Begriffe und Konzepte für AWS Private CA - AWS Private Certificate Authority
VertrauensstellungTLS-ServerzertifikateSignatur des ZertifikatsZertifizierungsstelleStammzertifizierungsstelle CA-ZertifikatCA-StammzertifikatZertifikat der endgültigen EntitätSelbstsignierte ZertifikatePrivates ZertifikatPfad des ZertifikatsBeschränkung der Pfadlänge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Begriffe und Konzepte für AWS Private CA

Die folgenden Begriffe und Konzepte können Ihnen bei der Arbeit mit helfen AWS Private Certificate Authority.

Vertrauensstellung

Damit ein Webbrowser der Identität einer Website vertraut, muss der Browser das Zertifikat der Website überprüfen können. Browser vertrauen jedoch nur einer kleinen Anzahl von Zertifikaten, die als CA-Stammzertifikate bekannt sind. Ein vertrauenswürdiger Dritter, als Zertifikatsstelle (Certificate Authority, CA) bezeichnet, validiert die Identität der Website und stellt ein signiertes digitales Zertifikat für den Betreiber der Website aus. Der Browser kann dann die digitale Signatur überprüfen, um die Identität der Website zu validieren. Wenn die Validierung erfolgreich ist, zeigt der Browser ein Schlosssymbol in der Adressleiste an.

TLS-Serverzertifikate

HTTPS-Transaktionen erfordern Serverzertifikate zur Authentifizierung eines Servers. Ein Serverzertifikat ist eine X.509-v3-Datenstruktur, mit der der öffentliche Schlüssel im Zertifikat an das Subject des Zertifikats gebunden wird. Ein TLS-Zertifikat wird von einer Zertifizierungsstelle (CA) signiert. Es enthält den Namen des Servers, den Gültigkeitszeitraum, den öffentlichen Schlüssel, den Signaturalgorithmus und vieles mehr.

Signatur des Zertifikats

Eine digitale Signatur ist ein verschlüsselter Hash über ein Zertifikat. Eine Signatur wird verwendet, um die Integrität der Zertifikatdaten zu bestätigen. Ihre private Zertifizierungsstelle erstellt eine Signatur mithilfe einer kryptografischen Hash-Funktion, z. B. SHA256 über dem Inhalt des Zertifikats mit variabler Größe. Diese Hash-Funktion erzeugt eine effektiv fälschungssichere Datenzeichenfolge mit fester Größe. Diese Zeichenfolge wird als Hash bezeichnet. Die Zertifizierungsstelle verschlüsselt dann den Hash-Wert mit dem privaten Schlüssel und verkettet den verschlüsselten Hash mit dem Zertifikat.

Zertifizierungsstelle

Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus und widerruft sie bei Bedarf. Der gängigste Zertifikatstyp basiert auf dem ISO X.509-Standard. Ein X.509-Zertifikat bestätigen die Identität des Zertifikatantragstellers und bindet die Identität an einen öffentlichen Schlüssel. Dabei kann es sich um einen Benutzer, eine Anwendung, einen Computer oder ein anderes Gerät handeln. Die Zertifizierungsstelle signiert ein Zertifikat, indem der Inhalt gehasht wird und der Hash dann mit dem privaten Schlüssel verschlüsselt wird, der mit dem öffentlichen Schlüssel im Zertifikat verbunden ist. Eine Client-Anwendung wie z. B. ein Webbrowser, der die Identität eines Antragstellers bestätigen muss, verwendet den öffentlichen Schlüssel zum Entschlüsseln der Zertifikatsignatur. Anschließend wird der Inhalt des Zertifikats gehasht und der gehashte Wert mit der entschlüsselten Signatur verglichen, um festzustellen, ob sie übereinstimmen. Weitere Informationen zur Zertifikatsignatur finden Sie unter Signatur des Zertifikats.

Sie können AWS Private CA damit eine private Zertifizierungsstelle erstellen und die private Zertifizierungsstelle verwenden, um Zertifikate auszustellen. Ihre private Zertifizierungsstelle stellt nur private SSL-/TLS-Zertifikate für die Verwendung innerhalb Ihrer Organisation aus. Weitere Informationen finden Sie unter Privates Zertifikat. Ihre private Zertifizierungsstelle erfordert auch ein Zertifikat, bevor Sie sie verwenden können. Weitere Informationen finden Sie unter CA-Zertifikat.

