Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Che cos'è CA privata AWS?
CA privata AWS consente la creazione di gerarchie di autorità di certificazione (CA) private, tra cui root e subordinate CAs, senza i costi di investimento e manutenzione legati alla gestione di una CA locale. Il personale privato CAs può emettere certificati X.509 di entità finale utili in scenari quali:
+ Creazione di canali di comunicazione TLS crittografati
+ Autenticazione di utenti, computer, endpoint API e dispositivi IoT
+ Codice di firma crittografica
+ Implementazione del protocollo OCSP (Online Certificate Status Protocol) per ottenere lo stato di revoca del certificato
CA privata AWS è possibile accedere alle operazioni da Console di gestione AWS, utilizzando l' CA privata AWS API o utilizzando. AWS CLI
**Topics**
+ [Disponibilità regionale per AWS Autorità di certificazione privata](#PcaRegions)
+ [Servizi integrati con AWS Autorità di certificazione privata](#PcaIntegratedServices)
+ [Algoritmi crittografici supportati in AWS Autorità di certificazione privata](#supported-algorithms)
+ [Conformità a RFC 5280 in AWS Autorità di certificazione privata](#RFC-compliance)
+ [Prezzi per AWS Autorità di certificazione privata](#PcaPricing)
+ [Termini e concetti per AWS Private CA](PcaTerms.md)
## Disponibilità regionale per AWS Autorità di certificazione privata
Come la maggior parte AWS delle risorse, le autorità di certificazione private (CAs) sono risorse regionali. Per utilizzare private CAs in più di una regione, devi creare le tue CAs in quelle regioni. Non è possibile copiare dati privati CAs tra regioni. Visita [Regioni ed endpoint AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) in *Riferimenti generali di AWS* o la [Tabella delle regioni AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) per vedere la disponibilità regionale per CA privata AWS.
**Nota**
ACM è attualmente disponibile in alcune regioni, ma non lo CA privata AWS sono.
## Servizi integrati con AWS Autorità di certificazione privata
Se utilizzi l' AWS Certificate Manager opzione per richiedere un certificato privato, puoi associare tale certificato a qualsiasi servizio integrato con ACM. Questo vale sia per i certificati concatenati a una CA privata AWS radice che per i certificati concatenati a una radice esterna. Per ulteriori informazioni, consulta [Integrated Services nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) per l' AWS Certificate Manager utente.
Puoi anche CAs integrare private in Amazon Elastic Kubernetes Service per fornire l'emissione di certificati all'interno di un cluster Kubernetes. Per ulteriori informazioni, consulta [Proteggi Kubernetes con AWS Autorità di certificazione privata](PcaKubernetes.md).
**Nota**
Amazon Elastic Kubernetes Service non è un servizio integrato ACM.
Se utilizzi l' CA privata AWS API o AWS CLI per emettere un certificato o esportare un certificato privato da ACM, puoi installare il certificato ovunque desideri.
## Algoritmi crittografici supportati in AWS Autorità di certificazione privata
CA privata AWS supporta i seguenti algoritmi crittografici per la generazione di chiavi private e la firma dei certificati.
**Algoritmo supportato**
| Algoritmi a chiave privata | Algoritmi di firma |
| --- | --- |
| ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
RSA\_2048
RSA\_3072
RSA\_4096
EC\_Prime256v1
EC\_SECP384R1
EC\_SECP521R1
SM2 (Solo regioni della Cina) | ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
SHA256CON RSASHA384CON RSA
SHA512CON RSA
SHA256CON ECDSA
SHA384CON ECDSA
SHA512CON ECDSA
SM3WITHSM2 |
Questo elenco si applica solo ai certificati emessi direttamente CA privata AWS dalla console, dall'API o dalla riga di comando. Quando AWS Certificate Manager emette certificati utilizzando un CA da CA privata AWS, supporta alcuni ma non tutti questi algoritmi. Per ulteriori informazioni, consulta [Richiedere un certificato privato](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) nella Guida per l' AWS Certificate Manager utente.
**Nota**
Per RSA o ECDSA, la famiglia di algoritmi di firma specificata deve corrispondere alla famiglia di algoritmi di chiave della chiave privata della CA.
Per ML-DSA, la funzione hash è definita come parte dell'algoritmo stesso. Non è possibile selezionare una funzione hash diversa con ML-DSA. Per mantenere la compatibilità con le versioni precedenti APIs, viene utilizzato lo stesso valore per l'algoritmo chiave e l'algoritmo di firma.
## Conformità a RFC 5280 in AWS Autorità di certificazione privata
CA privata AWS [non impone determinati vincoli definiti nella RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280) Anche la situazione inversa è vera: vengono applicati alcuni vincoli aggiuntivi appropriati per una CA privata.
