本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Certificate Manager 中的私有证书
如果您有权访问由 Amazon 私有 CA 创建的现有私有 CA,则 Amazon Certificate Manager(ACM)可以请求适合在您的私有密钥基础设施(PKI)中使用的证书。CA 可能位于您的账户中,也可能由其他账户与您共享。有关创建私有证书颁发机构的信息,请参阅创建私有证书颁发机构。
默认情况下,私有 CA 签署的证书不受信任,ACM 不支持对这些证书进行任何形式的验证。因此,管理员必须采取措施,将证书安装到您组织的客户端信任存储中。
私有 ACM 证书遵循 X.509 标准,并具有以下限制:
-
名称:必须使用符合 DNS 的主题名称。有关更多信息,请参阅 域名。
-
算法:对于加密,证书私有密钥算法必须是 2048 位 RSA、256 位 ECDSA 或 384 位 ECDSA。
注意
指定的签名算法系列(RSA 或 ECDSA)必须与 CA 密钥的算法系列匹配。
-
有效期:每个证书的有效期为 13 个月(395 天)。签署的私有证书颁发机构证书的结束日期必须晚于请求的证书结束日期,否则证书请求将失败。
-
续订:ACM 会在 11 个月后尝试自动续订私有证书。
用于签署终端实体证书的私有证书颁发机构受其自身限制:
-
证书颁发机构的状态必须为“活跃”。
-
证书颁发机构私有密钥算法必须是 RSA 2048 或 RSA 4096。
注意
与公开受信任的证书不同,由私有 CA 签署的证书不需要验证。