

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 AWS 私有 CA？
<a name="PcaWelcome"></a>

AWS 私有 CA 可建立私有憑證授權機構 (CA) 階層，包括根 CA 和次級 CAs，而不需要操作內部部署 CA 的投資和維護成本。您的私有 CA 可以發行終端實體 X.509 憑證，在下列案例中很實用：
+ 建立加密的 TLS 通訊通道 
+ 對使用者、電腦、API 端點和 IoT 裝置進行身分驗證
+ 透過加密技術簽署程式碼
+ 實作線上憑證狀態通訊協定 (OCSP) 以取得憑證撤銷狀態

AWS 私有 CA 操作可從 AWS 管理主控台、使用 AWS 私有 CA API 或使用 存取 AWS CLI。

**Topics**
+ [的區域可用性 AWS 私有憑證授權單位](#PcaRegions)
+ [與 整合的服務 AWS 私有憑證授權單位](#PcaIntegratedServices)
+ [中的支援密碼編譯演算法 AWS 私有憑證授權單位](#supported-algorithms)
+ [中的 RFC 5280 合規 AWS 私有憑證授權單位](#RFC-compliance)
+ [的定價 AWS 私有憑證授權單位](#PcaPricing)
+ [的術語和概念 AWS 私有 CA](PcaTerms.md)

## 的區域可用性 AWS 私有憑證授權單位
<a name="PcaRegions"></a>

 
與大多數 AWS 資源一樣，私有憑證授權機構 CAs) 是區域資源。若要在多個區域使用私有 CA，您必須在這些區域建立 CA。您無法在區域間複製私有 CA。請造訪 [AWS 中的區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region)*AWS 一般參考*或[AWS 區域資料表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)，以查看 的區域可用性 AWS 私有 CA。

**注意**  
ACM 目前可在部分 AWS 私有 CA 區域使用。

## 與 整合的服務 AWS 私有憑證授權單位
<a name="PcaIntegratedServices"></a>

如果您使用 AWS Certificate Manager 請求私有憑證，您可以將該憑證與任何與 ACM 整合的服務建立關聯。這同時適用於鏈結至 AWS 私有 CA 根的憑證，以及鏈結至外部根的憑證。如需詳細資訊，請參閱 AWS Certificate Manager 《 使用者指南》中的[整合式服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)。

您也可以將私有 CAs 整合到 Amazon Elastic Kubernetes Service，以在 Kubernetes 叢集內提供憑證發行。如需詳細資訊，請參閱[使用 保護 Kubernetes AWS 私有憑證授權單位](PcaKubernetes.md)。

**注意**  
Amazon Elastic Kubernetes Service 不是 ACM 整合服務。

如果您使用 AWS 私有 CA API 或 AWS CLI 來發行憑證，或從 ACM 匯出私有憑證，您可以隨心所欲地安裝憑證。

## 中的支援密碼編譯演算法 AWS 私有憑證授權單位
<a name="supported-algorithms"></a>

AWS 私有 CA 支援下列用於產生私有金鑰和憑證簽署的密碼編譯演算法。


**支援的演算法**  

| 私有金鑰演算法 | 簽署演算法 | 
| --- | --- | 
| ML\_DSA\_44<br />ML\_DSA\_65<br />ML\_DSA\_87<br />RSA\_2048 <br />RSA\_3072 <br />RSA\_4096<br />EC\_prime256v1<br />EC\_secp384r1<br />EC\_secp521r1<br />SM2 (僅限中國區域) | ML\_DSA\_44<br />ML\_DSA\_65<br />ML\_DSA\_87<br />SHA256WITHRSASHA384WITHRSA<br />SHA512WITHRSA<br />SHA256WITHECDSA<br />SHA384WITHECDSA<br />SHA512WITHECDSA<br />SM3WITHSM2 | 

此清單僅適用於 AWS 私有 CA 直接透過其主控台、API 或命令列發行的憑證。當 從 使用 CA AWS Certificate Manager 發行憑證時 AWS 私有 CA，它支援部分但並非所有的演算法。如需詳細資訊，請參閱 AWS Certificate Manager 《 使用者指南》中的[請求私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)。

**注意**  
對於 RSA 或 ECDSA，指定的簽署演算法系列必須符合 CA 私有金鑰的金鑰演算法系列。  
對於 ML-DSA，雜湊函數定義為演算法本身的一部分。沒有使用 ML-DSA 選取不同雜湊函數的選項。為了維持與 APIs的回溯相容性，金鑰演算法和簽署演算法會使用相同的值。

