Amazon Private CA 常见问题解答

Amazon Private Certificate Authority（Amazon Private CA）是一项高度可用的托管服务，用于为您的组织创建和维护内部公钥基础设施（PKI）。Amazon Private CA 消除了运营自己的私有证书颁发机构（CA）的前期投资和持续维护成本，并简化了 PKI 中证书的生命周期管理。这些证书可用于保护服务器、移动设备和物联网设备、应用程序以及用户等联网资源之间的通信。您可以使用 Amazon Web Services 管理控制台轻松地为自己的 Amazon Web Services 资源创建和部署私有证书。对于 Amazon Elastic Compute Cloud（EC2）实例、容器、物联网设备和本地资源，您可以创建和跟踪私有证书，并使用自己的客户端自动化代码进行部署。您还可以灵活地为需要自定义证书生命周期、密钥算法、资源名称或其他信息的应用程序创建私有证书。

CA 是一个组织和加密实体，负责处理数字证书的颁发、验证和吊销。商业上，最常见的数字证书类型基于 ISO X.509 标准。由 CA 签名的证书确认证书主体的身份，并将该身份绑定到证书中包含的公钥。

CA 包含两个组件：CA 证书（允许颁发其他证书的加密构建块）以及一组运行时服务，用于通过在线证书状态协议（OCSP）或证书吊销列表（CRL）维护吊销信息。当资源尝试相互连接时，其会检查 OCSP 或 CRL 以了解每个实体所提供证书的状态。中国区域仅提供 CRL 撤销功能。

私有 CA 仅在私有网络内（换句话说，不在公共互联网上）提供 CA 的服务。私有 CA 不受对公有 CA 的许多限制。公有 CA 必须遵守严格的规则，提供运行可见性，并满足浏览器和操作系统供应商规定的安全标准，这些标准自动决定其浏览器和操作系统信任哪些 CA。另一方面，私有 CA 管理员可以制定自己的证书颁发规则，例如定义证书必须包含哪些信息。

私有 CA 颁发的数字证书可用于保护组织私有网络内端点之间的通信。建立安全的加密通信通道时，每个端点都使用证书向另一个端点验证自己的身份。内部 API 端点、Web 服务器、VPN 用户、物联网设备和许多其他应用程序都使用私有证书来建立其安全运行所需的加密通信通道。与公有信任证书相比，私有证书的配置限制较少，并且高度可定制。但是，要使私人证书受到信任，管理员必须将颁发该证书的私有 CA 添加到浏览器和其他网络应用程序的受信任 CA 列表中。

私有证书提供了灵活性；这些证书可以在不公开名称的情况下识别组织中的几乎任何信息。Wiki.internal、IP 地址、fire-sensor-123 和 user123 是可能在私人证书中使用的身份信息示例。私有证书可以包含公有证书中禁止的信息，后者严格限于使用公有 DNS 名称（例如 www.example.com）识别资源。一些企业应用程序无法使用公有证书运行，因为它们需要公有证书中不允许的额外信息。

自签名证书是在没有 CA 的情况下颁发的。与由 CA 维护的安全根颁发的证书不同，自签名证书充当自己的根。因此，组织使用自签名证书是因为它们易于生成，不需要专业知识或基础架构，并且被许多应用程序所接受。但是，自签名证书有很大的局限性。它们可用于提供在线加密，但无法验证身份，也无法吊销。此外，跟踪自签名证书的到期日期可能很困难，这可能会导致因证书过期而造成的中断。

是的，Amazon Private CA 有 SLA。

要开始使用，请导航到 Amazon Web Services 管理控制台中的 Amazon Certificate Manager，然后选择屏幕左侧的 Amazon Private CA。选择“开始使用”以开始创建私有 CA。要了解更多信息，请访问《Amazon Private CA User Guide》中的 Planning your Amazon Private CA deployment。

CA 层次结构是一种组织 CA 的结构，可帮助您控制 CA 的访问权限并在组织团队内分配 CA 的管理。CA 层次结构为信任链顶部最值得信赖的根 CA 提供强大的安全性和限制性访问控制，同时为信任链下层的从属 CA 提供更宽松的访问权限和批量证书颁发。

根 CA 是加密构建块和信任根，可以据此颁发证书。它由用于签署证书的私钥和（单独）定义根 CA 并将私钥绑定到 CA 名称的根证书组成。根证书分发到环境中每个实体的信任存储。管理员构造信任存储以仅包含其信任的 CA，并将信任存储更新或构建到其环境中实体的操作系统、实例和主机映像中。当资源 A 尝试与资源 B 连接时，它会检查资源 B 提供的证书。如果证书有效，并且可以从证书到安装在资源 A 信任存储中的根证书构造信任链，则加密握手完成，并在资源之间建立加密通信通道。

在 CA 层次结构中，根 CA 之下是从属 CA。可以将从属 CA 配置为直接颁发证书，充当中间 CA 签署其他从属 CA 以创建组织结构，充当颁发 CA 以颁发终端实体证书，或者同时充当中间 CA 和颁发 CA。将根证书分发到组织内的信任存储后（有关更多信息，请参阅“什么是根 CA？”），与信任存储中的根证书建立链的任何证书也将受到信任。此过程称为证书路径验证。符合此描述的证书被称为链接到受信任的根。

