ACM Private CA cung cấp cho bạn dịch vụ CA riêng với độ khả dụng cao mà không cần đầu tư trước và không cần chi phí duy trì liên tục để vận hành CA riêng của bạn. AWS Certificate Manager (ACM) Private Certificate Authority (CA) là dịch vụ CA riêng giúp mở rộng khả năng quản lý chứng chỉ của ACM cho cả chứng chỉ công khai và riêng tư.  ACM Private CA cho phép các nhà phát triển trở nên linh hoạt hơn thông qua việc cung cấp cho họ các API để lập trình hoạt động tạo và triển khai các chứng chỉ riêng. Bạn cũng có thể linh hoạt tạo chứng chỉ riêng cho các ứng dụng đòi hỏi vòng đời chứng chỉ hoặc tên tài nguyên tùy chỉnh. Với ACM Private CA, bạn có thể tạo và quản lý tập trung các chứng chỉ riêng cho tài nguyên được kết nối bằng một dịch vụ CA riêng an toàn, được quản lý, tính phí theo mức sử dụng.

Quản trị viên CA có thể sử dụng ACM Private CA để tạo một hệ thống cấp bậc CA hoàn chỉnh, bao gồm CA gốc và CA phụ trợ trực tuyến, mà không cần các CA bên ngoài. ACM Private CA còn cho phép tạo một hệ thống cấp bậc kết hợp với các CA ngoại tuyến và trực tuyến. Hệ thống cấp bậc CA cung cấp khả năng kiểm soát truy cập hạn chế và cấp độ bảo mật mạnh mẽ cho CA gốc đáng tin cậy nhất đứng đầu chuỗi tin cậy, đồng thời cho phép các CA phụ trợ thấp hơn trong chuỗi cấp chứng chỉ hàng loạt và truy cập dễ dàng hơn. Bạn có thể tạo các CA an toàn với độ khả dụng cao mà không cần xây dựng và duy trì cơ sở hạ tầng CA tại chỗ của chính bạn. Bạn có thể chia sẻ CA trên các tài khoản AWS hoặc trong tổ chức của mình để hỗ trợ quản lý tập trung các CA bằng cách cấp chứng chỉ qua ACM hoặc trực tiếp từ CA. Việc này sẽ giúp giảm số lượng CA bạn cần quản lý và thanh toán, đồng thời cho phép bạn tách biệt các nhiệm vụ quản trị CA khỏi việc cấp chứng chỉ.

 

AWS Summit San Francisco 2018 - AWS Certificate Manager Private Certificate Authority

Lợi ích

Private Certificate Authority an toàn và được quản lý

ACM Private CA cung cấp cho bạn một cách dễ dàng hơn và an toàn để tạo CA riêng dùng cho việc tạo và quản lý các chứng chỉ riêng. ACM Private CA được bảo mật bằng các mô-đun bảo mật phần cứng (HSM) do AWS quản lý. Những HSM này tuân thủ tiêu chuẩn bảo mật FIPS 140-2 để lưu trữ các khóa một cách an toàn cho CA riêng của bạn. Quản trị viên Private CA có thể kiểm soát quyền truy cập vào dịch vụ này bằng các chính sách AWS Identity and Access Management (IAM). Bạn có thể chia sẻ CA bằng AWS Resource Access Manager (RAM) chỉ để cấp chứng chỉ, sao cho quyền quản trị CA hạn chế ở quản trị viên. ACM Private CA cho phép bạn theo dõi hoạt động chứng chỉ riêng, đồng thời cho phép bạn tạo báo cáo. Bạn có thể kiểm tra hoạt động CA riêng bằng cách sử dụng dịch vụ giám sát và ghi nhật ký AWS CloudTrail. ACM Private CA còn tự động đăng và cập nhật danh sách chứng chỉ bị thu hồi (CRL) lên Amazon S3 để giúp ngăn chặn việc sử dụng chứng chỉ đã bị thu hồi. Ví dụ: Một ứng dụng IoT có thể kiểm tra xem chứng chỉ riêng cho cảm biến có hợp lệ hay không trước khi chấp nhận dữ liệu từ cảm biến.

