HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

AWS Certificate Manager 启动私有证书颁发机构

  • 2019-10-25
  • 本文字数:2107 字

    阅读完需:约 7 分钟

AWS Certificate Manager 启动私有证书颁发机构

今天,我们发布了 AWS Certificate Manager (ACM) 的新功能:私有证书颁发机构 (CA)。这种新服务允许 ACM 充当私有从属 CA。以前,如果客户想使用私有证书,他们需要专业的基础设施和安全专业知识,维护和运行费用可能很昂贵。ACM 私有 CA 依托 ACM 现有的证书功能,帮助您轻松而安全地管理私有证书的生命周期,按照使用情况计费。这样,开发人员只需几个简单的 API 调用就能够提供证书,而管理员拥有中央 CA 管理控制台并可通过精细 IAM 策略实现细粒度访问控制。ACM 私有 CA 密钥安全地存储在符合 FIPS 140-2 3 级安全标准的 AWS 托管硬件安全模块 (HSM) 中。ACM 私有 CA 自动维护 Amazon Simple Storage Service (S3) 中的证书撤消列表 (CRL),让管理员能够通过 API 或控制台生成证书创建操作审核列表。此服务包含完整功能,让我们开始演示并提供 CA。

提供私有证书颁发机构 (CA)

首先,我将导航到我所在地区的 ACM 控制台,并在侧栏中选择新的“私有 CA”部分。我将从这里单击“入门”以启动 CA 向导。目前,我只有提供从属 CA 的选项,因此我们将选择它并使用我的超级安全桌面作为根 CA,然后单击“下一步”。在生产环境中不这样操作,这只是为了测试我们的私有 CA。



现在,我将配置 CA 的一些常见细节。此处最重要的是“公用名”,我将其设置为 secure.internal ,代表我的内部域。



现在,我需要选择我的密钥算法。椭圆曲线数字签名 (ECDSA) 是数据块领域的新兵,它可生成小得多的密钥,但是易用性和兼容性不如旧版备用 RSA.。您应选择最适合您需要的算法,并了解如今的 ACM 具有限制,只能管理链接到 RSA CA 的证书。现在,我将使用 RSA 2048 位,并单击“下一步”。



在下一个屏幕中,我可以配置我的证书撤消列表 (CRL)。CRL 对于在证书到期之前出现证书受损时向客户端发出通知至关重要。ACM 将为我维护撤消列表,我可以选择将我的 S3 存储桶路由至定制域。在此例中,我将创建新 S3 存储桶用来存储我的 CRL,并单击“下一步”。



最后,我将审核所有详细信息以确保没有输入错误,然后单击“确认并创建”。



几秒钟后,将会出现祝贺画面,指出我已成功地提供了证书颁发机构。好极了!然而,还没有结束。我还需要创建证书签名请求 (CSR) 并使用我的根 CA 为其签名,以激活我的 CA。我将单击“入门”开始此流程。



现在,我将复制 CSR 或将其下载到能够访问我的根 CA(也可以是其他从属 CA – 只要它链接到我的客户端的可信任根)的服务器或桌面。



现在,我可以使用 openssl 之类的工具为我的证书签名,并生成证书链。


Bash


$openssl ca -config openssl_root.cnf -extensions v3_intermediate_ca -days 3650 -notext -md sha256 -in csr/CSR.pem -out certs/subordinate_cert.pemUsing configuration from openssl_root.cnfEnter pass phrase for /Users/randhunt/dev/amzn/ca/private/root_private_key.pem:Check that the request matches the signatureSignature okThe Subject's Distinguished Name is as followsstateOrProvinceName   :ASN.1 12:'Washington'localityName          :ASN.1 12:'Seattle'organizationName      :ASN.1 12:'Amazon'organizationalUnitName:ASN.1 12:'Engineering'commonName            :ASN.1 12:'secure.internal'Certificate is to be certified until Mar 31 06:05:30 2028 GMT (3650 days)Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated
复制代码


随后,我需要将我的 subordinate_cert.pem 和证书链复制回控制台,然后单击“下一步”。



最后,我将审核所有信息,然后单击“确认并导入”。随后应出现下面的类似画面,显示我的 CA 已成功激活。



现在,我已经有了私有 CA,我们可以回到 ACM 控制台并创建新证书,从而提供私有证书。单击创建新证书之后,我将选择“请求私有证书”按钮,然后单击“请求证书”。



从这里开始,操作与在 ACM 中提供普通证书相似。






现在,我已经有了可以绑定到我的 ELB、CloudFront Distributions、API 网关和其他应用程序的私有证书。我还可以导出证书,以便用于嵌入设备或 ACM 托管环境之外。



