我目前所理解的(虽然不确定)是
- ACM 是免费的,但 ACM PCA 会收取生成每个证书的费用。
- ACM 可用于为 ELB 或 CloudFront 级别生成证书,而 ACM PCA 可用于为其他面向公众的服务生成证书。
我无法准确理解 AWS 证书管理器私有证书颁发机构 (ACM PCA) 和 AWS 证书管理器 (ACM) 之间的区别。我是否需要为 AWS 上托管的 Web 服务购买付费证书?
答案1
ACM 生成公共证书,供 ELB 等 AWS 托管服务使用。它使用 AWS 的公共证书颁发机构进行证书签名。如果您的 Web 服务托管由 ELB、Cloudfront 或其他 ACM 支持的服务提供(请参阅:与 AWS Certification Manager 集成的服务),那么您无需从第三方购买付费证书 - 尽管没有什么可以阻止您使用第三方并将其证书导入 ACM 以供 AWS 服务使用(如果您愿意的话)。
但是,如果你希望将服务直接托管到使用公共证书的 EC2 实例上,那么你做由于无法导出,因此需要从第三方提供商处购买证书民众来自 ACM 的证书,以便以此方式使用。
ACM PCA 是私人的证书颁发机构和做允许您导出任何用例的证书 - 包括 EC2 实例甚至本地服务。主要用例是用于需要证书的应用程序的内部布线,以便使用 TLS 在组件之间进行通信,或者可能是企业 Web 应用程序,其中访问服务的客户端设备信任私有证书颁发机构。最终,它省去了为此类用例设置、配置和维护自己的内部证书颁发机构的麻烦。它才不是但是允许您配置公共的受信任证书颁发机构,任何想要验证 ACM PCA 颁发的证书的用户/客户端都需要首先明确信任您的私人证书颁发机构。
更完整的描述可以在这里找到:什么是 ACM PCA?