建立 CA (主控台) 的程序 - AWS Private Certificate Authority
模式選項CA 類型選項主體辨別名稱選項關鍵演算法選項憑證撤銷選項新增標籤CA 權限選項定價建立 CA

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 CA (主控台) 的程序

若要使用建立私有 CA,請完成下列步驟 AWS Management Console。

開始使用主控台

請登入您的 AWS 帳戶,然後在開啟 AWS 私有 CA 主機https://console.aws.amazon.com/acm-pca/home

  • 如果您要在沒有私人 CA 的區域中開啟主控台,則會顯示簡介頁面。選擇 [建立私人 CA]。

  • 如果您要在已建立 CA 的區域中開啟主控台,則會開啟 [私人憑證授權單位] 頁面,其中包含 CA 清單。選擇 [建立 CA]。

模式選項

在主控台的 [模式選項] 區段中,選擇 CA 發行之憑證的到期模式。

  • 一般用途 — 發行可以設定任何到期日的憑證。此為預設值。

  • 短期憑證 — 發行有效期上限為七天的憑證。在某些情況下,短的有效期可以取代撤銷機制。

CA 類型選項

在主控台的 [類型選項] 區段中,選擇您要建立的私人憑證授權單位類型。

  • 選擇會建立新的 CA 階層。這個 CA 是以自我簽署的憑證為基礎的。它作為階層中其他 CA 和最終實體憑證的最終簽署權限。

  • 選擇「從屬」會建立一個 CA,該 CA 必須由階層中的父項 CA 在其上方簽署。從屬 CA 通常用於建立其他從屬 CA 或發行終端實體憑證給使用者、電腦和應用程式。

    注意

    AWS 私有 CA 當您的下屬 CA 的父 CA 也由 AWS 私有 CA託管時,會提供自動簽署程序。您要做的就是選擇要使用的父 CA。

    您的下屬 CA 可能需要由外部信任服務提供商簽名。如果是這樣,會 AWS 私有 CA 提供您一個憑證簽署要求 (CSR),您必須下載並使用該要求才能取得已簽署的 CA 憑證。如需詳細資訊,請參閱 安裝由外部父 CA 簽署的從屬 CA 憑證

主體辨別名稱選項

主體辨別名稱選項下,設定私人 CA 的主旨名稱。您必須至少輸入下列其中一個選項的值:

  • 組織 (O) — 例如,公司名稱

  • 組織單位 (OU) — 例如,公司內的部門

  • 國家名稱 (C) — 兩個字母的國家代碼

  • 州或省名稱 — 州或省的全名

  • 地區名稱 — 城市的名稱

  • 通用名稱 (CN) — 用於識別 CA 的人類可讀字串。

注意

您可以在發行時套用 APiPassThrough 範本,進一步自訂憑證的主旨名稱。如需詳細資訊和詳細範例,請參閱使用 API 傳遞範本發行具有自訂主體名稱的憑證

由於支援憑證是自我簽署的,因此您為私有 CA 提供的主旨資訊可能比公用 CA 所包含的資訊更為稀疏。如需組成主旨辨別名稱之每個值的詳細資訊,請參閱 RFC 52 80。

關鍵演算法選項

金鑰演算法選項下,選擇金鑰演算法和金鑰的位元大小。預設值是具有 2048 位元金鑰長度的 RSA 演算法。您可以從以下算法中進行選擇:

  • RSA 2048

  • RSA 4096

  • ECDSA P256

  • ECDSA P384

憑證撤銷選項

在 [憑證撤銷選項] 底下,您可以選取兩種與使用憑證的用戶端共用撤銷狀態的方法:

  • 啟動 CRL 發佈

  • 開啟 OCSP

您可以為 CA 設定這些撤銷選項,或兩者都不設定。雖然選擇性,但建議使用管理撤銷作為最佳作法。在完成此步驟之前,請設定憑證撤銷方法參閱以取得有關每種方法的優點、可能需要的初步設定以及其他撤銷功能的資訊。

注意

如果您在未設定撤銷的情況下建立 CA,您隨時可以稍後進行設定。如需詳細資訊,請參閱 更新您的私有 CA

  1. 在 [憑證撤銷選項] 下,選擇 [啟動 CRL 發佈]。

  2. 若要為 CRL 項目建立 Amazon S3 儲存貯體,請選擇建立新的 S3 儲存貯體,然後輸入唯一的儲存貯體名稱。(您不需要包含指向儲存貯體的路徑。) 否則,在 S3 儲存貯體 URI 下,從清單中選擇現有儲存貯體。

