AWS私有证书机构现已支持分区CRL
公钥基础设施(PKI)对于保障和建立数字通信中的信任至关重要。随着数字化运营规模的扩大,您将需要颁发和吊销证书。吊销证书在员工离职、迁移至新的证书颁发机构层次结构、满足合规要求以及响应安全事件时尤为有用。您可以使用证书吊销列表(CRL)或在线证书状态协议(OCSP)方法来跟踪被吊销的证书。您可以使用亚马逊云科技(AWS)私有证书机构(AWS Private CA)来创建证书颁发机构(CA),该机构通过这些方法发布吊销信息,以便系统能够验证证书的有效性。
随着企业持续扩大运营规模,在使用完整CRL来颁发和吊销超过100万张证书时,它们面临着限制。增加CRL文件大小的变通方案并不可行,因为许多应用程序无法处理大型CRL文件(有些要求最大为1 MB)。此外,像OCSP这样的替代解决方案可能会因隐私问题和合规要求而被主要的信任存储和浏览器供应商拒绝。这些限制严重影响了您高效扩展PKI基础设施同时保持安全和合规标准的能力。
功能发布:应对挑战
AWS Private CA通过分区CRL功能应对这些挑战,该功能支持每个CA颁发和吊销多达1亿张证书。此功能将吊销信息分布到多个更小、更易管理的CRL分区中,每个分区最大保持1 MB的大小,以提供更有效的应用程序兼容性。在证书颁发时,证书会通过一个关键的签发者分发点(IDP)扩展自动绑定到特定的CRL分区,该扩展包含一个标识分区的唯一URI。验证工作是通过比较证书的CRL分发点(CDP)扩展中的CRL URI与CRL的IDP扩展来实现的,从而提供准确的证书验证。
分区CRL提供了以下功能:
- 自动将证书颁发限制从每CA 100万张扩展到1亿张证书。
- 支持新的和现有的CA。
- 灵活的CRL命名和路径配置选项。
- 通过保留现有的完整CRL功能,同时将分区CRL作为可选功能提供,确保向后兼容性。
- 符合行业标准(如RFC5280),同时保持安全和运营效率。
在AWS私有证书机构中配置分区CRL
您可以通过以下步骤为现有的AWS Private CA CA配置分区CRL。
- 在左侧导航栏中选择"私有证书颁发机构"。
- 选择"使用者"列中的超链接(即您的CA)进入其详细信息页面。
注意:请确认您处于正确的AWS区域。
- 选择"吊销配置"选项卡,您应看到CRL分发已启用或已禁用。如果它已禁用,则您应在后续步骤中启用它。
- 选择"编辑"。
- 勾选"激活CRL分发"复选框。 如果CRL分发已启用,则跳至步骤7。
- 在"S3存储桶URI"下,从列表中选择一个现有的存储桶。您可以在《在AWS Private CA中创建私有CA》指南的步骤6中查看详细步骤。 您必须验证BPA已针对账户和存储桶禁用,并且必须手动为其附加策略,然后才能开始生成CRL。使用《Amazon S3中CRL的访问策略》中描述的其中一种策略模式。更多信息,请参阅使用Amazon S3控制台添加存储桶策略。
- 展开"CRL设置"以查看更多配置选项。
- 勾选"启用分区"复选框以启用CRL分区。这将创建一个分区CRL。
如果您不启用分区,则会创建完整CRL,并且您的CA将受限于100万张已颁发或吊销证书的限制。更多信息,请参阅AWS Private CA配额。
- 选择"保存更改"。
- CRL分发将显示为已启用,并带有分区CRL。每CA 100万张的限制会自动更新为1亿张。
结论
AWS Private CA分区CRL可以在多个维度带来显著益处。
- 安全性:该功能在支持每个CA多达1亿张证书的全面吊销能力的同时,保持了证书验证的有效性。因此,您可以有效应对安全事件或密钥泄露。
- 运营:它减少了CA轮换需求,降低了管理开销并简化了PKI管理。此外,将CRL分区大小保持在1 MB提供了广泛的应用程序兼容性,同时支持自动化的分区管理。这使得该功能在您需要可扩展、符合标准的证书管理时特别有价值。
- 合规性:您可以使用该功能满足多项行业要求:它支持WebTrust原则和标准以及ETSI TSP标准,保持与RFC5280的兼容性,符合浏览器信任存储对CRL和OCSP支持的要求,并提供了适应新兴标准(如Matter)所需的灵活性。
最后,您可以在不增加AWS Private CA和Amazon简单存储服务(Amazon S3)额外费用的情况下,通过启用分区CRL,最大化通用或短期CA的价值,同时所有证书仍保持可吊销状态。
立即通过AWS管理控制台开始在AWS Private CA中创建您的CA。