创建Subordinate CA

我们已经创建了根 CA,但现在我们需要创建一个可用于颁发证书的从属 CA, 有时称为颁发 CA(issue CA)。

由于根 CA 是我们信任链的顶层,因此我们只想用它来签署从属 CA,以表明该 CA 受到我们组织的信任。如果从属CA泄露,其颁发的任何最终实体证书也将处于风险。但如果我们的根 CA 的私钥以某种方式被泄露,则意味着我们整个组织的所有证书现在都面临风险。

我们使用证书层次结构来限制潜在 CA 泄露的影响范围

按照以下步骤创建一个新的从属 CA,我们将使用我们在上一节中创建的根 CA 对其进行签名

在PCA 控制台中,创建新的PCA:

image-20231203093850585

这次选择Subordinate类型:

image-20231203093939097

输入主题名称:

image-20231203094110083

其他选项保持默认。

与创建Root CA时不同,我们将选择Authorize ACM access to renew certificates requested by this account

image-20231203094215934

点击创建。

创建完成后,安装 CA 证书:

image-20231203094408444

在此页面上,我们需要选择AWS Private CA,以便我们可以选择之前创建的根 CA。如果想使用本地托管的根或中间 CA 证书签署此新的从属 CA,则可以选择External Private CA:

image-20231203094547501

从下拉菜单中选择Root CA 作为Prarent CA。

路径长度表示可以由该 CA 签名的证书颁发机构分支/层的数量。例如,如果我们要创建一个包含根 CA、中间 CA 和颁发 CA 的 3 层 CA 层次结构,我们会将该路径长度设置为 1:这将允许该从属 CA 充当中间 CA:

image-20231203094905410

最后点击安装。现在就创建了一个新的从属 CA,并使用我们的根 CA 对其进行了签名,将其添加到我们的信任链中。在控制台中看到两个证书颁发机构:

image-20231203095104489