate Manager

创建免费账户
保护您的网站安全

ACM 私有 CA 为您提供一种更简单、更安全的方式来创建私有 CA,并使用它来创建和管理您的私有证书。ACM 私有 CA 使用 AWS 托管的硬件安全模块 (HSM) 提供安全保护。这些 HSM 遵循 FIPS 140-2 Level 3 安全标准,可安全地存储私有 CA 的密钥。私有 CA 管理员可以使用 AWS Identity and Access Management (IAM) 策略控制对服务的访问。ACM 私有 CA 为您提供私有证书活动的可见性,并允许您创建报告。您可以使用 AWS CloudTrail 日志记录和监控服务审核私有 CA 活动。ACM 私有 CA 还会自动向 Amazon S3 发布和更新证书撤销列表 (CRL),以帮助防止使用撤销的证书。例如,IoT 应用程序可以在接受来自传感器的数据之前检查该传感器的私有证书是否有效。

保护您的网站安全

ACM 私有 CA 使您能够管理您的私有证书和公有证书的生命周期。借助 ACM 私有 CA,您可以选择将证书管理委派给 ACM,以获取与 ACM 集成服务(例如 Elastic Load Balancing 和 API Gateway)一起使用的证书。您可以使用 AWS 管理控制台或 AWS API 轻松地创建和部署私有证书。ACM 可以自动续订和部署这些证书。ACM 私有 CA 还为您提供 API 以自动创建和续订本地资源、EC2 实例和 IoT 设备的私有证书。ACM 私有 CA 可让您自己灵活地管理私有证书,而无需 ACM 证书管理。

保护您的网站安全

ACM 私有 CA 为您提供灵活性,只需几个 API 调用即可创建和部署证书。ACM 私有 CA 允许您通过允许开发人员向链接到其 AWS 账户的私有 CA 请求证书,将私有证书的管理委派给开发人员。您还可以为需要大量短期证书的使用案例自动创建证书。例如,您可以自动创建和部署证书,以在自动扩展环境中标识新的 EC2 实例和容器,或者对从 AWS Lambda 函数发送的事件通知消息进行验证。

保护您的网站安全

ACM 私有 CA 可用作独立服务(无需 ACM 证书管理)来创建和部署自定义私有证书,例如具有自定义资源名称或生命周期的证书。这种灵活性对于需要通过特定名称标识资源的使用案例(例如,通过序列号标识设备)或者当证书不能轻松轮换时(例如,在制造期间嵌入硬件设备中的证书)非常有用。

保护您的网站安全

与市场上现有的传统选项相比,ACM 私有 CA 更具成本效益。ACM 私有 CA 使您能够按月支付您创建和部署的服务和证书的费用。您使用的证书越多,支付的费用就越少。请单击此处,了解关于定价的详细信息。

保护您的网站安全

ACM 私有 CA 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。ACM 私有 CA 提供高度可用的私有 CA 的安全性、配置、管理和监控。ACM 私有 CA 允许您在多种 CA 密钥算法和密钥大小中进行选择,包括 RSA 2048 或 4096 和 ECDSA P256 或 P384。ACM 私有 CA 作为“链接”到您的现有根 CA 的从属 CA 运行,从而允许您颁发在您的组织内受信任的证书。您需要拥有您自己的根 CA 才能使用此服务。

保护您的网站安全

证书颁发机构用于签署证书的密钥非常敏感。ACM 私有 CA 使用 AWS 托管的硬件安全模块(也称为 HSM)来保护 CA 密钥的安全。这些 HSM 遵循 FIPS 140-2 Level 3 安全标准,以帮助保护您的私有 CA 免受密钥损害。

保护您的网站安全

ACM 私有 CA 与 ACM 集成,允许您从单一控制台界面同时管理公有证书和私有证书。当您使用 ACM 从私有 CA 请求证书时,ACM 将生成并管理私有密钥、自动续订证书,并将证书部署到 ACM 集成服务(包括 Elastic Load Balancing 负载均衡器和 API Gateway 终端节点)上的资源。ACM 还使您可以轻松地使用基于 API 的自动化在任何地方导出和部署私有证书。

保护您的网站安全

您可以使用 AWS IAM 策略控制对私有 CA 服务的访问。例如,您可以创建一个策略来授予负责 CA 管理的 IT 管理员完全访问权限以创建和配置私有 CA,同时授予仅需要颁发和撤销证书的开发人员和用户有限的访问权限。

保护您的网站安全

ACM 私有 CA 自动向 Amazon S3 存储桶发布和更新证书撤销列表。每次在两个资源之间建立连接时,应用程序、服务和设备都会使用 CRL 来评估证书的状态。例如,IoT 应用程序可以在接受来自传感器的数据之前检查该传感器的私有证书是否有效。

保护您的网站安全

ACM 私有 CA 为您和您的审核员提供对私有 CA 活动的可见性。您可以创建包含由 CA 颁发的所有证书的状态的审核报告。ACM 私有 CA 与 AWS CloudTrail 集成。CloudTrail 从 ACM 私有 CA 控制台、CLI 或您的代码中捕获 API 调用,并将日志文件传送到您的 S3 存储桶。您可以使用 CloudTrail 收集的信息确定发出的请求、发出请求的 IP 地址、发出请求的时间等。

保护您的网站安全

您可以使用 ACM 私有 CA 和 ACM API,用您选择的编程语言编写代码来自动管理证书。AWS 开发工具包使身份验证更简单,并与您的开发环境高效集成。您还可以使用命令行工具编写脚本或一次性命令来与服务进行交互。

保护您的网站安全

ACM 私有 CA 可用作独立服务直接颁发证书,而无需使用 ACM 进行证书和私有密钥管理。以这种方式使用时,您可以使用任何想要的主题名称、任何支持的密钥算法、密钥大小、签名算法和任何有效期(包括自当前时间起的天数、月数或年数或者特定的结束日期)创建证书。

通过让您轻松启用 SSL/TLS,AWS Certificate Manager 可以帮助您的企业或组织满足有关传输数据加密的法规和合规性要求。有关合规性的具体信息,请参阅 AWS 云合规性网站

AWS Certificate Manager 可以帮助您解决维护 SSL/TLS 证书时面临的各种难题(包括证书续订),使您不必担心证书过期。