免费下载案例集|20+数字化领先企业人才培养实践经验 了解详情
写点什么

AWS Certificate Manager 启动私有证书颁发机构

  • 2019-10-25
  • 本文字数:2107 字

    阅读完需:约 7 分钟

AWS Certificate Manager 启动私有证书颁发机构

今天,我们发布了 AWS Certificate Manager (ACM) 的新功能:私有证书颁发机构 (CA)。这种新服务允许 ACM 充当私有从属 CA。以前,如果客户想使用私有证书,他们需要专业的基础设施和安全专业知识,维护和运行费用可能很昂贵。ACM 私有 CA 依托 ACM 现有的证书功能,帮助您轻松而安全地管理私有证书的生命周期,按照使用情况计费。这样,开发人员只需几个简单的 API 调用就能够提供证书,而管理员拥有中央 CA 管理控制台并可通过精细 IAM 策略实现细粒度访问控制。ACM 私有 CA 密钥安全地存储在符合 FIPS 140-2 3 级安全标准的 AWS 托管硬件安全模块 (HSM) 中。ACM 私有 CA 自动维护 Amazon Simple Storage Service (S3) 中的证书撤消列表 (CRL),让管理员能够通过 API 或控制台生成证书创建操作审核列表。此服务包含完整功能,让我们开始演示并提供 CA。

提供私有证书颁发机构 (CA)

首先,我将导航到我所在地区的 ACM 控制台,并在侧栏中选择新的“私有 CA”部分。我将从这里单击“入门”以启动 CA 向导。目前,我只有提供从属 CA 的选项,因此我们将选择它并使用我的超级安全桌面作为根 CA,然后单击“下一步”。在生产环境中不这样操作,这只是为了测试我们的私有 CA。



现在,我将配置 CA 的一些常见细节。此处最重要的是“公用名”,我将其设置为 secure.internal ,代表我的内部域。



现在,我需要选择我的密钥算法。椭圆曲线数字签名 (ECDSA) 是数据块领域的新兵,它可生成小得多的密钥,但是易用性和兼容性不如旧版备用 RSA.。您应选择最适合您需要的算法,并了解如今的 ACM 具有限制,只能管理链接到 RSA CA 的证书。现在,我将使用 RSA 2048 位,并单击“下一步”。



在下一个屏幕中,我可以配置我的证书撤消列表 (CRL)。CRL 对于在证书到期之前出现证书受损时向客户端发出通知至关重要。ACM 将为我维护撤消列表,我可以选择将我的 S3 存储桶路由至定制域。在此例中,我将创建新 S3 存储桶用来存储我的 CRL,并单击“下一步”。



最后,我将审核所有详细信息以确保没有输入错误,然后单击“确认并创建”。



几秒钟后,将会出现祝贺画面,指出我已成功地提供了证书颁发机构。好极了!然而,还没有结束。我还需要创建证书签名请求 (CSR) 并使用我的根 CA 为其签名,以激活我的 CA。我将单击“入门”开始此流程。



现在,我将复制 CSR 或将其下载到能够访问我的根 CA(也可以是其他从属 CA – 只要它链接到我的客户端的可信任根)的服务器或桌面。



现在,我可以使用 openssl 之类的工具为我的证书签名,并生成证书链。


Bash


$openssl ca -config openssl_root.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in csr/CSR.pem -out certs/subordinate_cert.pemUsing configuration from openssl_root.cnfEnter pass phrase for /Users/randhunt/dev/amzn/ca/private/root_private_key.pem:Check that the request matches the signatureSignature okThe Subject's Distinguished Name is as followsstateOrProvinceName   :ASN.1 12:'Washington'localityName          :ASN.1 12:'Seattle'organizationName      :ASN.1 12:'Amazon'organizationalUnitName:ASN.1 12:'Engineering'commonName            :ASN.1 12:'secure.internal'Certificate is to be certified until Mar 31 06:05:30 2028 GMT (3650 days)Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated
复制代码


随后,我需要将我的 subordinate_cert.pem 和证书链复制回控制台,然后单击“下一步”。



最后,我将审核所有信息,然后单击“确认并导入”。随后应出现下面的类似画面,显示我的 CA 已成功激活。



现在,我已经有了私有 CA,我们可以回到 ACM 控制台并创建新证书,从而提供私有证书。单击创建新证书之后,我将选择“请求私有证书”按钮,然后单击“请求证书”。



从这里开始,操作与在 ACM 中提供普通证书相似。






现在,我已经有了可以绑定到我的 ELB、CloudFront Distributions、API 网关和其他应用程序的私有证书。我还可以导出证书,以便用于嵌入设备或 ACM 托管环境之外。