Quản lý tập trung các tổ chức phát hành chứng chỉ

ACM Private CA có thể được tạo và quản lý trong một tài khoản, rồi được chia sẻ với những tài khoản AWS khác cần cấp chứng chỉ. Nhờ AWS Resource Access Manager, dịch vụ AWS cho phép bạn chia sẻ các tài nguyên AWS với mọi tài khoản AWS hoặc trong AWS Organization của bạn, khách hàng có thể xác định các hoạt động chia sẻ tài nguyên chứa CA để chia sẻ với một nhóm tài khoản hoặc tổ chức. Báo cáo kiểm tra CA cung cấp thông tin chi tiết về tất cả các chứng chỉ đã được cấp từ CA đó. Mỗi tài khoản mà CA được chia sẻ có thể sử dụng AWS Certificate Manager để tạo và phát hành chứng chỉ hoặc gọi trực tiếp cho CA để ký các yêu cầu ký chứng chỉ (CSR).

Hoàn thành các hệ thống cấp bậc CA

ACM Private CA hỗ trợ quản trị viên CA tạo một hệ thống cấp bậc CA linh hoạt, bao gồm CA gốc và CA phụ trợ, mà không cần các CA bên ngoài. Khách hàng có thể tạo các CA an toàn với tính khả dụng cao ở mọi Khu vực AWS, nơi ACM Private CA luôn có sẵn, mà không cần xây dựng và duy trì cơ sở hạ tầng CA tại chỗ của riêng họ. Ngoài ra, các hệ thống cấp bậc CA còn có thể được xây dựng ở chế độ kết hợp các CA trực tuyến và tại chỗ. Ngoài khả năng quản lý đơn giản, ACM Private CA còn cung cấp sự bảo mật thiết yếu cho việc vận hành CA theo các quy tắc tuân thủ nội bộ của khách hàng và các phương pháp bảo mật tốt nhất.

Hỗ trợ tính linh hoạt của các nhà phát triển

ACM Private CA cung cấp cho bạn tính linh hoạt để tạo và triển khai chứng chỉ bằng một vài lệnh gọi API, lệnh CLI hoặc thông qua các mẫu AWS CloudFormation. ACM Private CA cho phép quản trị viên CA ủy quyền việc cấp chứng chỉ riêng cho nhà phát triển bằng cách cho phép họ yêu cầu chứng chỉ từ các CA riêng được chia sẻ với tài khoản AWS của họ. Bạn cũng có thể tự động hóa việc tạo chứng chỉ cho các trường hợp sử dụng yêu cầu số lượng lớn chứng chỉ ngắn hạn. Ví dụ: Bạn có thể tự động tạo và triển khai chứng chỉ để xác định các phiên bản EC2 mới và bộ chứa trong môi trường tự động thay đổi quy mô hoặc để xác thực các thông báo sự kiện được gửi từ các hàm AWS Lambda.

Tùy chỉnh chứng chỉ riêng linh hoạt

ACM Private CA có thể được dùng như dịch vụ độc lập, không cần tính năng quản lý chứng chỉ ACM, để tạo và triển khai các chứng chỉ riêng tùy chỉnh, chẳng hạn như các chứng chỉ với tên tài nguyên hoặc vòng đời tùy chỉnh. Sự linh hoạt này rất có ích trong các trường hợp sử dụng cần xác định tài nguyên theo tên cụ thể, ví dụ: xác định thiết bị bằng số sê-ri, hoặc thời điểm không thể luân chuyển chứng chỉ một cách dễ dàng, chẳng hạn như các chứng chỉ được gắn vào thiết bị phần cứng trong quá trình sản xuất.

Định giá theo mức sử dụng

ACM Private CA giúp bạn tiết kiệm chi phí hơn so với các phương án truyền thống, có sẵn trên thị trường. ACM Private CA cho phép bạn thanh toán hằng tháng cho dịch vụ và các chứng chỉ mà bạn tạo và triển khai. Bạn sử dụng nhiều chứng chỉ hơn nhưng thanh toán ít hơn. Tìm hiểu thêm về cách định giá ở đây.

Các tính năng

Cơ quan cấp chứng chỉ do AWS quản lý

ACM Private CA là dịch vụ được quản lý giúp tự động hóa các tác vụ quản trị tốn thời gian, chẳng hạn như cung cấp phần cứng, vá lỗi phần mềm, đảm bảo độ sẵn sàng cao và sao lưu. ACM Private CA cung cấp khả năng bảo mật, cấu hình, quản lý và theo dõi CA riêng với tính khả dụng cao. ACM Private CA cho phép bạn chọn từ một vài thuật toán khóa và kích thước khóa CA, bao gồm RSA 2048 hoặc 4096 và ECDSA P256 hoặc P384. ACM cũng tạo điều kiện cho bạn để xuất và triển khai chứng chỉ riêng ở mọi nơi bằng cách sử dụng tự động hóa dựa trên API.

Quản lý vòng đời chứng chỉ tích hợp

Với ACM Private CA, bạn có thể chọn ủy quyền quản lý chứng chỉ cho ACM đối với những chứng chỉ được dùng với các dịch vụ tích hợp ACM, chẳng hạn như Elastic Load Balancing và API Gateway. Bạn có thể dễ dàng tạo và triển khai các chứng chỉ riêng bằng cách sử dụng Bảng điều khiển quản lý AWS hoặc các API AWS. ACM có thể tự động hóa quá trình gia hạn và triển khai các chứng chỉ này. ACM Private CA còn cung cấp cho bạn các API để tự động hóa quá trình tạo và gia hạn chứng chỉ riêng cho các tài nguyên tại chỗ, các phiên bản EC2 và thiết bị IoT. ACM Private CA mang đến cho bạn sự linh hoạt để tự quản lý các chứng chỉ riêng mà không cần đến tính năng quản lý chứng chỉ ACM.

Quản lý hệ thống cấp bậc CA và CA gốc an toàn

Hệ thống cấp bậc ACM Private CA cung cấp cho CA gốc tin cậy nhất đứng đầu chuỗi tin cậy khả năng kiểm soát truy cập hạn chế và cấp độ bảo mật mạnh mẽ, trong khi cho phép các CA phụ trợ thấp hơn trong chuỗi cấp chứng chỉ hàng loạt và truy cập dễ dàng hơn. Bạn có thể kiểm soát đối tượng tạo CA mới hoặc hạn chế quyền truy cập vào các CA hiện có bằng các chính sách AWS Identity and Access Management (IAM). Tất cả ACM Private CA trong một hệ thống cấp bậc sẽ bảo vệ khóa riêng CA của bạn trong phần cứng FIPS 140-2.

Lưu trữ khóa an toàn được hỗ trợ bởi HSM cho khóa CA

Các khóa được tổ chức phát hành chứng chỉ sử dụng để ký chứng chỉ đều có độ nhạy cao. ACM Private CA bảo vệ khóa CA bằng các mô-đun bảo mật phần cứng, hay HSM, do AWS quản lý. Những HSM này tuân theo tiêu chuẩn bảo mật FIPS 140-2 để giúp bảo vệ Private CA của bạn trước các hành vi xâm phạm khóa. Thông tin chi tiết về phần cứng FIPS 140-2 có trong tài liệu về Private CA.

Tích hợp IAM

Bạn có thể kiểm soát quyền truy cập vào dịch vụ Private CA bằng các chính sách AWS IAM. Ví dụ: Bạn có thể tạo chính sách để cấp quyền cho các quản trị viên CNTT chịu trách nhiệm đối với quyền truy cập đầy đủ vào việc quản lý CA để tạo và định cấu hình Private CA, trong khi cấp quyền truy cập hạn chế cho những nhà phát triển và người dùng chỉ cần phát hành và thu hồi chứng chỉ.

Thu hồi chứng chỉ bằng CRL và OCSP

Khi thiết lập kết nối TLS mã hóa, một cơ sở hạ tầng thu hồi sẽ thông báo cho điểm cuối rằng chứng chỉ không đáng tin cậy. Khách hàng sử dụng Private CA có thể chọn Giao thức trạng thái chứng chỉ trực tuyến (OCSP), Danh sách chứng chỉ bị thu hồi (CRL) hoặc cả hai để phân phối thông tin thu hồi cho các chứng chỉ riêng tư của họ.

