AWS Private Certificate Authority 专业2018年〜
运营私有证书颁发机构(CA)的托管服务
它能做什么
AWS Private CA 是一项创建和管理私有证书颁发机构(CA)的托管服务。可以为组织内部的服务器、设备、应用颁发私有 TLS/SSL 证书。无需管理 CA 基础设施,即可实现证书的颁发、续期和吊销。
使用场景
用于内部服务间的 mTLS(双向 TLS)通信、IoT 设备的身份认证、内部 Web 应用的 HTTPS 化、代码签名证书的颁发。
日常类比
可以比作公司内部的身份证发放部门。为公司内部的员工(服务器和设备)发放身份证(证书),用于证明身份。身份证的发放、续期和作废都由该部门统一管理。
什么是 Private CA
AWS Private CA 是一项私有证书颁发机构服务。与 ACM(AWS Certificate Manager)颁发的公共证书不同,Private CA 颁发的证书用于组织内部通信。可以构建根 CA 和从属 CA 的层级结构,按照组织的安全策略管理证书。
证书颁发与管理
Private CA 支持颁发 TLS/SSL 证书、代码签名证书和 OCSP 签名证书。证书的有效期可以自定义。通过 CRL(证书吊销列表)和 OCSP(在线证书状态协议)管理证书的吊销状态。与 ACM 集成后,可以将私有证书部署到 ELB 和 CloudFront。 如需了解证书颁发与管理的全貌,可参考参考书籍(Amazon)。
开始使用
在 Private CA 控制台创建 CA,设置 CA 类型(根或从属)和密钥算法。CA 创建后,通过 ACM 或 API 颁发证书。颁发的证书可以部署到 AWS 服务或下载后安装到本地服务器。
注意事项
- Private CA 按月收取 CA 维护费和证书颁发费
- 颁发的私有证书不被公共浏览器信任,仅用于组织内部通信