## 中的 RFC 5280 合規 AWS 私有憑證授權單位
<a name="RFC-compliance"></a>

AWS 私有 CA 不會強制執行 [RFC 5280 ](https://datatracker.ietf.org/doc/html/rfc5280)中定義的某些限制條件。相反的情況也是如此：適用於私有 CA 的某些額外限制會強制執行。

**強制執行**
+ [不在日期後](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5)。為了符合 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) 的規範，在發行 CA 憑證的 `Not After` 日期後， AWS 私有 CA 會防止發行具有 `Not After` 的憑證。
+ [基本限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9)條件。 AWS 私有 CA 強制執行匯入 CA 憑證中的基本限制條件和路徑長度。

  基本限制條件會指出憑證所識別的資源是否為 CA 且可以發行憑證。匯入 AWS 私有 CA 的 CA 憑證必須包含基本限制延伸，且延伸必須標記為 `critical`。除了 `critical`旗標之外，還`CA=true`必須設定 。由於下列原因，驗證例外狀況失敗，以 AWS 私有 CA 強制執行基本限制條件：
  + 延伸不包含在 CA 憑證中。
  + 延伸未標記為 `critical`。

  路徑長度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)) 會判斷在匯入 CAs憑證下游可能有多少次級 CA。由於下列原因，驗證例外狀況失敗，因此 AWS 私有 CA 強制執行路徑長度：
  + 匯入 CA 憑證會違反 CA 憑證中 (或鏈結中的任何 CA 憑證中) 的路徑長度限制條件。
  + 發行憑證將違反路徑長度限制條件。
+ [名稱限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10)條件表示名稱空間，認證路徑中後續憑證中的所有主體名稱都必須位於其中。限制適用於主體辨別名稱和主體替代名稱。

**未強制執行**
+ [憑證政策](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4)。憑證政策會規範 CA 發行憑證的條件。
+ [抑制 anyPolicy](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14)。用於發行給 CAs憑證。
+ [發行者替代名稱](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7)。允許其他身分與 CA 憑證的發行者相關聯。
+ [政策限制](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11)。這些限制條件會限制 CA 發行次級 CA 憑證的容量。
+ [政策映射](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5)。用於 CA 憑證。列出一或多個 OIDs 對；每一對都包含一個 issuerDomainPolicy 和一個 subjectDomainPolicy。
+ [主旨目錄屬性](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8)。用來傳達主體的識別屬性。
+ [主體資訊存取](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2)。如何存取延伸項目出現之憑證主體的資訊和服務。
+ [主體金鑰識別符 (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) 和[授權機構金鑰識別符 (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1)。RFC 需要 CA 憑證，才能包含 SKI 延伸。CA 發行的憑證必須包含符合 CA 憑證 SKI 的 AKI 延伸。 AWS 不會強制執行這些要求。如果您的 CA 憑證不包含 SKI，則發行的終端實體或次級 CA 憑證 AKI，將會改為發行者公有金鑰的 SHA-1 雜湊。
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1) 和 [主體替代名稱 (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6)。發行憑證時， AWS 私有 CA 會從提供的 CSR 複製 SubjectPublicKeyInfo 和 SAN 延伸，而不會執行驗證。

## 的定價 AWS 私有憑證授權單位
<a name="PcaPricing"></a>

從您帳戶的建立時間開始，會針對每個私有 CA 每月向您收取費用。也會向您收取您發行的每個憑證費用。此費用包含您從 ACM 匯出的憑證，以及您從 AWS 私有 CA API 或 CLI AWS 私有 CA 建立的憑證。私有 CA 刪除後，您不需付費。不過，如果您還原私有 CA，您需支付刪除到還原這段期間的費用。您無權存取其私密金鑰的私有憑證是免費的。其中包括與 Elastic Load Balancing、CloudFront 和 API Gateway 等[整合式服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)搭配使用的憑證。

如需最新的 AWS 私有 CA 定價資訊，請參閱 [AWS 私有憑證授權單位 定價](https://aws.amazon.com/private-ca/pricing/)。您也可以使用[AWS 定價計算器](https://calculator.aws/#/createCalculator/certificateManager)來估計成本。