Chia sẻ CA trên các tài khoản

Việc chia sẻ CA trên toàn tổ chức hoặc trên nhiều tài khoản AWS sẽ tránh được chi phí và sự phức tạp của việc tạo và quản lý các CA trùng lặp trong tất cả các tài khoản AWS của bạn. Bạn có thể tạo hoạt động chia sẻ tài nguyên qua AWS Resource Access Manager (RAM) bao gồm các ACM Private CA và được liên kết với một nhóm tài khoản hoặc AWS Organizations. Việc này cho phép các tài khoản được bao gồm phát hành chứng chỉ riêng từ CA được chia sẻ. Khi sử dụng AWS Certificate Manager để phát hành chứng chỉ riêng từ CA được chia sẻ, chứng chỉ sẽ được tạo cục bộ ở tài khoản yêu cầu và ACM sẽ cung cấp khả năng quản lý và gia hạn vòng đời đầy đủ.

Tùy chỉnh

ACM Private CA có thể được dùng như dịch vụ độc lập để phát hành chứng chỉ trực tiếp mà không cần sử dụng ACM cho việc quản lý khóa riêng và chứng chỉ. Khi sử dụng theo cách này, bạn có thể tạo chứng chỉ với bất kỳ tên chủ thể nào mà bạn muốn, với bất kỳ thuật toán khóa, kích thước khóa, thuật toán ký được hỗ trợ nào và bất kỳ khoảng thời gian hiệu lực nào, bao gồm ngày, tháng hoặc năm kể từ thời điểm hiện tại hoặc một ngày kết thúc cụ thể.

Kiểm tra và ghi nhật ký

ACM Private CA cho phép bạn và chuyên viên đánh giá theo dõi hoạt động Private CA của bạn. Bạn có thể tạo các báo cáo kiểm tra bao gồm trạng thái của tất cả chứng chỉ đã phát hành từ CA. ACM Private CA được tích hợp với AWS CloudTrail. CloudTrail thu thập các lệnh gọi API từ bảng điều khiển ACM Private CA, từ CLI hoặc từ mã của bạn và phân phối các tệp nhật ký vào vùng lưu trữ S3 của bạn. Sử dụng thông tin do CloudTrail thu thập, bạn có thể xác định yêu cầu đã được đưa ra, địa chỉ IP gửi yêu cầu, thời điểm đưa ra yêu cầu, v.v.

Tự động hóa dựa trên API

Bạn có thể viết mã để tự động hóa việc quản lý chứng chỉ ở ngôn ngữ lập trình mà bạn chọn bằng ACM Private CA hoặc API ACM. SDK AWS giúp việc xác thực trở nên đơn giản hơn và tích hợp hiệu quả với môi trường phát triển của bạn. Bạn cũng có thể viết các tập lệnh hoặc lệnh một lần bằng cách sử dụng các công cụ dòng lệnh để tương tác với dịch vụ.

Giúp đáp ứng các yêu cầu tuân thủ

Bằng cách làm cho việc kích hoạt SSL/TLS trở nên dễ dàng, AWS Certificate Manager có thể giúp tổ chức của bạn đáp ứng các yêu cầu pháp lý và tuân thủ đối với mã hóa dữ liệu đang truyền. Để biết thông tin cụ thể về tính tuân thủ, tham khảo trang Tính tuân thủ của Đám mây AWS.

Tăng thời gian vận hành

AWS Certificate Manager giúp giải quyết những thách thức từ việc duy trì các chứng chỉ SSL/TLS, bao gồm quy trình gia hạn chứng chỉ để bạn không phải bận tâm về những chứng chỉ hết hạn.

