Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Apa itu AWS Private CA?
AWS Private CA memungkinkan pembuatan hierarki otoritas sertifikat swasta (CA), termasuk root dan bawahan CAs, tanpa biaya investasi dan pemeliharaan pengoperasian CA lokal. Pribadi Anda CAs dapat menerbitkan sertifikat X.509 entitas akhir yang berguna dalam skenario termasuk:
+ Membuat saluran komunikasi TLS terenkripsi
+ Mengautentikasi pengguna, komputer, titik akhir API, dan perangkat IoT
+ Kode penandatanganan kriptografi
+ Menerapkan Protokol Status Sertifikat Online (OCSP) untuk mendapatkan status pencabutan sertifikat
AWS Private CA operasi dapat diakses dari Konsol Manajemen AWS, menggunakan AWS Private CA API, atau menggunakan AWS CLI.
**Topics**
+ [Ketersediaan regional untuk AWS Private Certificate Authority](#PcaRegions)
+ [Layanan terintegrasi dengan AWS Private Certificate Authority](#PcaIntegratedServices)
+ [Algoritma kriptografi yang didukung di AWS Private Certificate Authority](#supported-algorithms)
+ [Kepatuhan RFC 5280 di AWS Private Certificate Authority](#RFC-compliance)
+ [Harga untuk AWS Private Certificate Authority](#PcaPricing)
+ [Syarat dan konsep untuk AWS Private CA](PcaTerms.md)
## Ketersediaan regional untuk AWS Private Certificate Authority
Seperti kebanyakan AWS sumber daya, otoritas sertifikat swasta (CAs) adalah sumber daya Regional. Untuk menggunakan privat CAs di lebih dari satu Wilayah, Anda harus membuat CAs di Wilayah tersebut. Anda tidak dapat menyalin pribadi CAs antar Wilayah. Kunjungi [AWS Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) di *Referensi Umum AWS*atau [Tabel AWS Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) untuk melihat ketersediaan Regional. AWS Private CA
**catatan**
ACM saat ini tersedia di beberapa wilayah yang AWS Private CA tidak.
## Layanan terintegrasi dengan AWS Private Certificate Authority
Jika Anda menggunakan AWS Certificate Manager untuk meminta sertifikat pribadi, Anda dapat mengaitkan sertifikat itu dengan layanan apa pun yang terintegrasi dengan ACM. Ini berlaku baik untuk sertifikat yang dirantai ke AWS Private CA root dan sertifikat yang dirantai ke root eksternal. Untuk informasi selengkapnya, lihat [Layanan Terpadu](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) di Panduan AWS Certificate Manager Pengguna.
Anda juga dapat mengintegrasikan private CAs ke Amazon Elastic Kubernetes Service untuk memberikan penerbitan sertifikat di dalam klaster Kubernetes. Untuk informasi selengkapnya, lihat [Amankan Kubernetes dengan AWS Private Certificate Authority](PcaKubernetes.md).
**catatan**
Amazon Elastic Kubernetes Service bukan layanan terintegrasi ACM.
Jika Anda menggunakan AWS Private CA API atau AWS CLI menerbitkan sertifikat atau mengekspor sertifikat pribadi dari ACM, Anda dapat menginstal sertifikat di mana pun Anda inginkan.
## Algoritma kriptografi yang didukung di AWS Private Certificate Authority
AWS Private CA mendukung algoritma kriptografi berikut untuk pembuatan kunci pribadi dan penandatanganan sertifikat.
**Algoritme yang didukung**
| Algoritme kunci privat | Algoritme penandatanganan |
| --- | --- |
| ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
RSA\_2048
RSA\_3072
RSA\_4096
EC\_prime256v1
EC\_secp384r1
EC\_secp521r1
SM2 (Hanya Wilayah Tiongkok) | ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
SHA256WITHRSASHA384WITHRSA
SHA512WITHRSA
SHA256DENGANECDSA
SHA384DENGANECDSA
SHA512DENGANECDSA
SM3WITHSM2 |
Daftar ini hanya berlaku untuk sertifikat yang dikeluarkan langsung AWS Private CA melalui konsol, API, atau baris perintahnya. Saat AWS Certificate Manager mengeluarkan sertifikat menggunakan CA dari AWS Private CA, ini mendukung beberapa tetapi tidak semua algoritme ini. Untuk informasi selengkapnya, lihat [Meminta Sertifikat Pribadi](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) di Panduan AWS Certificate Manager Pengguna.
**catatan**
Untuk RSA atau ECDSA, keluarga algoritma penandatanganan yang ditentukan harus cocok dengan keluarga algoritma kunci kunci privat CA.
Untuk ML-DSA, fungsi hash didefinisikan sebagai bagian dari algoritma itu sendiri. Tidak ada pilihan untuk memilih fungsi hash yang berbeda dengan ML-DSA. Untuk mempertahankan kompatibilitas mundur dengan APIs, nilai yang sama digunakan untuk algoritma kunci dan algoritma penandatanganan.
## Kepatuhan RFC 5280 di AWS Private Certificate Authority
AWS Private CA [tidak memberlakukan batasan tertentu yang ditentukan dalam RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280) Situasi sebaliknya juga benar: kendala tambahan tertentu yang sesuai untuk CA privat diberlakukan.
**Ditegakkan**
+ [Tidak Setelah tanggal](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5). Sesuai dengan [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), AWS Private CA mencegah penerbitan sertifikat yang bertuliskan `Not After` tanggal lebih lambat dari tanggal penerbitan sertifikat CA. `Not After`
+ [Kendala dasar](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). AWS Private CA memberlakukan batasan dasar dan panjang jalur dalam sertifikat CA yang diimpor.
Kendala dasar menunjukkan apakah sumber daya yang diidentifikasi oleh sertifikat adalah CA dan dapat mengeluarkan sertifikat. Sertifikat CA yang diimpor AWS Private CA harus menyertakan ekstensi kendala dasar, dan ekstensi harus ditandai. `critical` Selain `critical` bendera, `CA=true` harus diatur. AWS Private CA memberlakukan kendala dasar dengan gagal dengan pengecualian validasi karena alasan berikut:
+ Ekstensi tidak termasuk dalam sertifikat CA.
+ Ekstensi tidak ditandai `critical`.
Panjang jalur ([pathLenConstraint](PcaTerms.md#terms-pathlength)) menentukan berapa banyak bawahan yang CAs mungkin ada di hilir dari sertifikat CA yang diimpor. AWS Private CA memberlakukan panjang jalur dengan gagal dengan pengecualian validasi karena alasan berikut:
+ Mengimpor sertifikat CA akan melanggar kendala panjang jalur dalam sertifikat CA atau sertifikat CA apa pun dalam rantai.
+ Menerbitkan sertifikat akan melanggar kendala panjang jalur.
+ [Batasan nama](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) menunjukkan ruang nama di mana semua nama subjek dalam sertifikat berikutnya di jalur sertifikasi harus ditempatkan. Pembatasan berlaku untuk nama subjek yang dibedakan dan nama alternatif subjek.
**Tidak ditegakkan**
+ [Kebijakan sertifikat](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Kebijakan sertifikat mengatur kondisi di mana CA mengeluarkan sertifikat.
+ [Menghambat AnyPolicy](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Digunakan dalam sertifikat yang dikeluarkan untukCAs.
+ [Nama Alternatif Penerbit](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Memungkinkan identitas tambahan dikaitkan dengan penerbit sertifikat CA.
+ [Kendala kebijakan](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Kendala ini membatasi kapasitas CA untuk menerbitkan sertifikat CA bawahan.
+ [Pemetaan Kebijakan](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Digunakan dalam sertifikat CA. Daftar satu atau lebih pasangan OIDs; setiap pasangan termasuk issuerDomainPolicy dan asubjectDomainPolicy.
+ [Atribut Direktori Subjek](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Digunakan untuk menyampaikan atribut identifikasi subjek.
+ [Akses Informasi Subjek](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). Cara mengakses informasi dan layanan untuk subjek sertifikat di mana ekstensi muncul.
+ [Subject Key Identifier (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) dan [Authority Key Identifier (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). RFC memerlukan sertifikat CA yang berisi ekstensi SKI. Sertifikat yang dikeluarkan oleh CA harus berisi ekstensi AKI yang cocok dengan SKI sertifikat CA. AWS tidak menegakkan persyaratan ini. Jika Sertifikat CA Anda tidak berisi SKI, entitas akhir yang diterbitkan atau sertifikat CA bawahan AKI akan menjadi hash SHA-1 dari kunci publik penerbit.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)dan [Nama Alternatif Subjek (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Saat menerbitkan sertifikat, salin ekstensi AWS Private CA SubjectPublicKeyInfo dan SAN dari CSR yang disediakan tanpa melakukan validasi.
## Harga untuk AWS Private Certificate Authority
Akun Anda dikenai harga bulanan untuk setiap CA privat mulai dari saat Anda membuatnya. Anda juga dikenakan biaya untuk setiap sertifikat yang Anda keluarkan. Biaya ini mencakup sertifikat yang Anda ekspor dari ACM dan sertifikat yang Anda buat dari AWS Private CA API atau AWS Private CA CLI. Anda tidak dikenakan biaya untuk CA privat setelah dihapus. Namun, jika Anda memulihkan CA privat, Anda akan dikenakan biaya untuk waktu antara penghapusan dan pemulihan. Sertifikat privat yang kunci privatnya tidak dapat Anda akses gratis. Ini termasuk sertifikat yang digunakan dengan [Layanan Terpadu](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) seperti Elastic Load Balancing, CloudFront, dan API Gateway.
Untuk informasi AWS Private CA harga terbaru, lihat [AWS Private Certificate Authority Harga](https://aws.amazon.com/private-ca/pricing/). Anda juga dapat menggunakan [kalkulator AWS harga](https://calculator.aws/#/createCalculator/certificateManager) untuk memperkirakan biaya.