现已推出


ACM 私有 CA 本身是一种服务,它所包含的一些功能可能不适合博文发布。强烈建议有兴趣的读者浏览开发人员指南,并熟悉基于证书的安全。ACM 私有 CA 已在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)、加拿大(中部)、欧洲(法兰克福)和欧洲(爱尔兰)推出。私有 CA 的价格为每个私有 CA 每月 400 美元(按比例分配)。在 ACM 中创建和维护证书不会向您收费,收费对象是您访问其私有密钥(导出或在 ACM 外创建)的证书。按证书分级定价,前 1000 个证书为每个证书 0.75 美元,10,000 个证书之后低至每个证书 0.001 美元。


我非常高兴看到管理员和开发开发人员利用这种新服务。如果您考虑这种服务,请一如既往地在 Twitter 或下面的评论中告诉我们。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-certificate-manager-launches-private-certificate-authority/


2019-10-25 08:00855

评论

发布
暂无评论
发现更多内容

鸿蒙团队1024程序员节致敬开发者:同心协力,共码未来

最新动态

融合数据的“聚宝盆”:政企业务资源树

鲸品堂

运营商 政企 企业号 2024年10月PK榜

智慧考务管理系统

深圳亥时科技

生产管理系统(源码+文档+部署+讲解)

深圳亥时科技

“政产学”联合培养高技能人才,助推江门制造业数字化转型升级

Geek_2d6073

一文彻底搞透Redis的数据类型及具体的应用场景

EquatorCoco

redis 1024程序员节

Linux内存泄露案例分析和内存管理分享

京东科技开发者

优秀的AE人像磨皮润肤美容插件 beauty box

理理

项目管理系统(源码+文档+部署+讲解)

深圳亥时科技

软件测试丨Selenium:常用页面信息对比方法expected_conditions

测试人

软件测试

软件测试学习笔记丨Selenium屏幕操作事件TouchActions

测试人

软件测试

ElevenLabs Voice Design :可通过文本创建个性化语音;苹果推出首个开发者测试版丨 RTE 开发者日报

声网

想学程序员又是0基础,如何破局?

高端章鱼哥

员工信息管理系统

深圳亥时科技

寻找AI新势力!“天翼云息壤杯”高校AI大赛火热报名中!

天翼云开发者社区

人工智能 AI

智慧党建系统(源码+文档+部署+讲解)

深圳亥时科技

陶瓷制品生产管理MES系统解决方案

万界星空科技

mes 万界星空科技mes 智能制造业 陶瓷 陶瓷制品

「毅硕|生信教程」 micromamba:mamba的C++实现,超越conda

INSVAST

教程分享 基因数据分析 生信服务 Sentieon

国际专线网络:加速全球化贸易

Ogcloud

SD-WAN国际专线 国际专线 国际网络专线 跨国网络专线

1024程序员节致敬鸿蒙开发者:鸿蒙生态一日千里的幕后英雄

最新动态

道路养护系统(源码+文档+部署+讲解)

深圳亥时科技

开源(open source)是什么?为什么要开源?

伤感汤姆布利柏

捷途旅行者与丰田RAV4荣放的品牌策略差异

科技热闻

荣耀应用市场丨新锐榜单首发上线

荣耀开发者服务平台

荣耀开发者服务平台 应用市场 开发者激励计划 荣耀HONOR

关于RAG

AIGC.TWang

大模型 AIGC rag

1024 | 码客聚会,云上跃迁,探秘华为云和他的开发者朋友们的故事

华为云开发者联盟

HarmonyOS 1024程序员节 鲲鹏计算 昇腾 #人工智能

软件测试学习笔记丨Selenium键盘鼠标事件ActionChains

测试人

软件测试

在After Effects上的快速输出GIF动图格式插件:GifGun for Mac

理理

分销管理系统(源码+文档+部署+讲解)

深圳亥时科技

跨越语言边界,Greptime 与蚂蚁向量数据库合作实现向量搜索性能 5 倍新突破

Greptime 格睿科技

数据库 云原生 检索 向量数据库

快手小店详情API接口的获取与应用

科普小能手

API 接口 API 测试 快手API接口 快手数据采集 快手API

AWS Certificate Manager 启动私有证书颁发机构_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章