AWS Private CA 支持创建私有 CA 层次结构,包括根证书和子证书认证中心,以免去自己搭建认证中心的金钱和维护成本。你的 Private CAs 可以颁发终端 X.509 证书,这些证书在下面的场景中非常有用:
- 创建加密的 TLS 通信通道
- 对用户、计算机、API端点或者物联网设备做身份认证
- 加密代码
- 实现用于获取证书吊销状态的在线证书状态协议(OCSP)
操作 AWS Private CA 的 3 种方式:
- AWS 管理控制台
- AWS Private CA API
- AWS CLI
哪个证书服务最适合我?
有两种 AWS 服务用于办法和部署 X.509 证书,选择最适合你的一种,考虑因素包括是否面向公共或私有的证书、定制化证书、部署到其他 AWS 服务的证书、自动管理和续约证书。
-
AWS Private CA
此服务面向企业客户,用于在 AWS 云中构建公钥基础设施(PKI)并在组织内部的私优化使用。通过 AWS Private CA,你可以创建你自己的 CA 层次结构并用它颁发证书,用于认证内部的用户、计算机、应用、服务、服务器和其他设备,并对计算机代码签名。通过 Private CA 办法的证书只能在你组织内部受信任,不能在互联网上受信任。
创建一个 Private CA 后,你就有直接颁发证书(不需要获取第三方 CA 的验证)和根据组织内部需要定制化证书的能力。比如,你可能需要:- 创建任意主题名字的证书
- 创建任意有效期的证书
- 使用任意支持的私钥算法和秘钥长度
- 使用任意支持的签名算法
- 使用模板控制证书颁发
-
AWS Certificate Manager (ACM)
此服务为需要使用 TLS 的公共信任的安全 Web 显示的企业客户管理证书。你可以将 ACM 证书部署到 AWS Elastic Load Balancing、Amazon CloudFront,、Amazon API Gateway 和可集成的服务中。这种应用通常是有大流量要求的安全公共网站。
通过此服务,你可以使用 ACM 提供的公共证书或者你自己导入到 ACM 的证书。如果你使用 AWS Private CA 创建了一个 CA,ACM 也可以管理和自动续约从该 Private CA 发布的证书。
