張貼日期: Oct 29, 2019
AWS Certificate Manager (ACM) Private Certificate Authority (CA) 現在可在匯入的 CA 憑證中強制實施名稱約束。網際網路公用金鑰基礎架構 (PKI) 標準 RFC 5280 中定義了名稱約束,並為 CA 管理員提供了一種方法來限制憑證中的主題名稱。
管理員現在可控制從其私人 CA 核發的憑證中允許或禁止使用哪些名稱。客戶使用私人 CA 來核發憑證,以標識其組織內的資源,例如,具有 api-example.corp 之類名稱的 API 端點或,諸如 server1.project1.corp 等的伺服器名稱。管理員可以允許他們想要使用的名稱 (例如 project1.corp),也可以拒絕名稱,包括公用 DNS 網域名稱 (例如 example.com 或 * .com),或者為其他內部專案保留的私有網域名稱 (例如project2.corp)。設定這些名稱約束政策後,CA 管理員就能確保僅針對核准的資源名稱,將其 CA 用於核發私人憑證。如需進一步了解有關名稱約束的資訊,請參閱 ACM Private CA 文件。
如需提供 ACM Private CA 的區域清單,請參閱 AWS 區域與端點。
若要開始使用,初次使用 ACM Private CA 的客戶可在操作第一個 CA 時,免費試用該服務 30 天。要進一步了解 ACM Private CA,請瀏覽 ACM Private CA 網站。