创建Private CA - Root

我们将首先创建一个新的 CA 层次结构:一个充当信任根的Root CA,以及一个颁发最终实体证书的Subordinate CA

创建Root CA

进入AWS Certificate Manager 服务,点击Create a private CA

image-20231202230210359

我们将从创建Root CA 开始,因此在 CA 类型选项下选择Root:

image-20231202230245833

对于Subject distinguished name options选项,必须在此页面上至少输入一个名称,但所有字段都是可选的,建议至少输入一个通用名称 (CN),方便将 CA 识别为根 CA 或从属 CA:

image-20231203081640232

接下来配置密钥算法选项。这里继续使用默认值RSA 2048

  • 大多数情况可以使用 RSA 2048,但某些客户可能会选择使用更长的密钥长度(例如 RSA 4096)以提高安全性
  • 某些设备的处理能力可能有限,需要使用椭圆曲线加密 (ECC) 证书:ECC相比RSA需要更少的计算能力来进行加密操作。ECDSA 通常用于物联网 (IoT) 设备。

image-20231203081821250

CA 权限选项下,我们可以授权 ACM 自动续订该 CA 颁发的证书。由于我们不会直接从根 CA 颁发证书,因此我们可以取消选中此框:

image-20231203082238956

Pricing部分中,选中复选框即表示同意。单击创建 CA

最后一步,我们需要在新创建的根 CA 中安装 CA 证书。在新创建的 CA 上,单击Actions下拉列表并选择Install CA Certificate

image-20231203084049674

在这里我们可以设置CA证书的有效日期以及签名算法。这里设置为默认值:

image-20231203084217529

在背后,AWS Private CA 使用前面步骤中输入的信息创建证书签名请求 (CSR)。

现在我们已经创建了一个处于活动状态并准备好颁发证书的根 CA。但是,AWS 强烈建议不要直接使用根 CA 颁发证书。为了遵循最佳实践,我们现在将创建一个subordinate CA,该从属 CA 将由我们刚刚创建的根 CA 签名。