**Applicato**
+ [Non dopo la data](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5). Conformemente alla [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), CA privata AWS impedisce il rilascio di certificati recanti una data `Not After` successiva alla data `Not After` del certificato della CA emittente.
+ [Vincoli di base.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) CA privata AWS impone i vincoli di base e la lunghezza del percorso nei certificati CA importati.
I vincoli di base indicano se la risorsa identificata dal certificato è una CA e può emettere certificati. I certificati emessi da una CA importati in CA privata AWS devono includere l'estensione dei vincoli di base e l'estensione deve essere contrassegnata con `critical`. Oltre alla `critical` bandiera, `CA=true` deve essere impostata. CA privata AWS impone i vincoli di base fallendo con un'eccezione di convalida per i seguenti motivi:
+ L'estensione non è inclusa nel certificato emesso da una CA.
+ L'estensione non è contrassegnata `critical`.
La lunghezza del percorso ([pathLenConstraint](PcaTerms.md#terms-pathlength)) determina quanti subordinati CAs possono esistere a valle del certificato CA importato. CA privata AWS impone la lunghezza del percorso fallendo con un'eccezione di convalida per i seguenti motivi:
+ L'importazione di un certificato emesso da una CA violerebbe il vincolo di lunghezza del percorso nel certificato emesso da una CA o in qualsiasi certificato emesso da una CA nella catena.
+ L'emissione di un certificato violerebbe un vincolo di lunghezza del percorso.
+ [I vincoli di nome](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) indicano uno spazio dei nomi all'interno del quale devono essere collocati tutti i nomi dei soggetti nei certificati successivi in un percorso di certificazione. Le restrizioni si applicano al nome distinto del soggetto e ai nomi alternativi del soggetto.
**Non applicato**
+ [Politiche relative ai certificati](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Le politiche relative ai certificati regolano le condizioni in base alle quali una CA rilascia i certificati.
+ [Inibisci qualsiasi politica](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Utilizzato nei certificati rilasciati a. CAs
+ [Nome alternativo dell'emittente](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Consente di associare identità aggiuntive all'emittente del certificato CA.
+ [Vincoli politici](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Questi vincoli limitano la capacità di una CA di emettere certificati emessi da una CA subordinata.
+ [Mappature delle politiche](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Utilizzato nei certificati CA. Elenca una o più coppie di OIDs; ogni coppia include un issuerDomainPolicy e unsubjectDomainPolicy.
+ [Attributi della directory dei soggetti](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Utilizzato per trasmettere gli attributi identificativi del soggetto.
+ [Accesso alle informazioni sull'argomento](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). Come accedere alle informazioni e ai servizi relativi all'oggetto del certificato in cui compare l'estensione.
+ [Identificatore chiave soggetto (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) e [identificatore chiave dell'autorità (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). La RFC richiede un certificato emesso da una CA per contenere l'estensione SKI. I certificati emessi dalla CA devono contenere un'estensione AKI corrispondente allo SKI del certificato CA. AWS non applica questi requisiti. Se il certificato emesso da una CA non contiene uno SKI, l'AKI del certificato emesso da una CA dell'entità finale o subordinata emesso sarà invece l'hash SHA-1 della chiave pubblica emittente.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)e [nome alternativo del soggetto (SAN).](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6) Quando si emette un certificato, CA privata AWS copia le estensioni SubjectPublicKeyInfo e le estensioni SAN dal CSR fornito senza eseguire la convalida.
## Prezzi per AWS Autorità di certificazione privata
Al tuo account viene addebitato un prezzo mensile per ogni CA privata a partire dal momento in cui la crei. Verranno addebitati anche i costi per ogni certificato rilasciato. Questo addebito include i certificati esportati da ACM e i certificati creati dall' CA privata AWS API o dalla CA privata AWS CLI. Non è previsto alcun addebito per una CA privata dopo che è stata eliminata. Tuttavia, se ripristini una CA privata, ti verrà addebitata per l'intervallo di tempo compreso tra l'eliminazione e il ripristino. I certificati privati per i quali non hai accesso alla chiave privata sono gratuiti. Questi includono certificati utilizzati con [Servizi integrati](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) come Elastic Load Balancing e API CloudFront Gateway.
Per le informazioni più recenti CA privata AWS sui prezzi, consulta la sezione [AWS Autorità di certificazione privata Prezzi](https://aws.amazon.com/private-ca/pricing/). Puoi anche utilizzare il [calcolatore dei AWS prezzi](https://calculator.aws/#/createCalculator/certificateManager) per stimare i costi.