Disponibilidade regional Serviços integrados Algoritmos compatíveis RFCConformidade com 5280 Definição de preço

O que CA privada da AWSé

CA privada da AWS permite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinadaCAs, sem os custos de investimento e manutenção da operação de uma CA local. Sua entidade privada CAs pode emitir certificados X.509 de entidade final úteis em cenários que incluem:

Criação de canais TLS de comunicação criptografados
Autenticação de usuários, computadores, API endpoints e dispositivos de IoT
Assinar código de forma criptográfica
Implementando o Protocolo de Status de Certificado Online (OCSP) para obter o status de revogação do certificado

CA privada da AWS as operações podem ser acessadas a AWS Management Console partir do CA privada da AWS API, usando o. ou usando AWS CLI o.

Tópicos

Disponibilidade regional para AWS Private Certificate Authority
Serviços integrados com AWS Private Certificate Authority
Algoritmos criptográficos suportados em AWS Private Certificate Authority
RFCConformidade com 5280 em AWS Private Certificate Authority
Preços para AWS Private Certificate Authority
Termos e conceitos para AWS Private CA

Disponibilidade regional para AWS Private Certificate Authority

Como a maioria dos AWS recursos, as autoridades de certificação privadas (CAs) são recursos regionais. Para usar o CAs modo privado em mais de uma região, você deve criar o seu CAs nessas regiões. Você não pode copiar de forma privada CAs entre regiões. Acesse Regiões e endpoints da AWS na Referência geral da AWS ou na Tabela de regiões da AWS para ver a disponibilidade regional do CA privada da AWS.

nota

ACMatualmente está disponível em algumas regiões que CA privada da AWS não estão.

Serviços integrados com AWS Private Certificate Authority

Se você costuma AWS Certificate Manager solicitar um certificado privado, poderá associar esse certificado a qualquer serviço integrado aoACM. Isso se aplica tanto aos certificados encadeados a uma CA privada da AWS raiz quanto aos certificados encadeados a uma raiz externa. Para obter mais informações, consulte Serviços integrados no Guia AWS Certificate Manager do usuário.

Você também pode integrar o privado ao Amazon Elastic Kubernetes Service para fornecer a emissão de certificados CAs dentro de um cluster Kubernetes. Para obter mais informações, consulte Proteja o Kubernetes com CA privada da AWS.

nota

O Amazon Elastic Kubernetes Service não é um serviço integrado. ACM

Se você usar o CA privada da AWS API ou AWS CLI para emitir um certificado ou exportar um certificado privadoACM, poderá instalar o certificado em qualquer lugar que desejar.

Algoritmos criptográficos suportados em AWS Private Certificate Authority

CA privada da AWS suporta os seguintes algoritmos criptográficos para geração de chave privada e assinatura de certificados.

Algoritmo compatível
Algoritmos de chave privada	Algoritmos de assinatura
RSA_2048 RSA_4096 EC_prime256v1 EC_secp384r1 SM2(Somente regiões da China)	SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSA SHA512WITHRSA SM3WITHSM2

Essa lista se aplica somente aos certificados emitidos diretamente por CA privada da AWS meio de seu console ou linha de comando. API Quando AWS Certificate Manager emite certificados usando um CA de CA privada da AWS, ele suporta alguns, mas não todos esses algoritmos. Para obter mais informações, consulte Solicitar um certificado privado no Guia AWS Certificate Manager do usuário.

nota

Em todos os casos, a família de algoritmos de assinatura especificada (RSAouECDSA) deve corresponder à família de algoritmos da chave privada da CA.

RFCConformidade com 5280 em AWS Private Certificate Authority

CA privada da AWS não impõe certas restrições definidas em 5280. RFC A situação inversa também é verdadeira: determinadas restrições adicionais apropriadas a uma CA privada são impostas.

Impostas

Não depois da data. Em conformidade com RFC5280, CA privada da AWS impede a emissão de certificados com uma data posterior à Not After Not After data do certificado da CA emissora.
Restrições básicas. CA privada da AWS impõe restrições básicas e comprimento do caminho em certificados CA importados.

As restrições básicas indicam se o recurso identificado pelo certificado é ou não uma CA e pode emitir certificados. Os certificados CA importados no CA privada da AWS devem incluir a extensão das restrições básicas e a extensão deve ser marcada como critical. Além da critical bandeira, CA=true deve ser definida. CA privada da AWS impõe restrições básicas ao falhar com uma exceção de validação pelos seguintes motivos:
- A extensão não está incluída no certificado CA.
- A extensão não está marcada como critical.
O comprimento do caminho (pathLenConstraint) determina quantos subordinados CAs podem existir a jusante do certificado CA importado. CA privada da AWS impõe o comprimento do caminho ao falhar com uma exceção de validação pelos seguintes motivos:
- Importar um certificado CA violaria a restrição de comprimento de caminho no certificado CA ou em qualquer certificado CA na cadeia.
- A emissão de um certificado violaria uma restrição de comprimento de caminho.
As restrições de nome indicam um espaço de nomes dentro do qual todos os nomes de assuntos nos certificados subsequentes em um caminho de certificação devem estar localizados. As restrições se aplicam ao nome distinto do sujeito e aos nomes alternativos do assunto.

Não impostas

Políticas de certificação. As políticas de certificado regulam as condições sob as quais uma CA emite certificados.
Inibir. anyPolicy Usado em certificados emitidos paraCAs.
Nome alternativo do emissor. Permite que identidades adicionais sejam associadas ao emissor do certificado CA.
Restrições políticas. Essas restrições limitam a capacidade de uma CA para emitir certificados CA subordinados.
Mapeamentos de políticas. Usado em certificados CA. Lista um ou mais pares deOIDs; cada par inclui um issuerDomainPolicy e subjectDomainPolicy a.
Atributos do diretório de assuntos. Usado para transmitir atributos de identificação do sujeito.
Acesso às informações do assunto. Como acessar informações e serviços sobre o assunto do certificado no qual a extensão aparece.
Identificador da chave do assunto (SKI) e Identificador da chave de autoridade (AKI). É RFC necessário um certificado CA para conter a SKI extensão. Os certificados emitidos pela CA devem conter uma AKI extensão correspondente à do certificado da CASKI. AWS não impõe esses requisitos. Se seu certificado CA não contiver umSKI, o certificado de entidade final emitido ou de CA subordinado AKI será, em vez disso, o hash SHA -1 da chave pública do emissor.
SubjectPublicKeyInfoe nome alternativo do assunto (SAN). Ao emitir um certificado, CA privada da AWS copia o certificado SubjectPublicKeyInfo e SAN as extensões do fornecido CSR sem realizar a validação.

Preços para AWS Private Certificate Authority

Um preço mensal é cobrado em sua conta por cada CA privada começando no momento em que ela é criada. Você também será cobrado por cada certificado emitido. Essa cobrança inclui certificados que você exporta ACM e certificados que você cria a partir do CA privada da AWS API ou CA privada da AWS CLI. Você não será cobrado por uma CA privada depois que ela for excluída. No entanto, ao restaurar uma CA privada, você é cobrado pelo tempo entre a exclusão e a restauração. Os certificados privados a cuja chave privada você não tem acesso são gratuitos. Isso inclui certificados que são usados com serviços integrados, como Elastic Load Balancing e CloudFront API Gateway.

Para obter as informações mais recentes sobre CA privada da AWS preços, consulte AWS Private Certificate Authority Preços. Você também pode usar a Calculadora de preços da AWS para estimar os custos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Termos e conceitos para AWS Private CA