根 CA 和 CA 层次结构顶端附近的其他 CA 通常具有控制证书颁发和管理访问权限的限制性策略。这些 CA 不经常使用，并且受到严格控制和审核，从而降低了入侵风险。因此，它们更受信任。根 CA 的使用寿命通常比层次结构中较低的 CA 长，这与管理其使用的隔离和控制策略相称。

Amazon Private CA 允许您创建深达五层的 CA 层次结构，包括根 CA、三级的从属（中间）CA 和一个颁发 CA。您还可以导入本地 CA 来固定您的层次结构，即由 Amazon Private CA 之外的根证书颁发机构签署的 CA。

不需要。您可以从根 CA 颁发终端实体证书；但在大多数情况下，安全最佳实践建议至少有两层 CA 层次结构，包括作为信任根的根 CA 和用于颁发终端实体证书的从属 CA。

短期证书是有效期为 7 天或更短的证书。

在需要临时证书的情况下，应使用短期证书。例如，如果您有一个短期的临时 Amazon Web Services 工作负载，其需要颁发证书以启用 TLS，则短期证书将是最佳实践，因为这些证书很快就会过期，因此无需吊销。当证书传递临时授权和身份时，也可以使用短期证书；例如，如果工作站最近成功完成了运行状况检查，或者用户具有管理权限。

不需要。短期证书的安全性是基于其经常重新颁发以重新确认其运行状况。频繁的重新颁发迫使主体经常证明自己遵守证书策略。这与安全断言标记语言（SAML）和 OpenID Connect（OIDC）令牌使用的模型相同。

对于某些服务，例如使用 Active Directory 智能卡身份验证，吊销检查过程是强制性的。Amazon Private CA 出于集成目的发布吊销信息，例如 CRL 和 OCSP 响应，以便这些服务可以完成吊销检查流程。中国区域仅提供 CRL 撤销功能。

Amazon Identity and Access Management（IAM）Roles Anywhere 可用于在 IAM 中为在 Amazon Web Services 之外运行的服务器、容器和应用程序等工作负载获取临时安全证书。您的工作负载可以使用与 Amazon Web Services 应用程序相同的 IAM 策略和 IAM 角色来访问 Amazon Web Services 资源。在 IAM Roles Anywhere 意味着您无需管理在亚马逊之外运行的工作负载的长期凭证。要使用 IAM Roles Anywhere，您的工作负载必须使用您的 CA 颁发的 X.509 证书。您可将 CA 注册到 IAM Roles Anywhere 作为信任锚，从而在您的 PKI 与 IAM Roles Anywhere 之间建立信任。

可以，您可以通过创建信任锚在 IAM Roles Anywhere 和您的 CA 之间建立信任。信任锚是对 Amazon Private CA 或其他 CA 证书的引用。您在 Amazon Web Services 之外的工作负载使用受信任 CA 颁发的证书向信任锚进行身份验证，以换取临时的 Amazon Web Services 凭证。有关更多信息，请参阅 Creating a trust anchor and profile in IAM Roles Anywhere。

Matter 是 Amazon Web Services 帮助共同创立的一项新的智能家居自动化标准，由连接标准联盟管理。Matter 为电灯开关、门锁、媒体设备等智能家居设备提供无缝、安全的跨供应商连接。为确保安全性和互操作性，在智能家居设备加入 Matter 智能家居网络（也称为架构）并与其他 Matter 设备通信之前，Matter 会强制进行设备认证和真实性检查。

Matter 使用 X.509 数字证书来识别设备并保护设备之间的通信。Matter 使用两种类型的设备证书。设备认证证书（DAC）由设备制造商预置，用于识别设备供应商和产品类型。DAC 由 Matter 架构管理员设备在设备调试期间进行验证，即将新设备添加到 Matter 架构的过程。节点运行证书（NOC）由 Matter 管理员在调试期间颁发，设备使用该证书与架构上的其他 Matter 设备通信。

可以。您可以使用 Amazon Private CA 颁发 DAC 和 NOC 与 Matter 一起使用。要了解更多信息，请参阅为智能家居系统采用 Matter 标准。

您可以使用 Amazon Private CA 作为委托服务提供商来建立和运营产品认证机构（PAA）以及一个或多个产品认证中间机构，为您的 Matter 产品颁发 DAC。您可以将您的 PAA 设置为非 VID 范围或 VID 范围，具体取决于您是计划为其他公司颁发 DAC 还是仅为自己的公司颁发 DAC。使用 Amazon Private CA，您可以选择创建任一类型的设备认证 CA。您可以使用示例 Amazon Web Services 云开发工具包（CDK）脚本和 Amazon CloudFormation 堆栈模板来帮助您创建设备认证 CA。 在 Amazon Private CA 中建立设备认证 CA 层次结构后，您可以使用亚马逊 SDK 和 CLI 或 Java API 来颁发 DAC。 

您可以使用 Amazon Private CA 来建立和运行设备认证 CA 层次结构，这些层次结构与其他控制措施相结合，可以帮助您满足 Matter PKI CP 的要求。使用《Amazon Web Services Matter PKI Compliance Guide》，了解您和 Amazon Web Services 之间的分担责任模式，以及如何将 Amazon Private CA 与您的 Matter 产品一起使用。

不可以。Matter 证书有特定的要求，这些要求通常与其他证书用例不兼容。

有关使用 ACM 的问题，请参阅 Amazon Certificate Manager（ACM）常见问题解答。