AWS Private Certificate Authority
创建和管理组织内部使用的私有证书颁发机构(CA),自动化 TLS 证书和设备证书发行的服务
概述
AWS Private Certificate Authority(Private CA)是一项创建和运营私有证书颁发机构的托管服务。无需构建和维护自有 CA 基础设施,即可为组织内部通信、IoT 设备认证、代码签名等用途发行 X.509 证书。与 ACM 集成实现证书的自动发行和续期,通过 IAM 策略精细控制证书发行权限。支持根 CA 和从属 CA 的层级结构,可构建符合企业安全策略的 PKI(公钥基础设施)。
CA 层级设计与证书模板
Private CA 支持根 CA 和从属 CA 的多层 CA 层级。推荐的设计是将根 CA 保持离线(仅用于签发从属 CA 证书),日常证书发行由从属 CA 执行。这样即使从属 CA 被入侵,也可以吊销该从属 CA 而不影响整个 PKI。证书模板定义发行证书的用途和扩展:服务器认证(TLS)、客户端认证、代码签名、OCSP 签名等。自定义模板可添加组织特有的扩展字段。CA 的有效期设计也很重要——根 CA 通常设置 10-20 年,从属 CA 设置 3-5 年,终端实体证书设置 1 年以下。短有效期降低密钥泄露时的影响范围。
证书发行自动化与 ACM 集成
Private CA 与 ACM(AWS Certificate Manager)集成,实现私有证书的自动发行和续期。通过 ACM 请求的私有证书在到期前自动续期,无需手动操作。对于 ELB、CloudFront、API Gateway 等 AWS 服务,ACM 集成的证书可一键部署。IssueCertificate API 支持编程方式发行证书,可集成到 CI/CD 管道中为每次部署自动发行短期证书。IoT 设备证书的大量发行使用批量发行功能,一次请求可发行数千张证书。证书吊销通过 CRL(证书吊销列表)或 OCSP(在线证书状态协议)发布,Private CA 自动管理 CRL 的 S3 发布和 OCSP 响应器。
合规性与成本优化
Private CA 符合 SOC、PCI DSS、HIPAA 等合规要求,审计日志通过 CloudTrail 记录所有 CA 操作和证书发行。对于需要证书透明度的用例,可配置将发行的证书记录到 CT 日志。成本结构为每个 CA 的月费加上每张证书的发行费。月费在 CA 存在期间持续产生,因此不使用的 CA 应及时删除或禁用。短期证书(有效期 7 天以下)的发行费较低,适合微服务间 mTLS 等频繁轮换的场景。对于大量发行场景,批量发行的单价低于逐张发行。与 ACM 集成发行的证书不产生额外的 Private CA 发行费(包含在 ACM 费用中),这是成本优化的关键点。