Amazon Private Certificate Authority 控件 - Amazon Security Hub
[PCA.1] 应禁用 Amazon Private CA 根证书颁发机构
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Private Certificate Authority 控件

这些控制措施与 Amazon Private CA 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[PCA.1] 应禁用 Amazon Private CA 根证书颁发机构

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::ACMPCA::CertificateAuthority

Amazon Config 规则:acm-pca-root-ca-disabled

计划类型:定期

参数:

此控件检查根证书颁发机构 (CA) 是否 Amazon Private CA 已禁用。如果启用了根 CA,则控制失败。

使用 Amazon Private CA,您可以创建包含根 CA 和从属 CA 的 CA 层次结构。您应该尽量减少在日常任务中使用根 CA,尤其是在生产环境中。根 CA 应仅用于为中间 CA 颁发证书。这样,在中间 CA 执行颁发终端实体证书的日常任务时,根 CA 可以不受损害地存储。

修复

要禁用根 CA,请参阅《Amazon Private Certificate Authority 用户指南》中的更新 CA 状态