现已推出


ACM 私有 CA 本身是一种服务,它所包含的一些功能可能不适合博文发布。强烈建议有兴趣的读者浏览开发人员指南,并熟悉基于证书的安全。ACM 私有 CA 已在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)、加拿大(中部)、欧洲(法兰克福)和欧洲(爱尔兰)推出。私有 CA 的价格为每个私有 CA 每月 400 美元(按比例分配)。在 ACM 中创建和维护证书不会向您收费,收费对象是您访问其私有密钥(导出或在 ACM 外创建)的证书。按证书分级定价,前 1000 个证书为每个证书 0.75 美元,10,000 个证书之后低至每个证书 0.001 美元。


我非常高兴看到管理员和开发开发人员利用这种新服务。如果您考虑这种服务,请一如既往地在 Twitter 或下面的评论中告诉我们。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-certificate-manager-launches-private-certificate-authority/


2019-10-25 08:00872

评论

发布
暂无评论
发现更多内容

CentOS 7

爱好编程进阶

Java 程序员 后端开发

IntelliJ IDEA 中集成并使用 Git 图文教程

爱好编程进阶

Java 程序员 后端开发

14岁懂社会-《被你讨厌的昆虫们》读书笔记

懒时小窝

读书笔记 14岁懂社会

迎战大厂!“金三银四”和通过率达95%的Java面试八股文

Java架构追梦

Java 后端开发 程序员面试

搞懂这份大厂Java面试知识点笔记汇总,涨薪15K你也没问题

Java架构追梦

Java 程序员 后端开发

API 文档构建工具 - Swagger2简单应用

爱好编程进阶

Java 程序员 后端开发

avatar Logo

爱好编程进阶

Java 程序员 后端开发

CDH5部署三部曲之一:准备工作

爱好编程进阶

Java 程序员 后端开发

Day06-Java代码操作阿里云oss,开发前准备,开发参考文档

爱好编程进阶

Java 程序员 后端开发

Java 输入一个字符串格式日期,获取对应的自然月开始结束时间,对应的自然年开始结束时间(1)

爱好编程进阶

Java 程序员 后端开发

Java之Spring Boot入门到精通【IDEA版】SpringBoot整合其他框架

爱好编程进阶

Java 程序员 后端开发

从Flutter开始聊聊跨平台移动开发框架

FinClip

Java全栈开发---Java ERP系统开发:商业ERP(七

爱好编程进阶

Java 程序员 后端开发

墨天轮访谈 | 拓扑岭雷鹏:数据库新思维下的弹性压缩与内存计算

墨天轮

数据库 redis 国产数据库 键值数据库

Java 输入一个字符串格式日期,获取对应的自然月开始结束时间,对应的自然年开始结束时间

爱好编程进阶

Java 程序员 后端开发

技术人的必备特质

Hockor

与 Dfinity 明星项目面对面,各大赛道开发经验一览

TinTinLand

区块链

Java中关于内存泄漏分析和解决方案,都在这里了

爱好编程进阶

Java 程序员 后端开发

【等保小知识】等保测评是安全认证吗?

行云管家

等保 等级保护 等保测评 安全认证

云管平台有哪几家?现在采购福利哪家好?

行云管家

云计算 混合云 云管平台

docker限制容器的cpu内存使用率

爱好编程进阶

Java 程序员 后端开发

JavaWeb静态网页

爱好编程进阶

Java 程序员 后端开发

Java EE开发系列教程 - 添加JPA模块

爱好编程进阶

Java 程序员 后端开发

JavaCV人脸识别三部曲之三:识别和预览

爱好编程进阶

Java 程序员 后端开发

API 分页探讨:offset 来分页真的有效率吗?

爱好编程进阶

Java 程序员 后端开发

Day163

爱好编程进阶

Java 程序员 后端开发

influxdb基础(七)

爱好编程进阶

Java 程序员 后端开发

java中锁的四种状态

爱好编程进阶

Java 程序员 后端开发

CGBTN2108-DAY05总结复习

爱好编程进阶

Java 程序员 后端开发

Day180

爱好编程进阶

Java 程序员 后端开发

Java8设计模式最佳实战-设计模式概述(第七天学习记录)

爱好编程进阶

Java 程序员 后端开发

AWS Certificate Manager 启动私有证书颁发机构_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章