本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 私有 CA 让您可以基于云对组织的私有 PKI(公钥基础架构)进行全面的控制,从根证书颁发机构 (CA) 到下级证书 CAs,再到终端实体证书。要想实现安全、可维护、可扩展且适合组织需求的 PKI,全面的规划至关重要。本节提供了有关设计 CA 层次结构、管理私有 CA 和私有终端实体证书生命周期的指导,以及如何应用最佳安全实践。
本节介绍如何在创建私有证书颁发机构 (CA) 之前做好使用准备 AWS 私有 CA 。它还说明了通过在线证书状态协议(OCSP)或证书吊销列表(CRL)添加吊销支持的选项。
此外,您还应确定您的组织是否更愿意将其私有根 CA 凭证托管在本地而不是使用 AWS托管。在这种情况下,您需要在使用前设置并保护自我管理的私有 PKI。 AWS 私有 CA在这种情况下,您随后在中创建一个由外部的父 CA AWS 私有 CA 支持的从属 CA AWS 私有 CA。有关更多信息,请参阅安装由外部父 CA 签名的从属 CA 证书。
