Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Cloud-Schlüsselverwaltung

AWS Certificate Manager Private CA

Geschrieben vonArier Kumar 5 Minuten
AWS-Zertifikatsmanager
Inhaltsverzeichnis

E-Commerce-Unternehmen werden immer stärker von der digitalen Wirtschaft und elektronischen Informationen abhängig sein, was ihnen eine strenge Einhaltung des Datenschutzes und ein strenges Datensicherheitssystem ermöglicht.

Public-Key-Infrastruktur (PKI) wird zum Inbegriff für den Aufbau und die Abbildung einer sicheren Beziehung zwischen Benutzern, Geräten, Diensten und Organisationen zu ihren digitalen Identitäten in Form digitaler Signaturen und Zertifikate.

An alle Kryptoingenieure da draußen: Haben Sie schon einmal an eine PKI-Implementierung mit minimalistischer Konfiguration und einem vollständig skalierbaren Funktionsumfang gedacht, der alle Vorteile einer Cloud-Implementierung umfasst?

Willkommen bei AWS Certificate Manager Private Zertifizierungsstelle (ACM PCA). ACM PCA bietet fast dieselben Funktionen wie On-Premise-PKI-Anbieter.

Lassen Sie uns die PKI-Angebote von AWS verstehen

AWS bietet zwei Dienste im Cloud-PKI-Bereich an

  1. AWS-Zertifikatsmanager Ist ein von AWS verwalteter Dienst namens ACM, der SSL / TLS basierte öffentliche X.509-Zertifikate für verschiedene Zwecke (z. B. Webserver-Authentifizierung usw.). Dieser Service richtet sich an Kunden, die eine sichere Webpräsenz mit TLS-Zertifikaten benötigen. ACM stellt Zertifikate mithilfe integrierter AWS-Dienste bereit –
    • Amazon
    • Cloudfront
    • Elastischer Lastausgleich
    • Amazon API-Gateway
    • und andere integrierte Dienste.

    Unternehmen mit einer sicheren öffentlichen Website mit erheblichem Webverkehr werden dies bevorzugen Zertifikatsverwaltung Service, der automatische Erneuerung, Unterstützung mehrerer Domänen und eine problemlose Zertifikatsverwaltung bietet.

    Hinweis: Bitte beachten Sie, dass Sie das öffentliche SSL/TLS-Zertifikat nicht aus dem ACM exportieren können, da das ACM es Benutzern nicht erlaubt, die privaten Schlüssel von Zertifikaten zu exportieren.

  2. AWS Certificate Manager – Private Zertifizierungsstelle Ist ein von AWS verwalteter privater CA-Dienst, auch bekannt als ACM PCA, der X.509-Zertifikate bereitstellt. ACM PCA eignet sich besonders für kleine und mittlere Unternehmen, die ihre eigene Public Key Infrastructure (PKI) in der AWS Cloud aufbauen und für den privaten Gebrauch innerhalb des Unternehmens verteilen möchten. Innerhalb einer privaten CA können Benutzer ihre eigene CA-Hierarchie erstellen und Zertifikate zur Authentifizierung interner Benutzer, Anwendungen, Dienste, IoT-Geräte usw. ausstellen.

Lassen Sie uns nun die verschiedenen Zweistufige Cloud-PKI-Modelle von AWS für ACM PCA angeboten:

  1. Private Wolke: In dieser Umgebung sind sowohl die Stammzertifizierungsstelle als auch die untergeordnete Zertifizierungsstelle in der AWS Cloud vorhanden.
    Private Cloud
  2. Hybrid-Cloud: In dieser Umgebung befindet sich die Stammzertifizierungsstelle in einem lokalen Rechenzentrum, während sich die untergeordnete Zertifizierungsstelle in der AWS Cloud befindet. Dies erfordert, dass die Stammzertifizierungsstelle (lokal) die CSR für die untergeordnete Zertifizierungsstelle in der AWS Cloud signiert.
    Hybride wolke

In der Private-Cloud-Architektur können Sie die Stammzertifizierungsstelle oder die untergeordnete Zertifizierungsstelle in der AWS-Cloud hosten und für alle Ihre Zertifikatsanforderungen sowohl vor Ort als auch in der Cloud-Infrastruktur verwenden. In der Hybrid-Cloud-Architektur können Sie jedoch die Stammzertifizierungsstelle vor Ort und die untergeordnete Zertifizierungsstelle in der AWS-Cloud für alle Zertifikatsanforderungen des Unternehmens hosten. Beide Modelle haben ihre Vor- und Nachteile. Das „Private-Cloud-Modell“ bietet Ihnen alle Vorteile der Cloud (hohe Verfügbarkeit, einfache Verwaltung, Zugriffskontrolle usw.), aber aus Sicherheitsgründen möchten Sie vielleicht die vollständige Kontrolle über Ihre Stammzertifizierungsstelle haben, wobei alle kryptografischen Schlüssel im lokalen HSM verwaltet werden, was bei diesem Ansatz nicht der Fall ist. Andererseits bietet Ihnen das „Hybrid-Cloud-Modell“ die vollständige Kontrolle über Ihre lokale Stammzertifizierungsstelle. Dies erhöht jedoch die Komplexität der Gesamtarchitektur, da zwei Zertifizierungsstellen (Stamm- und untergeordnete Zertifizierungsstelle) an verschiedenen Orten (vor Ort und in der AWS-Cloud) gehostet werden.Hinweis: Es sind verschiedene Kombinationen möglich, um die CAs (Root/Policy/Subordinate/Issuing) entweder in lokalen oder Cloud-Umgebungen zu platzieren, abhängig von den Architekturanforderungen der Organisation (wie z. B. Verwaltung des CA-Lebenszyklus, DR-Planung usw.).