Stammzertifizierungsstelle

Eine Stammzertifizierungsstelle ist ein kryptografischer Baustein und der Ausgangspunkt für das Ausstellen vertrauenswürdiger Zertifikate. Sie besteht aus einem privaten Schlüssel zur Unterzeichnung (Ausstellung) von Zertifikaten und einem Stammzertifikat, das die Stammzertifizierungsstelle identifiziert und den privaten Schlüssel mit ihrem Namen verknüpft. Das Stammzertifikat wird an die Vertrauensspeicher jeder Entität in einer Umgebung verteilt. Administratoren erstellen Vertrauensspeicher, die nur Vertrauensspeicher enthalten CAs , denen sie vertrauen. Administratoren aktualisieren oder integrieren die Trust Stores in den Betriebssystemen, Instanzen und Hostcomputer-Images von Entitäten in ihrer Umgebung. Versuchen Ressourcen, gegenseitig eine Verbindung herzustellen, werden die Zertifikate der jeweiligen Entitäten überprüft. Ein Client prüft die Zertifikate auf ihre Gültigkeit und darauf, ob eine Kette vom Zertifikat zu einem Stammzertifikat im Trust Store vorhanden ist. Wenn diese Bedingungen erfüllt sind, erfolgt ein „Handshake“ zwischen den Ressourcen. Dieser „Handshake“ weist die Identität der einzelnen Entitäten gegenüber den anderen kryptografisch nach und richtet einen verschlüsselten Kommunikationskanal (TLS/SSL) zwischen diesen ein.

CA-Zertifikat

Ein Zertifizierungsstellenzertifikat bestätigt die Identität einer Zertifizierungsstelle und bindet sie an den öffentlichen Schlüssel, der im Zertifikat enthalten ist.

Sie können AWS Private CA es verwenden, um eine private Stammzertifizierungsstelle oder eine private untergeordnete Zertifizierungsstelle zu erstellen, die jeweils durch ein CA-Zertifikat abgesichert sind. Untergeordnete CA-Zertifikate werden von einem anderen CA-Zertifikat in einer Vertrauenskette signiert. Bei einer Stammzertifizierungsstelle ist das Zertifikat jedoch selbstsigniert. Sie können auch eine externe Stammzertifizierungsstelle einrichten (z. B. lokal gehostet). Anschließend können Sie mit Ihrer Stammzertifizierungsstelle ein untergeordnetes Stamm-CA-Zertifikat signieren, das von AWS Private CA gehostet wird.

Das folgende Beispiel zeigt die typischen Felder, die in einem AWS Private CA X.509-CA-Zertifikat enthalten sind. Beachten Sie, dass für ein CA-Zertifikat der CA:-Wert im Feld Basic Constraints auf TRUE festgelegt ist. 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 4121 (0x1019)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com
        Validity
            Not Before: Feb 26 20:27:56 2018 GMT
            Not After : Feb 24 20:27:56 2028 GMT
        Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c0: ... a3:4a:51
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
            X509v3 Authority Key Identifier:
                keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         6:bb:94: ... 80:d8

CA-Stammzertifikat

Eine Zertifizierungsstelle (CA) befindet sich in der Regel innerhalb einer hierarchischen Struktur, die mehrere andere CAs mit klar definierten Eltern-Kind-Beziehungen zwischen ihnen enthält. Untergeordnete oder untergeordnete Personen CAs werden von ihren Eltern zertifiziert CAs, wodurch eine Zertifikatskette entsteht. Die CA oben in der Hierarchie wird als die Stamm-CA bezeichnet und ihr Zertifikat wird Stammzertifikat genannt. Dieses Zertifikat ist in der Regel selbstsigniert.

Zertifikat der endgültigen Entität

Ein Endzertifizierungszertifikat identifiziert eine Ressource, z. B. einen Server, eine Instanz, einen Container oder ein Gerät. Im Gegensatz zu CA-Zertifikaten können Entity-Zertifikate nicht zur Ausstellung von Zertifikaten verwendet werden. Andere gebräuchliche Begriffe für Endzertifikate sind „Client“ oder „Leaf“ -Zertifikat.

