创建 CA 的过程(控制台) - Amazon Private Certificate Authority
模式选项CA 类型选项使用者可分辨名称选项密钥算法选项证书吊销选项添加标签CA 权限选项定价创建 CA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 CA 的过程(控制台)

完成以下步骤以使用 Amazon Web Services Management Console创建私有 CA。

开始使用控制台

登录您的 Amazon 账户并打开 Amazon 私有 CA 控制台,网址为https://console.aws.amazon.com/acm-pca/home

  • 如果您在没有私有 CA 的区域中打开控制台,则会显示介绍页面。选择创建私有 CA

  • 如果您在已创建 CA 的区域中打开控制台,则会打开私有证书颁发机构页面,其中包含您的 CA 列表。选择创建 CA

模式选项

在控制台的模式选项部分,选择您的 CA 颁发的证书的到期模式。

  • 通用 – 颁发可配置为任何到期日期的证书。这是默认模式。

  • 短期证书 – 颁发最长有效期为七天的证书。在某些情况下,较短的有效期可以取代吊销机制。

CA 类型选项

在控制台的类型选项部分,选择您要创建的私有证书颁发机构的类型。

  • 选择可建立新的 CA 层次结构。此 CA 由自签名证书提供支持。它用作层次结构中其他 CA 和终端实体证书的最终签名颁发机构。

  • 选择从属将创建一个 CA,该 CA 必须由层次结构中在其上方的父 CA 签名。从属 CA 通常用于创建其他从属 CA 或向用户、计算机和应用程序颁发终端实体证书。

    注意

    Amazon 私有 CA 当您的下属 CA 的父 CA 也由托管时,会提供自动签名流程 Amazon 私有 CA。您只需选择要使用的父 CA。

    您的从属 CA 可能需要由外部信任服务提供商签名。如果是,则会 Amazon 私有 CA 为您提供证书签名请求 (CSR),您必须下载该请求并使用该请求才能获得签名的 CA 证书。有关更多信息,请参阅 安装由外部父 CA 签名的从属 CA 证书

使用者可分辨名称选项

使用者可分辨名称选项下,配置您的私有 CA 的使用者名称。您必须至少输入以下选项之一的值:

  • 组织(O)– 例如,公司名称

  • 组织单位(OU)– 例如,公司内部的部门

  • 国家/地区名称(C)– 两个字母的国家/地区代码

  • 州或省名称 – 州或省的全名

  • 所在地名称 – 城市的名称

  • 公用名 (CN) — 用于标识 CA 的人类可读字符串。

注意

您可以通过在颁发时应用 APIPassthrough 模板来进一步自定义证书的使用者名称。有关更多信息和详细示例,请参阅 使用 APIPassthrough 模板颁发带有自定义使用者名称的证书

由于支持证书是自签名的,因此您为私有 CA 提供的使用者信息可能比公有 CA 包含的使用者信息更少。有关构成使用者可分辨名称的每个值的更多信息,请参阅 RFC 5280

密钥算法选项

密钥算法选项下,选择密钥算法和密钥的位大小。默认值为 RSA 算法,密钥长度为 2048 位。可从以下算法中进行选择:

  • RSA 2048

  • RSA 4096

  • ECDSA P256

  • ECDSA P384

证书吊销选项

证书吊销选项下,您可以从两种与使用您的证书的客户端共享吊销状态的方法中进行选择:

  • 激活 CRL 分配

  • 打开 OCSP

您可以为 CA 配置这两个吊销选项中的任一个、两个都不配置或两个都配置。尽管是可选的,但建议将托管吊销作为最佳实践。在完成此步骤之前,请参阅 设置证书吊销方法,了解有关每种方法的优点、可能需要的初步设置以及其他吊销功能的信息。

注意

如果您在未配置吊销的情况下创建 CA,以后可以随时对其进行配置。有关更多信息,请参阅 更新私有 CA

  1. 证书吊销选项下,选择激活 CRL 分配

  2. 要为您的 CRL 条目创建 Amazon S3 桶,请选择创建新的 S3 桶并键入唯一的桶名称。(不需要包括存储桶的路径。) 否则,请在 S3 桶 URI 下方,从列表中选择现有桶。