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Lassen Sie uns tiefer in den ACM PCA-Dienst eintauchen

Mit ACM Private CA können Sie eine Hierarchie von Zertifizierungsstellen mit bis zu fünf Ebenen erstellen. Die Stammzertifizierungsstelle an der Spitze einer Hierarchiestruktur kann bis zu vier Ebenen untergeordneter Zertifizierungsstellen umfassen. Sie können mehrere Hierarchien mit jeweils einer eigenen Stammzertifizierungsstelle erstellen.

Die ACM PCA kann X.509-Endentitätszertifikate zum Erstellen verschlüsselter Kanäle, zur Authentifizierung von Benutzern, Computern, API-Endpunkten und IoT-Geräten ausstellen, Codesignatur Szenarien und Implementierung des Online Certificate Status Protocol (OCSP) zum Abrufen des Zertifikatssperrstatus.

Wie bereits erwähnt, stellt ACM PCA X.509-Zertifikate für den Endbenutzer bereit. Wenn AWS Certificate Manager ein privates Zertifikat ausstellt, kann dieses jedem in ACM integrierten Dienst (z. B. Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway usw.) zugeordnet werden. Dies gilt in beiden Szenarien: Die Stammzertifizierungsstelle kann sich in der AWS Cloud befinden oder nicht, die untergeordnete Zertifizierungsstelle hingegen nur in der AWS Cloud. Wenn Sie die ACM Private CA API oder die AWS CLI verwenden, um ein privates Zertifikat aus ACM auszustellen/exportieren, können Sie das Zertifikat je nach Anwendungsfall an einem beliebigen Ort installieren.

Nach der Bereitstellung der privaten ACM-Zertifizierungsstelle können Sie Zertifikate direkt ausstellen, ohne dass eine Validierung durch eine Drittanbieter-Zertifizierungsstelle erforderlich ist. Die Zertifikate können an die internen Anforderungen Ihres Unternehmens angepasst werden. Einige der Standardanwendungsfälle sind:

  • Stellen Sie Zertifikate mit beliebigem Betreffnamen/Ablaufzeitraum bereit.
  • Verbesserung der Verfügbarkeit durch automatisierte Workflows für die Zertifikatsverwaltung
  • Ausstellung von Sicherungsscheinen anhand von Vorlagen.

ACM PCA bietet das Modell der geteilten Verantwortung für die AWS Cloud-Sicherheit an, bei dem die „Sicherheit der Cloud“ bei AWS und die „Sicherheit in der Cloud“ beim „Kunden“ liegt. Dieses geteilte Sicherheitsmodell könnte mithilfe von AWS-Datenschutzdienste (z. B. Macie, IAM, Cross Account Access, Protokollierung, Überwachung, Prüfbericht usw.).

Abschließend möchte ich Sie auf einige Best Practices für die effektive Nutzung von ACM PCA aufmerksam machen:

  1. Logische Erklärung Ihrer PKI-Infrastruktur (Platzierung der CAs)
  2. Dokumentieren Sie Richtlinienverfahren für Gültigkeitszeiträume/Pfadlänge
  3. Bewahren Sie Ihren privaten Schlüssel sicher auf und vermeiden Sie jegliche Form von Kompromittierung
  4. Halten Sie Ihren PKI-Zertifikatsverwaltung aktualisiert. Widerrufen Sie Zertifikate bei Bedarf, löschen Sie alte/ungenutzte Zertifikate und formulieren Sie ein dokumentiertes Verfahren für die Erneuerung und den Ablauf von Zertifikaten.

Kurzer Hinweis zur Preisgestaltung
Für das AWS-Konto wird eine monatliche Gebühr von $400 für jede private CA ab dem Zeitpunkt ihrer Erstellung. Für jedes Zertifikat, das Sie ausstellen/exportieren (mit seinem privaten Schlüssel), fällt eine Gebühr an. Dabei gilt das Modell: „Je mehr Sie generieren/ausstellen, desto weniger zahlen Sie.“ Die neuesten Preisinformationen zu ACM Private CA finden Sie auf der ACM-Preisseite.
aws.amazon.com/certificate-manager/pricing/ auf der AWS-Website, da die Preise von Zeit zu Zeit variieren können.

Zusammenfassung

Wenn Sie Ihre Daten durchgängig und mit der Gewissheit einer legitimen Absenderquelle sichern möchten, ist die Nutzung einer Public Key Infrastructure (PKI) unerlässlich. Es gibt zahlreiche PKI-Implementierungen mit unterschiedlichen Komplexitätsgraden. AWS Certificate Manager Private CA bietet Ihnen jedoch maximalen Komfort und eine robuste Infrastruktur und bietet alle Vorteile der Cloud: reduzierte Wartungskosten, Skalierbarkeit, Geschäftskontinuität, Effizienz, Flexibilität und Sec-Ops-Automatisierung.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen