Private Certificate Authority (CA) сервиса AWS Certificate Manager (ACM) – это управляемый сервис частного центра сертификации (CA), который дает возможность просто и безопасно управлять жизненным циклом частных сертификатов. ACM Private CA обеспечивает сервис частного CA с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного CA. ACM Private CA добавляет к возможностям ACM управление частными сертификатами, позволяя управлять открытыми и частными сертификатами централизованно. Использование ACM Private CA обеспечивает разработчикам возможность гибкого решения задач, предоставляя им API для создания и развертывания частных сертификатов программным способом. Частные сертификаты можно гибко настраивать и использовать для приложений, которым требуются специальные сроки действия сертификатов или специальные имена ресурсов. ACM Private CA является безопасным управляемым сервисом частного CA с оплатой по факту использования. С его помощью можно создавать частные сертификаты для подключенных ресурсов и управлять ими.

Начало работы с AWS Certificate Manager

Создать бесплатный аккаунт
Защита и безопасность веб-сайта

ACM Private CA предоставляет простой и безопасный способ создания частного CA и его использования для выпуска частных сертификатов и управления ими. Защита ACM Private CA обеспечивается управляемыми AWS аппаратными модулями безопасности (HSM). Эти модули HSM соответствуют стандартам безопасности FIPS 140-2 Level 3 и обеспечивают безопасное хранение ключей частного CA. Администраторы частного CA могут управлять доступом к сервису с помощью политик AWS Identity and Access Management (IAM). ACM Private CA обеспечивает наглядное представление всех операций, связанных с частными сертификатами, и позволяет создавать отчеты. Аудит использования частного CA можно проводить с помощью сервиса для ведения журналов и мониторинга AWS CloudTrail. ACM Private CA также автоматически публикует и обновляет списки отозванных сертификатов (CRL) в Amazon S3, чтобы предотвратить использование отозванных сертификатов. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Защита и безопасность веб-сайта

ACM Private CA позволяет управлять жизненным циклом частных и открытых сертификатов. С помощью ACM Private CA можно делегировать ACM управление сертификатами, которые используются в интегрированных с ACM сервисах, таких как Elastic Load Balancing и API Gateway. Создавать и развертывать частные сертификаты можно с помощью простых шагов в Консоли управления AWS или вызовов API AWS. ACM помогает автоматизировать обновление и развертывание этих сертификатов. ACM Private CA также предоставляет API для автоматизации создания и обновления частных сертификатов для локальных ресурсов, инстансов EC2 и устройств IoT. ACM Private CA обеспечивает гибкость самостоятельного управления частными сертификатами без использования для этого сервиса ACM.

Защита и безопасность веб-сайта

ACM Private CA дает возможность быстро создавать и развертывать сертификаты всего несколькими вызовами API. В сервисе ACM Private CA можно делегировать управление частными сертификатами разработчикам, позволяя им запрашивать сертификаты у частных CA, связанных с соответствующими аккаунтами AWS. Можно также автоматизировать создание сертификатов в тех случаях, когда требуется много краткосрочных сертификатов. Например, можно автоматически создавать и развертывать сертификаты для идентификации новых инстансов EC2 и контейнеров в средах с автомасштабированием или для аутентификации оповещений о событиях, отправленных из функций AWS Lambda.

Защита и безопасность веб-сайта

ACM Private CA можно использовать как автономный сервис (без управления сертификатами со стороны ACM) для создания и развертывания настраиваемых частных сертификатов, таких как сертификаты со специальными именами ресурсов или сроками действия. Такая гибкость полезна в тех случаях, когда требуется идентификация ресурсов по определенному имени, например при идентификации устройства по его серийному номеру, или когда ротация сертификатов затруднена, например для сертификатов, встроенных в аппаратные устройства при производстве.

Защита и безопасность веб-сайта

ACM Private CA более экономичен по сравнению с доступными традиционными коммерческими решениями. При использовании ACM Private CA оплату сервиса и сертификатов, которые создает и развертывает клиент, можно выполнять на ежемесячной основе. При использовании большего количества сертификатов стоимость уменьшается. Дополнительную информацию о ценах сервиса см. по ссылке.

Защита и безопасность веб-сайта

ACM Private CA – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. ACM Private CA обеспечивает безопасность, настройку и мониторинг высокодоступного частного CA, а также управление им. В ACM Private CA есть возможность выбора из нескольких алгоритмов формирования ключей CA и размеров ключей, включая RSA 2048 или 4096 и ECDSA P256 или P384. ACM Private CA работает как подчиненный CA, который можно легко объединить с существующим корневым CA клиента и выдавать сертификаты, доверенные в пределах организации клиента. Для использования такого сервиса клиенту необходимо иметь собственный корневой CA.

Защита и безопасность веб-сайта

Ключи, используемые центром сертификации для подписи сертификатов, строго конфиденциальны. ACM Private CA обеспечивает безопасность ключей CA с помощью управляемых AWS аппаратных модулей безопасности, также известных как HSM. Эти модули HSM соответствуют стандартам безопасности FIPS 140-2 Level 3, что помогает защитить частный CA клиента от компрометации ключей.

Защита и безопасность веб-сайта

ACM Private CA интегрирован с ACM, что позволяет управлять как открытыми, так и частными сертификатами из единого интерфейса консоли. При использовании ACM для запроса сертификатов из частного CA ACM генерирует закрытые ключи и управляет ими, автоматически обновляет сертификаты и развертывает сертификаты для ресурсов в сервисах, интегрированных с ACM, включая балансировщики нагрузки Elastic Load Balancing и адреса API Gateway. ACM также упрощает экспорт и развертывание частных сертификатов в любом месте с использованием автоматизации на основе API.

Защита и безопасность веб-сайта

Управлять доступом к сервису частного CA можно с помощью политик AWS IAM. Например, можно создать политику и предоставить ИТ-администраторам, которые отвечают за управление CA, полный доступ для создания и настройки частных CA, а разработчикам и пользователям, которым необходимо только выдавать и отзывать сертификаты, предоставить ограниченный доступ.

Защита и безопасность веб-сайта

ACM Private CA автоматически публикует и обновляет списки отозванных сертификатов (CRL) в принадлежащей пользователю корзине Amazon S3. Приложения, сервисы и устройства используют CRL для оценки состояния сертификата при каждом подключении ресурсов между собой. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Защита и безопасность веб-сайта

ACM Private CA обеспечивает клиенту и его аудиторам наглядное представление всех операций, связанных с частными CA. В целях аудита можно создавать отчеты, которые включают статус всех сертификатов, выпущенных CA. ACM Private CA интегрирован с AWS CloudTrail. CloudTrail захватывает вызовы API, выполненные в консоли ACM Private CA, интерфейсе командной строки или программном коде, и доставляет файлы журналов в соответствующую корзину S3. Используя информацию, собранную AWS CloudTrail, можно определить, какой был сделан запрос, IP-адрес, с которого пришел запрос, когда он был сделан и т. д.

Защита и безопасность веб-сайта

Для автоматизации управления сертификатами можно написать код на удобном языке программирования с использованием API сервисов ACM Private CA и ACM. Пакеты SDK AWS упрощают аутентификацию и эффективно интегрируются с используемой средой разработки. Можно также создавать скрипты или простые команды для взаимодействия с сервисом с помощью инструментов командной строки.

Защита и безопасность веб-сайта

ACM Private CA может использоваться как отдельный сервис для непосредственной выдачи сертификатов, без использования ACM для управления сертификатами и частными ключами. В этом случае можно создавать сертификаты с любым желаемым именем, использовать любые поддерживаемые алгоритмы формирования ключей, размеры ключей, алгоритмы подписи и любые сроки действия, включая дни, месяцы или годы с времени выдачи, а также задавать конкретную дату окончания срока действия.

Упрощая использование SSL/TLS, AWS Certificate Manager помогает организациям обеспечить соответствие нормативным требованиям и другим стандартам в отношении шифрования данных при передаче. Подробную информацию о соответствии требованиям см. в разделе Соответствие облака AWS нормативным требованиям.

AWS Certificate Manager помогает справиться с проблемами обслуживания сертификатов SSL/TLS, в том числе с обновлением сертификатов. Переживать из-за просроченных сертификатов больше не придется.