    当您通过控制台创建新桶时, Amazon 私有 CA 会尝试将所需的访问策略附加到该桶,并对其禁用 S3 默认的阻止公共访问(BPA)设置。如果您改为指定现有桶,则必须确保为该账户和桶禁用 BPA。否则,创建 CA 的操作将失败。如果 CA 已成功创建,则必须仍手动为其附加策略,然后才能开始生成 CRL。使用 Amazon S3 中 CRL 的访问策略 中所述的策略模式之一。有关更多信息,请参阅使用 Amazon S3 控制台添加桶策略

    重要

    如果满足以下所有条件,则尝试使用 Amazon 私有 CA 控制台创建 CA 将失败:

    • 您正在设置 CRL。

    • 您 Amazon 私有 CA 要求自动创建 S3 存储桶。

    • 您正在在 S3 中强制执行 BPA 设置。

    在这种情况下,控制台会创建一个桶,尝试使其可公共访问但未能成功。如果出现这种情况,请检查您的 Amazon S3 设置,根据需要禁用 BPA,然后重复创建 CA 的过程。有关更多信息,请参阅阻止对您的 Amazon S3 存储的公共访问

  3. 展开 CRL 设置以获取其他配置选项。

    • 添加自定义 CRL 名称可为 Amazon S3 桶创建别名。此名称包含在由 CA 颁发的证书的“CRL 分配点”扩展中(由 RFC 5280 定义)。

    • 键入您的 CRL 将保持有效的有效天数。默认值为 7 天。对于联机 CRL,有效期通常为 2-7 天。 Amazon 私有 CA 将在指定时间段的中点尝试重新生成 CRL。

  4. 展开 S3 设置以获取存储桶版本控制存储桶访问日志记录的可选配置。

  1. 证书吊销选项下,选择打开 OCSP

  2. 自定义 OCSP 端点 – 可选字段中,您可以为非 Amazon OCSP 端点提供完全限定的域名(FQDN)。

    在此字段中提供 FQDN 时,将 FQDN Amazon 私有 CA 插入到每个已颁发证书的授权信息访问扩展插件中,以代替 Amazon OCSP 响应者的默认 URL。当端点收到包含自定义 FQDN 的证书时,它会查询该地址以获取 OCSP 响应。要使此机制发挥作用,您需要采取另外两个操作:

    • 使用代理服务器将到达您的自定义 FQDN 的流量转发给 Amazon OCSP 响应器。

    • 将相应的 CNAME 记录添加到您的 DNS 数据库。

    提示

    有关使用自定义 CNAME 实现完整 OCSP 解决方案的更多信息,请参阅 为 Amazon 私有 CA OCSP 配置自定义 URL

    例如,以下是自定义 OCSP 的 CNAME 记录,该记录将在 Amazon Route 53 中显示。

    记录名称 类型 路由策略 优势 值/流量路由至

    alternative.example.com

    		 别名记录 简便 - proxy.example.com
    注意

    CNAME 的值不得包含协议前缀,例如“http://”或“https://”。

添加标签

添加标签下,您可以选择标记您的 CA。标签是键值对,用作标识和组织 Amazon 资源的元数据。有关 Amazon 私有 CA 标签参数的列表以及如何在创建后向 CA 添加标签的说明,请参阅管理私有 CA 的标签

注意

要在创建过程中将标签附加到私有 CA,CA 管理员必须先将内联 IAM policy 与 CreateCertificateAuthority 操作关联并显式允许标记。有关更多信息,请参阅 Tag-on-create:在创建 CA 时将标签附加到 CA

CA 权限选项

CA 权限选项下,您可以选择将自动续订权限委托给 Amazon Certificate Manager 服务委托人。如果授予此权限,ACM 只能自动续订此 CA 生成的私有终端实体证书。您可以随时使用 Amazon 私有 CA CreatePermissionAPI 或 create-permission C LI 命令分配续订权限。

这些权限默认启用。

注意

Amazon Certificate Manager 不支持自动续订短期证书。

定价

定价下,确认您了解私有 CA 的定价。

注意

有关最新的定 Amazon 私有 CA 价信息,请参阅Amazon Private Certificate Authority 定价。您也可以使用定 Amazon 价计算器来估算成本。

创建 CA

检查所有输入信息的准确性后,选择创建 CA。CA 的详细信息页面将打开,其状态显示为待处理证书

注意

在详细信息页面上,您可以通过选择操作安装 CA 证书来完成 CA 的配置,也可以稍后返回私有证书颁发机构列表并完成适用于您的情况的安装过程: