AWS 私有 CA 现在支持后量子数字证书

发布于: 2025年11月10日

AWS 私有证书颁发机构 (AWS 私有 CA) 现在允许您使用基于模块格子的数字签名算法 (ML-DSA) 来创建证书颁发机构 (CA) 和颁发证书。此功能使您能够开始将公钥基础架构 (PKI) 过渡到后量子密码术，从而使您能够立即采取保护措施，保护数据安全免受未来的量子计算威胁。ML-DSA 是一种后量子数字签名算法，由美国国家标准与技术研究所 (NIST) 标准化，作为联邦信息处理标准 (FIPS) 204 发布。

借助此功能，您现在可以在您的环境中测试 ML-DSA 以进行证书颁发、身份验证和代码签名。您可以使用 ML-DSA 创建 CA、颁发证书、创建证书吊销列表 (CRL) 和配置在线证书状态协议 (OCSP) 响应器。具备密码学相关能力的量子计算机（CRQC）将能够破解现有数字签名算法，如 RSA（Rivest–Shamir–Adleman）或椭圆曲线数字签名算法（ECDSA），这些算法预计将在未来十年内逐步淘汰。

AWS 私有 CA 对 ML-DSA 的支持现已在所有商业 AWS 区域、AWS GovCloud（美国）区域和中国区域推出。

要详细了解 AWS 私有 CA 对 ML-DSA 的支持，请查看 AWS 私有 CA 用户指南。

要了解有关 AWS 后量子密码术的更多信息，请访问 AWS 后量子密码术页面。