ArcticWolfNetworksLogo
Blacksky
Arctic Wolf Networks (AWN) là nhà cung cấp SOC dưới dạng dịch vụ đầu ngành, cung cấp khả năng giám sát 24/7 và phát hiện mối đe dọa được quản lý, đồng thời phản hồi với các ứng dụng và cơ sở hạ tầng tại chỗ cũng như trên đám mây. Chúng tôi sử dụng ACM Private Certificate Authority (CA) để phát hành chứng chỉ nhằm đảm bảo kết nối an toàn từ cảm biến tới nền tảng Trung tâm điều hành bảo mật chuyên dụng chạy trong AWS của chúng tôi. ACM Private CA cung cấp cho chúng tôi một CA an toàn và được quản lý, có thể tích hợp vào cơ sở hạ tầng bằng các API AWS tương tự.

Michael Hart, Giám đốc kỹ thuật cơ sở hạ tầng - Artic Wolf

Trường hợp sử dụng

TLS cho các dịch vụ AWS

Với AWS Certificate Manager, bạn có thể nhanh chóng yêu cầu một chứng chỉ và triển khai chứng chỉ đó trên các tài nguyên AWS tích hợp ACM, chẳng hạn như các bản phân phối Elastic Load Balancer, Amazon CloudFront và các API trên API Gateway, đồng thời cho phép AWS Certificate Manager xử lý các yêu cầu gia hạn chứng chỉ. Chứng chỉ riêng được sử dụng để định danh và bảo mật nội dung truyền thông giữa các tài nguyên kết nối trên mạng riêng, chẳng hạn như các máy chủ, thiết bị di động và IoT, cũng như các ứng dụng.

ACM hỗ trợ yêu cầu chứng chỉ từ AWS Private CA và quản lý vòng đời chứng chỉ cho các chứng chỉ riêng của bạn, cả hai đều liên kết chứng chỉ với các tài nguyên AWS và xuất để sử dụng bên ngoài AWS. Để tìm hiểu thêm, xem Hướng dẫn bắt đầu sử dụng AWS Certificate Manager.

TLS cho Kubernetes

Các bộ chứa và ứng dụng của Kubernetes sử dụng chứng chỉ kỹ thuật số để cung cấp khả năng xác thực và mã hóa an toàn qua TLS. cert-manager là phần bổ trợ cho Kubernetes để cung cấp cho TLS khả năng quản lý chứng chỉ. cert-manager yêu cầu có chứng chỉ, phân bổ chứng chỉ đến các bộ chứa Kubernetes và tự động gia hạn chứng chỉ. cert-manager giúp đảm bảo chứng chỉ luôn hợp lệ và cập nhật, đồng thời tìm cách gia hạn chứng chỉ vào thời điểm thích hợp trước khi hết hạn.

AWS Private CA hỗ trợ plugin nguồn mở cho cert-manager để cung cấp cho cơ quan phát hành chứng chỉ một giải pháp an toàn hơn đối với các bộ chứa của Kubernetes. Những khách hàng sử dụng cert-manager để quản lý vòng đời chứng chỉ ứng dụng có thể sử dụng giải pháp này để cải thiện khả năng bảo mật qua CA cert-manager mặc định, nơi lưu trữ khóa ở dạng văn bản thuần vào bộ nhớ máy chủ. Những khách hàng có yêu cầu theo quy định về việc kiểm soát quyền truy cập và kiểm tra các hoạt động CA của họ có thể sử dụng giải pháp này để cải thiện khả năng kiểm tra cũng như hỗ trợ tuân thủ. Bạn có thể sử dụng phần bổ trợ AWS Private CA Issuer với Amazon Elastic Kubernetes Service, Kubernetes tự quản lý trên AWS và Kubernetes tại chỗ. Để tìm hiểu thêm, xem tài liệu về Private CA để định cấu hình với Kubernetes. 

Standard Product Icons (Features) Squid Ink
Tìm hiểu cách bắt đầu

Bắt đầu với AWS Certificate Manager

Tìm hiểu thêm 
Sign up for a free account
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS.

Đăng ký 
Standard Product Icons (Start Building) Squid Ink
Bắt đầu xây dựng trong bảng điều khiển

Bắt đầu xây dựng với AWS Certificate Manager trong Bảng điều khiển AWS.

Đăng nhập