參考部署

AWS 上的 Microsoft 公開金鑰基礎架構

減少不安全、未簽署的網路流量

檢視部署指南

公開金鑰基礎架構 (PKI) 可建立、管理、分配、存放及撤銷數位憑證。Windows 環境會使用數位憑證來確保多種連線類型的安全。連線類型包括查詢 Microsoft Active Directory LDAPS (Secure Sockets Layer 的輕量型目錄存取通訊協定)、Internet Information Services (IIS) HTTPS 連線、Exchange Server 通訊及 Windows Server Update Services (WSUS)。

藉助 Amazon Web Services (AWS) 帳戶中 Windows 託管的 PKI,您可維護自己的憑證。該功能可協助減少不安全、未簽署的網路流量。若要在 Windows 上部署 PKI 環境,您可在一個或多個 Windows 伺服器上安裝及設定憑證授權機構 (CA) 角色。

該 Microsoft PKI 解決方案可同時部署根 CA 和從屬 CA。根 CA 可充當 Active Directory 樹系的主要憑證授權機構。根 CA 產生的憑證對從屬 CA 簽發的伺服器和應用程式憑證進行簽名。本解決方案會自動產生初始根憑證,然後關閉根 CA 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。該執行個體會保持離線,除非需要產生新的根憑證,從而有助於確保根憑證的完整性。

此解決方案由 AWS 開發。

  •  您將建置的項目

  • 此解決方案設定以下內容:

    • 跨越兩個可用區域的架構。*
    • 根據 AWS 最佳實務,藉由公有和私有子網路設定的 Virtual Private Cloud (VPC),能在 AWS 上為您提供自己的虛擬網路。*
    • 在公有子網路中:
      • 受管網路位址轉譯 (NAT) 閘道,允許對私有子網路中的資源進行對外網際網路存取。*
      • Auto Scaling 群組中的遠端桌面閘道 (RD Gateway) 執行個體允許透過對內遠端桌面協定 (RDP) 來存取公有和私有子網路中的 EC2 執行個體。*
    • 在私有子網路中:
      • 在可用區域 1 中,執行 Windows 的 EC2 執行個體可充當離線根 CA。
      • 在可用區域 2 中,執行 Windows 的 EC2 執行個體可充當從屬 CA。
    • AWS Directory Service 可協助部署 Active Directory Certificate Services (AD CS) 環境。*
    • AWS Secrets Manager,可用於存放憑證。
    • AWS Systems Manager 可自動化 CA 部署程序並存放產生的憑證。
    • AWS Identity and Access Management (AWS IAM) 可啟用 EC2 執行個體和 Systems Manager Automation 文件,以執行其任務。

    * 用來將此解決方案部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。

  •  部署方式

  • 若要在 AWS 上部署 Microsoft PKI,請按照部署指南中的說明進行操作。部署過程大約需要 30 分鐘,包括以下步驟:

    1. 如果您尚未擁有 AWS 帳戶,請到 https://aws.amazon.com 註冊並登入您的帳戶。
    2. 啟動解決方案。有兩個選項可供您選擇:
    3. 測試部署。

    Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。  

    檢視部署指南以了解詳細資訊
  •  成本和授權

  • 執行此解決方案參考部署時,所使用 AWS 服務的費用由您自行負擔。使用此解決方案無須額外付費。

    此解決方案的 AWS CloudFormation 範本包含可以自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的成本。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。定價可能會隨時變更。

    該解決方案可部署執行 Microsoft Windows Server 的 EC2 執行個體。Windows Server 授權由 AWS 提供。

    執行此解決方案時,您須自行支付使用 AWS 服務和任何第三方授權的相關費用。使用此解決方案無須額外付費。

    此解決方案包括您能自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的成本。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。定價可能會隨時變更。

    提示:在部署解決方案後,建立  AWS Cost and Usage Report 以追蹤相關成本。這些報告會向您帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供各個帳單指標。它們會根據每個月的用量提供成本估算,並在月底彙總資料。如需詳細資訊,請參閱 什麼是 AWS Cost and Usage Report?