AWS Certificate Manager (ACM) Private Certificate Authority (CA) 是受管的私有 CA 服務,可協助您輕鬆且安全地管理私有憑證的生命週期。ACM Private CA 提供高可用性的私有 CA 服務,無須操作自己私有 CA 所花費的前期投資與持續維護成本。ACM Private CA 將 ACM 的憑證管理功能擴展至私有憑證,可讓您集中管理公有與私有憑證。ACM Private CA 提供 API,讓開發人員可以更靈活地以程式設計方式建立和部署私有憑證。您還可彈性地為需要自訂憑證生命週期或資源名稱的應用程式建立私有憑證。使用 ACM Private CA,您可以利用安全、依用量計費的受管私有 CA 服務,在單一位置建立和管理已連線資源的私有憑證。

AWS Certificate Manager 入門

建立免費帳戶
保護及確保網站的安全

ACM Private CA 可讓您更輕鬆且安全地建立私有 CA,並使用它來建立和管理您的私有憑證。AWS 的受管硬體安全模組 (HSM) 可確保 ACM Private CA 的安全。這些 HSM 遵循 FIPS 140-2 第 3 級安全標準,可安全地存放私有 CA 的金鑰。Private CA 管理員可利用 AWS Identity and Access Management (IAM) 政策控管對此服務的存取權限。ACM Private CA 可讓您清楚掌握私有憑證活動以及建立報告。您可以使用 AWS CloudTrail 記錄和監控服務來稽核私有 CA 活動。ACM Private CA 也會自動發佈憑證撤銷清單 (CRL) 並更新到 Amazon S3,以協助避免使用已撤銷的憑證。例如,IoT 應用程式可在接受感應器的資料之前檢查該感應器的私有憑證是否有效。

保護及確保網站的安全

ACM Private CA 可讓您管理私有和公有憑證的生命週期。使用 ACM Private CA,您可選擇讓 ACM 為您管理搭配 ACM 整合式服務 (例如 Elastic Load Balancing 與 API Gateway) 使用的憑證。您可以使用 AWS 管理主控台或 AWS API 輕鬆地建立和部署私有憑證。ACM 可讓這些憑證的更新與部署自動化。ACM Private CA 也可讓您使用 API 自動建立和更新現場部署資源、EC2 執行個體及 IoT 裝置的私有憑證。ACM Private CA 可讓您選擇自行管理私有憑證,而不使用 ACM 憑證管理。

保護及確保網站的安全

只要幾個 API 呼叫,ACM Private CA 就能讓您建立和部署憑證。ACM Private CA 允許開發人員向與他們的 AWS 帳戶連結的私有 CA 要求憑證,所以您可以將私有憑證交由開發人員管理。如果是需要大量短期憑證的使用案例,您也可以讓憑證建立自動化。例如,您可以自動建立和部署憑證,以在自動調整規模的環境中識別新的 EC2 執行個體與容器,或驗證從 AWS Lambda 函數傳送的事件通知訊息。

保護及確保網站的安全

ACM Private CA 可做為獨立服務使用 (不使用 ACM 憑證管理) 以建立和部署自訂私有憑證,例如具有自訂資源名稱或生命週期的憑證。在需要依特定名稱識別資源的使用案例中 (例如依序號識別裝置),或如果憑證無法輕易輪換 (例如製造過程中內嵌到硬體裝置的憑證),能彈性自訂私有憑證會很有幫助。

保護及確保網站的安全

相較於市面上傳統的商用選項,ACM Private CA 更經濟實惠。ACM Private CA 會按月收取您建立和部署服務與憑證所需的費用。您使用的憑證愈多,費用愈低。您可在這裡進一步了解有關定價的資訊。

保護及確保網站的安全

ACM Private CA 是一項受管服務,可自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。ACM Private CA 提供兼具安全、組態、管理和監控功能的高可用性私有 CA。ACM Private CA 可讓您在數種 CA 金鑰演算法及金鑰大小做選擇,包括 RSA 2048 或 4096 及 ECDSA P256 或 P384。ACM Private CA 以從屬 CA 的形式「鏈結」到您現有的根 CA,讓您發行在組織內受信任的憑證。要使用此服務,您必須擁有自己專屬的根 CA。

保護及確保網站的安全

憑證授權單位用來簽署憑證的金鑰具有高度機密。ACM Private CA 使用 AWS 的受管硬體安全模組 (又稱為 HSM) 來確保 CA 金鑰的安全。這些 HSM 遵循 FIPS 140-2 第 3 級安全標準,可保護您的 Private CA 免於金鑰被盜用的風險。

保護及確保網站的安全

ACM Private CA 已與 ACM 整合,可讓您從單一主控台界面同時管理公有與私有憑證。使用 ACM 向您的 Private CA 要求憑證時,ACM 會產生並管理私有金鑰、自動更新憑證,然後將憑證部署到 ACM 整合式服務上的資源,包括 Elastic Load Balancing 負載平衡器與 API Gateway 端點。ACM 還能讓您使用 API 自動化功能,輕鬆地在任何位置匯出和部署私有憑證。

保護及確保網站的安全

您可使用 AWS IAM 政策控管對 Private CA 服務的存取權限。例如,您可以建立政策,對負責管理 CA 的 IT 管理員授與建立和設定 Private CA 的完整存取權,另對只需要發行和撤銷憑證的開發人員和使用者,則授與有限的存取權。

保護及確保網站的安全

ACM Private CA 會自動發佈憑證撤銷清單,並更新到您的 Amazon S3 儲存貯體。每次建立兩個資源之間的連線時,應用程式、服務及裝置就會使用 CRL 評估憑證的狀態。例如,IoT 應用程式可在接受感應器的資料之前檢查該感應器的私有憑證是否有效。

保護及確保網站的安全

ACM Private CA 可讓您和稽核人員清楚掌握 Private CA 的活動。您可以建立稽核報告來查看從 CA 發行之所有憑證的狀態。ACM Private CA 已與 AWS CloudTrail 整合。CloudTrail 會從 ACM Private CA 主控台、CLI 或您的程式碼擷取 API 呼叫,並將日誌檔交付到您的 S3 儲存貯體。您可利用 CloudTrail 所收集的資訊來判斷請求的內容、請求的來源 IP 地址及請求的時間等等。

保護及確保網站的安全

使用 ACM Private CA 與 ACM API,您可以用自己選擇的程式設計語言來撰寫程式碼,讓憑證管理自動化。AWS 開發套件可使身份驗證更為簡單,而且可與您的開發環境有效整合。您也可使用命令列工具來撰寫指令碼或一次性指令,以和服務進行互動。

保護及確保網站的安全

ACM Private CA 可做為獨立服務使用 (不使用 ACM 來管理憑證和私有金鑰) 以直接發行憑證。以這種方式使用時,您可以用任何想要的主題名稱、任何支援的金鑰演算法、金鑰大小、簽署演算法及任何有效期間 (包含自目前時間起算的幾天、幾月或幾年內有效,或特定的結束日期) 來建立憑證。

透過輕鬆啟用 SSL/TLS,AWS Certificate Manager 可協助組織遵守加密傳輸中資料的規範和合規要求。如需特定的合規資訊,請參閱 AWS 雲端合規網站

AWS Certificate Manager 會協助管理維護 SSL/TLS 憑證的各種檢查,其中包含憑證更新,因此您不需要擔心憑證過期。