公钥基础结构 (PKI) 可创建、管理、分发、存储和撤销数字证书。Windows 环境使用数字证书来确保多种类型连接的安全。连接类型包括查询 Microsoft Active Directory LDAPS(通过安全套接字层的轻型目录访问协议)、互联网信息服务 (IIS) HTTPS 连接、Exchange Server 通信和 Windows Server Update Services (WSUS)。
您可以借助 Amazon Web Services (AWS) 账户中的 Windows 托管 PKI 来维护自己的证书。这可以帮助您减少不安全、未签名的网络流量。要在 Windows 上部署 PKI 环境,您需在一台或多台 Windows 服务器上安装和配置证书颁发机构(CA)角色。
此 Microsoft PKI 解决方案可部署根 CA 和从属 CA。根 CA 作为 Active Directory 林的主要证书颁发机构。根 CA 生成的证书对从属 CA 颁发的服务器和应用程序证书进行签名。此解决方案会自动生成一个初始根证书,然后关闭根 CA 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。除非需要生成新的根证书,否则该实例会一直保持离线,因此可帮助确保根证书的完整性。
本解决方案由 AWS 开发。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
本解决方案设置了以下内容:
- 一个跨两个可用区的架构。*
- 一个根据 AWS 最佳实践配置有公有子网和私有子网的 Virtual Private Cloud (VPC),用于在 AWS 上为您提供您自己的虚拟网络。*
- 在公有子网中:
- 托管网络地址转换 (NAT) 网关,允许对私有子网中的资源进行出站互联网访问。*
- Auto Scaling 组中的远程桌面网关 (RD Gateway) 实例,允许对公有子网和私有子网中的 EC2 实例进行入站远程桌面协议 (RDP) 访问。*
- 在私有子网中:
- 在可用区 1 中,作为离线根 CA 的 运行 Windows 的 EC2 实例。
- 在可用区 2 中,作为从属 CA 的运行 Windows 的 EC2 实例。
- AWS Directory Service,可帮助部署 Active Directory 证书服务 (AD CS) 环境。*
- AWS Secrets Manager,用于存储凭证。
- AWS Systems Manager,自动执行 CA 部署过程并存储生成的证书。
- AWS Identity and Access Management (IAM),使 EC2 实例和 Systems Manager 自动化文档能够执行它们的任务。
* 将此解决方案部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。
-
如何部署
-
要部署 Microsoft PKI,请按照部署指南中的说明操作。部署过程大约需要 30 分钟,包括以下步骤:
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 启动解决方案。有以下两种方案可供选择:
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
-
费用和许可证
-
您需要支付在运行此解决方案的参考部署期间使用 AWS 服务所产生的费用。使用此解决方案不会产生任何额外费用。
本解决方案的 AWS CloudFormation 模板包含您可以自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
本解决方案可部署运行 Microsoft Windows Server 的 EC2 实例。AWS 会提供 Windows Server 许可证。
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?
