Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Cloud Key Management

AWS-certifikathanterare Privat CA

Postat avAryan Kumar 5 minuter
AWS certifikathanterare
Innehållsförteckning

E-handelsföretag kommer att bli alltmer beroende av den digitala ekonomin och elektronisk information, vilket gör det möjligt för dem att ha stränga efterlevnadsregler för dataskydd och datasäkerhet.

Public Key Infrastructure (PKI) Det blir allt viktigare att bygga och kartlägga den säkra relationen mellan användare, enheter, tjänster och organisationer till deras digitala identiteter i form av digitala signaturer och certifikat.

Till alla kryptoingenjörer där ute, har ni någonsin tänkt på en PKI-implementering med minimalistisk konfiguration och en helt skalbar funktionsuppsättning som omfattar alla fördelar som molnimplementering har att erbjuda?

Välkommen till AWS Certificate Manager Private certifikatutfärdare (ACM PCA). ACM PCA erbjuder nästan alla samma funktioner som On-prem PKI-leverantörer.

Låt oss förstå PKI-erbjudandena från AWS

AWS erbjuder två tjänster inom Cloud PKI-området

  1. AWS certifikathanterare Är en AWS-hanterad tjänst som kallas ACM som tillhandahåller SSL / TLS baserade X.509-publika certifikat som används för olika ändamål (t.ex. webbserverautentisering etc.). Denna tjänst riktar sig till kunder som behöver en säker webbtillvaro med TLS-certifikat. ACM distribuerar certifikat med hjälp av AWS-integrerade tjänster –
    • Amazon
    • Cloudfront
    • Elastisk belastningsbalansering
    • Amazon API Gateway
    • och andra integrerade tjänster.

    Företag med en säker offentlig webbplats med betydande webbtrafik föredrar detta. certifikathantering tjänst som erbjuder automatisk förnyelse, stöd för flera domäner och en problemfri certifikathanteringsupplevelse.

    Obs: Observera att du inte kan exportera det offentliga SSL/TLS-certifikatet från ACM, eftersom ACM inte tillåter användare att exportera certifikatens privata nycklar.

  2. AWS Certificate Manager Privat certifikatutfärdare Är en AWS-hanterad privat CA-tjänst, även känd som ACM PCA, som tillhandahåller X.509-certifikat. ACM PCA passar bäst för små och medelstora företagskunder som vill bygga sin egen Public Key Infrastructure (PKI) inom AWS Cloud och distribuera för privat bruk inom organisationen. Inom en privat CA kan användare skapa sin egen CA-hierarki och utfärda certifikat för autentisering av interna användare, applikationer, tjänster, IoT-enheter etc.

Nu ska vi diskutera de olika Tvånivås moln-PKI-modeller erbjuds av AWS för ACM PCA:

  1. Privat moln: I den här miljön finns både rot-CA och underordnad CA i AWS-molnet.
    Privat moln
  2. Hybridmoln: I den här miljön finns rot-CA:n i ett lokalt datacenter, medan den underordnade CA:n finns i AWS-molnet. Detta kräver att du låter rot-CA:n (lokal) signera CSR:n för den underordnade CA:n i AWS-molnet.
    hybrid moln

I den privata molnarkitekturen kan du vara värd för rot-CA:n eller den underordnade CA:n i AWS-molnet och använda den för alla dina certifikatbehov, både lokalt och i molninfrastruktur. I hybridmolnarkitekturen kan du dock vara värd för rot-CA:n lokalt och den underordnade CA:n i AWS-molnet för alla företagets certifikatkrav. Båda dessa modeller har sina för- och nackdelar. Den "privata molnmodellen" ger dig alla molnfördelar (hög tillgänglighet, enkel hantering, åtkomstkontroll etc.), men som en säkerhetsmetod kanske du vill ha full kontroll över din rot-CA med alla kryptografiska nycklar som hanteras i den lokala HSM:n, vilket du inte har i den här metoden. Å andra sidan ger "hybridmolnmodellen" dig fullständig kontroll över din lokala rot-CA, men detta ökar den övergripande arkitekturen genom att vara värd för två CA:er (rot- och underordnad CA) på olika platser (lokalt och AWS-molnet).Obs: Det finns olika möjliga kombinationer för att placera CA:erna (Root/Policy/Underordnade/Utfärdande) antingen i lokala eller molnmiljöer beroende på organisationens arkitekturbehov (som hantering av CA:ns livscykel, DR-planering etc.).

Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

Låt oss gå djupare in på ACM PCA-tjänsten

Med ACM Private CA kan du skapa en hierarki av certifikatutfärdare med upp till fem nivåer, dvs. rot-CA:n. Högst upp i ett hierarkiträd kan det finnas så många som fyra nivåer av underordnade CA:er. Du kan skapa flera hierarkier, var och en med sin egen rot.

ACM PCA kan utfärda X.509-slutenhetscertifikat för att skapa krypterade kanaler, autentisera användare, datorer, API-slutpunkter och IoT-enheter. kodsignering scenarier och även implementering av Online Certificate Status Protocol (OCSP) för att erhålla certifikatåterkallningsstatus.

Som nämnts tillhandahåller ACM PCA X.509-certifikat till slutenheten. Om AWS Certificate Manager utfärdar ett privat certifikat kan certifikatet associeras med vilken tjänst som helst som är integrerad med ACM (t.ex. Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway etc.). Detta gäller i båda scenarierna, till exempel kan rot-CA:n finnas i AWS Cloud eller inte, men den underordnade CA:n kan bara finnas i AWS Cloud. Om du använder ACM Private CA API eller AWS CLI för att utfärda/exportera ett privat certifikat från ACM kan du installera certifikatet var som helst beroende på ditt användningsfall.

Efter att du har etablerat ACM:s privata certifikatutfärdare kan du utfärda certifikat direkt utan valideringskrav från någon tredjepartscertifikatutfärdare och enligt anpassning för företagets interna behov. Några av de vanliga användningsfallen är:

  • Tillhandahåll certifikat med valfritt ämnesnamn/utgångstidslinje.
  • Förbättra drifttiden genom automatiserade arbetsflöden för certifikathantering
  • Utfärdande av begränsningsintyg med hjälp av mallar.

ACM PCA erbjuder den delade ansvarsmodellen för AWS Cloud Security där "Molnets säkerhet" tillhör AWS och "Säkerhet i molnet" tillhör "Kunden". Denna delade säkerhetsmodell kan implementeras med hjälp av AWS dataskyddstjänster (t.ex. Macie, IAM, åtkomst till konton över flera konton, loggning, övervakning, revisionsrapport etc.).

Som en sista anmärkning vill jag uppmärksamma er på några av de bästa metoderna för att effektivt använda ACM PCA:

  1. Logisk förklaring av er PKI-infrastruktur (placering av CA:er)
  2. Dokumentpolicyprocedurer för giltighetsperioder/sökvägslängd
  3. Håll din privata nyckel säker och undvik alla former av kompromettering
  4. Håll din PKI-certifikathantering uppdaterad. Återkalla certifikat vid behov, rensa ut gamla/oanvända certifikat och formulera en dokumenterad procedur för certifikatförnyelser och utgångsdatum.

Snabb anmärkning om prissättning
AWS-kontot debiteras en månadsavgift på $400 för varje privat CA från och med den tidpunkt du skapar den. Det finns en avgift kopplad till varje certifikat du utfärdar/exporterar (med dess privata nyckel) med modellen "ju mer du genererar/utfärdar desto mindre betalar du". För den senaste prisinformationen för ACM:s privata CA, se ACM:s prissättningssida.
aws.amazon.com/certificate-manager/pricing/ på AWS webbplats eftersom priserna kan variera från tid till annan.

Sammanfattning

Om du vill säkra dina data från början till slut med försäkran om en legitim avsändarkälla är användning av Public Key Infrastructure (PKI) ett måste. Det finns flera PKI-implementeringar med olika komplexitetsnivåer, men AWS Certificate Manager Private CA erbjuder detta med maximal enkelhet och robust infrastruktur som ger alla molnets fördelar, dvs. minskade underhållskostnader, skalbarhet, affärskontinuitet, effektivitet, flexibilitet och automatisering av säkerhet.

Upptäck vår

Relaterade bloggar

Microsoft Azure är en av de tre största molntjänstleverantörerna som används av organisationer idag. De andra två som huvudsakligen används av organisationer är Amazon Web Services (AWS) och Google Cloud Platform (GCP). I det rådande läget i världen flyttar många företag sina tjänster till en delvis eller helt molnbaserad plattform som Azure eller AWS.

Hur kan du göra organisationer mer nöjda med Microsoft Azure?

Februari 2, 2022
Introduktion till kryptoförstöring

Bekanta dig med det nya konceptet kryptoförstöring

August 20, 2021

Skillnader mellan AWS KMS Azure Key Vault och GCP KMS

AWS KMS kontra Azure Key Vault kontra GCP KMS

July 23, 2021

Utforska

Fler ämnen