Selbstsignierte Zertifikate

Ein Zertifikat, das anstatt von einer höheren Zertifizierungsstelle vom Aussteller signiert ist. Im Gegensatz zu Zertifikaten, die von einem sicheren Stamm ausgestellt wurden, der von einer Zertifizierungsstelle verwaltet wird, fungieren selbstsignierte Zertifikate als eigene Stammzertifikate und weisen daher erhebliche Einschränkungen auf: Sie können zur Verschlüsselung auf der Leitung verwendet werden, aber nicht zur Überprüfung der Identität, und sie können nicht gesperrt werden. Sie sind aus sicherheitstechnischer Sicht inakzeptabel. Organisationen nutzen sie dennoch, weil sie einfach zu generieren sind, kein Fachwissen und keine Infrastruktur benötigen und von vielen Anwendungen akzeptiert werden. Es gibt keine Kontrollen für die Ausstellung von selbstsignierten Zertifikaten. Organisationen, die selbstsignierte Zertifikate verwenden, gehen ein höheres Risiko für Ausfälle ein, welche durch das Ablaufen von Zertifikaten verursacht werden, denn sie verfügen über keine Möglichkeit, die Ablaufdaten nachzuverfolgen.

Privates Zertifikat

AWS Private CA Zertifikate sind private SSL/TLS-Zertifikate, die Sie innerhalb Ihrer Organisation verwenden können, die jedoch im öffentlichen Internet nicht vertrauenswürdig sind. Verwenden Sie sie zum Identifizieren von Ressourcen wie z. B. Clients, Servern, Anwendungen, Services, Geräten und Benutzern. Wenn ein sicherer verschlüsselter Kommunikationskanal hergestellt wird, verwendet jede Ressource ein Zertifikat wie das folgende sowie Verschlüsselungstechniken zum Nachweis ihrer Identität an eine andere Ressource. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und zahlreiche weitere Anwendungen verwenden private Zertifikate zur Herstellung von verschlüsselten Kommunikationskanälen, die für ihre sichere Operation notwendig sind. Private Zertifikate sind standardmäßig nicht öffentlich vertrauenswürdig. Ein interner Administrator muss Anwendungen explizit konfigurieren, damit sie privaten Zertifikaten vertrauen und diese verteilen. 

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
        Validity
            Not Before: Feb 26 18:39:57 2018 GMT
            Not After : Feb 26 19:39:57 2019 GMT
        Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00...c7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65

            X509v3 Subject Key Identifier:
                C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl

    Signature Algorithm: sha256WithRSAEncryption
         58:32:...:53

Pfad des Zertifikats

Ein Client, der auf ein Zertifikat angewiesen ist, überprüft, ob ein Pfad vom Endentitätszertifikat, möglicherweise über eine Kette von Zwischenzertifikaten, zu einem vertrauenswürdigen Stamm existiert. Der Client überprüft, ob alle Zertifikate des Pfads gültig sind (nicht widerrufen). Außerdem wird überprüft, ob das Endzertifikat nicht abgelaufen ist, seine Integrität besitzt (nicht manipuliert oder verändert wurde) und ob die Beschränkungen im Zertifikat durchgesetzt werden.

Beschränkung der Pfadlänge

Die grundlegenden Einschränkungen pathLenConstraintfür ein CA-Zertifikat legen die Anzahl der untergeordneten CA-Zertifikate fest, die in der darunter liegenden Kette vorhanden sein können. Beispielsweise kann ein CA-Zertifikat mit einer Pfadlängenbeschränkung von Null kein untergeordnetes CAs Zertifikat haben. Einer Zertifizierungsstelle mit einer Pfadlängenbeschränkung von eins kann bis zu einer untergeordneten Ebene untergeordnet sein CAs . RFC 5280 definiert dies als „die maximale Anzahl von non-self-issued Zwischenzertifikaten, die diesem Zertifikat in einem gültigen Zertifizierungspfad folgen können“. Der Wert für die Pfadlänge schließt das Endzertifikat aus, obwohl es in informellen Formulierungen über die „Länge“ oder „Tiefe“ einer Validierungskette enthalten sein kann... was zu Verwirrung führen kann.