    當您透過主控台建立新儲存貯體時,會 AWS 私有 CA 嘗試將必要的存取政策附加至儲存貯體,並停用其上的 S3 預設封鎖公用存取 (BPA) 設定。如果您改為指定現有值區,則必須確定帳戶和值區的 BPA 已停用。否則,建立 CA 的作業會失敗。如果 CA 已成功建立,您仍必須手動附加原則,才能開始產生 CRL。使用中所述的其中一個策略模式Amazon S3 中 CRL 的訪問政策 。如需詳細資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策。

    重要

    如果滿足下列所有條件,嘗試使用 AWS 私有 CA 主控台建立 CA 就會失敗:

    • 您正在設定 CRL。

    • 您 AWS 私有 CA 要求自動建立 S3 儲存貯體。

    • 您正在執行 S3 中的雙酚 A 設定。

    在此情況下,主控台會建立值區,但會嘗試並無法公開存取。如果發生這種情況,請檢查您的 Amazon S3 設定,視需要停用 BPA,然後重複建立 CA 的程序。如需詳細資訊,請參閱封鎖 Amazon S3 儲存的公開存取

  3. 展開 CRL 設定以取得其他組態選項。

    • 新增自訂 CRL 名稱,為您的 Amazon S3 儲存貯體建立別名。此名稱包含在由 RFC 5280 定義的「CRL 發佈點」延伸模組中由 CA 所發行的憑證中。

    • 輸入 CRL 將保持有效期的天數。預設值為 7 天。對於在線 CRL,通常有效期為 2-7 天。 AWS 私有 CA 嘗試在指定期間的中點重新產生 CRL。

  4. 展開 S3 設定,以選用儲存貯體版本控制和儲存貯存取記錄的組態

  1. 在 [憑證撤銷選項] 底下,選擇 [開啟 OCSP]。

  2. 自訂 OCSP 端點 -選用欄位中,您可以為非 Amazon OCSP 端點提供完整網域名稱 (FQDN)。

    當您在此欄位中提供 FQDN 時,會將 FQDN AWS 私有 CA 插入每個已發行憑證的「授權單位資訊存取」延伸模組,以取代 OCSP 回應程式的預設 URL。 AWS 當端點收到包含自訂 FQDN 的憑證時,會查詢該位址是否有 OCSP 回應。為了使此機制正常運作,您需要採取兩個額外的動作:

    • 使用 Proxy 伺服器將到達自訂 FQDN 的流量轉送給 AWS OCSP 回應程式。

    • 將對應的 CNAME 記錄新增至您的 DNS 資料庫。

    提示

    如需使用自訂 CNAME 實作完整 OCSP 解決方案的詳細資訊,請參閱。設定 AWS 私有 CA OCSP 的自訂網址

    例如,以下是自訂 OCSP 的 CNAME 記錄,就像它會出現在 Amazon 路線 53 中一樣。

    記錄名稱 Type 路由政策 微分器 值/將流量路由到

    替代例子

    		 CNAME 簡便 - 代理例子
    注意

    CNAME 的值不得包含通訊協定前置詞,例如「http://」或「https://」。

新增標籤

在 [新增標籤] 底下,您可以選擇性地標記 CA。標籤是做為中繼資料的鍵/值對,可用來識別和整理 AWS 資源。如需 AWS 私有 CA 標籤參數的清單,以及如何在建立後將標籤新增至 CA 的指示,請參閱管理私有 CA 的標籤

注意

若要在建立程序期間將標籤附加至私有 CA,CA 管理員必須先將內嵌 IAM 政策與CreateCertificateAuthority動作建立關聯,並明確允許標記。如需詳細資訊,請參閱 Tag-on-create:建立時將標籤附加至 CA

CA 權限選項

CA 權限選項下,您可以選擇性地將自動續訂權限委派給 AWS Certificate Manager 服務主體。如果授與此權限,ACM 只能自動更新此 CA 所產生的私有終端實體憑證。您可以隨時使用 AWS 私有 CA CreatePermissionAPI 或建權限 CLI 命令指派續訂權限。

預設是啟用這些許可。

注意

AWS Certificate Manager 不支援短期憑證的自動更新。

定價

在 [定價] 底下,確認您瞭解私有 CA 的定價。

注意

如需最新 AWS 私有 CA 定價資訊,請參閱AWS Private Certificate Authority 定價。您也可以使用定AWS 價計算器來估算成本。

建立 CA

檢查完所有輸入的資訊之後,請選擇「建立 CA」。CA 的詳細資料頁面隨即開啟,並將其狀態顯示為擱置憑證

注意

在詳細資料頁面上,您可以選擇 「動作」、「安裝 CA 憑證」來完成 CA 的設定,或者稍後返回「私人憑證授權單位」清單,並完成適用於您的情況的安裝程序: