Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Términos y conceptos para AWS Private CA
Los siguientes términos y conceptos pueden ayudarle a trabajar con ellos AWS Private Certificate Authority.
Temas
- Confianza
- TLScertificados de servidor
- Firma del certificado
- Certificate authority (Autoridad de certificado)
- CA raíz
- Certificado de entidad de certificación
- Certificado de entidad de certificación raíz
- Certificado de entidad final
- Certificados autofirmados
- Certificado privado
- Ruta de acceso del certificado
- Restricción de longitud de ruta
Confianza
Para que un navegador web confíe en la identidad de un sitio web, el navegador debe tener la posibilidad de verificar el certificado del sitio web. Los navegadores, sin embargo, solo confían en una pequeña cantidad de certificados conocidos como certificados raíz de la CA. Una tercera parte de confianza, conocida como entidad de certificación (CA), valida la identidad del sitio web y emite un certificado digital firmado para el operador del sitio web. El navegador puede comprobar la firma digital para validar la identidad del sitio web. Si la validación se realiza correctamente, el navegador muestra un icono de un candado en la barra de direcciones.
TLScertificados de servidor
HTTPSlas transacciones requieren certificados de servidor para autenticar un servidor. Un certificado de servidor es una estructura de datos X.509 v3 que vincula la clave pública del certificado al asunto del certificado. Un TLS certificado lo firma una autoridad de certificación (CA). Contiene el nombre del servidor, el período de validez, la clave pública, el algoritmo de firma y más.
Firma del certificado
Una firma digital es un hash cifrado a través de un certificado. La firma se utiliza para confirmar la integridad de los datos del certificado. Su entidad de certificación privada crea una firma mediante una función de hash criptográfico, por ejemplo, SHA256 sobre el contenido del certificado de tamaño variable. Esta función hash produce una cadena de datos de tamaño fijo que no se puede falsificar de forma efectiva. Esta cadena se denomina hash. El CA cifra después este valor hash con la clave privada y concatena los hash cifrados con el certificado.
Certificate authority (Autoridad de certificado)
Una entidad de certificación (CA) emite certificados digitales y, si es necesario, los revoca. El tipo de certificado más común se basa en el estándar X.509. ISO Un certificado X.509 confirma la identidad del sujeto del certificado y asocia esa identidad a una clave pública. El sujeto puede ser un usuario, una aplicación, un equipo o cualquier otro dispositivo. La CA firma un certificado aplicando una función hash al contenido y cifrando después el hash con la clave privada que está asociada a la clave pública del certificado. Una aplicación cliente (por ejemplo, un navegador web) que necesite confirmar la identidad de un sujeto utilizará la clave pública para descifrar la firma del certificado. A continuación, aplicará una función hash al contenido del certificado y comparará el valor hash con la firma descifrada para determinar si coinciden. Para obtener más información sobre la firma de solicitudes, consulte Firma del certificado.
Puede usarlo Autoridad de certificación privada de AWS para crear una CA privada y usar la CA privada para emitir certificados. Su CA privada solo emite TLS certificadosSSL/privados para su uso en su organización. Para obtener más información, consulte Certificado privado. Para que pueda utilizarse, la CA privada también necesita un certificado. Para obtener más información, consulte Certificado de entidad de certificación.
CA raíz
Un bloque de creación criptográfico y raíz de confianza en función de la cual se pueden emitir certificado. Se compone de una clave privada para firmar (emitir) certificados y un certificado de raíz que identifica la entidad de certificación raíz y enlaza la clave privada al nombre de la entidad de certificación. El certificado raíz se distribuye a los almacenes de confianza de cada entidad de un entorno. Los administradores crean almacenes de confianza para incluir solo aquellos en los CAs que confían. Los administradores actualizan o crean los almacenes de confianza en los sistemas operativos, las instancias y las imágenes de las máquinas host de las entidades de su entorno. Cuando los recursos intentan conectarse entre sí, verifican los certificados que presenta cada entidad. Un cliente comprueba la validez de los certificados y si existe una cadena desde el certificado hasta un certificado raíz instalado en el almacén de confianza. Si se cumplen esas condiciones, se produce un “apretón de manos” entre los recursos. Este apretón de manos demuestra criptográficamente la identidad de cada entidad ante la otra y crea un canal de comunicación cifrado (TLS/SSL) entre ellas.
Certificado de entidad de certificación
El certificado de una entidad de certificación (CA) confirma la identidad de la CA y la asocia con la clave pública incluida en el certificado.
Puede usarlo Autoridad de certificación privada de AWS para crear una CA raíz privada o una CA subordinada privada, cada una respaldada por un certificado de CA. Los certificados de entidad de certificación subordinada están firmados por otro certificado de entidad de certificación superior en una cadena de confianza. Pero en el caso de una entidad de certificación raíz, el certificado está autofirmado. También puede establecer una autoridad raíz externa (alojada en las instalaciones, por ejemplo). A continuación, puede utilizar su autoridad raíz para firmar un certificado de entidad de certificación raíz subordinada alojado por Autoridad de certificación privada de AWS.
El siguiente ejemplo muestra los campos típicos de un certificado de CA Autoridad de certificación privada de AWS X.509. Tenga en cuenta que, en los certificados de CA, el valor CA: del campo Basic Constraints está establecido en TRUE.
Certificate: Data: Version: 3 (0x2) Serial Number: 4121 (0x1019) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com Validity Not Before: Feb 26 20:27:56 2018 GMT Not After : Feb 24 20:27:56 2028 GMT Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus:00:c0: ... a3:4a:51Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9 X509v3 Authority Key Identifier: keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, CRL Sign Signature Algorithm: sha256WithRSAEncryption6:bb:94: ... 80:d8
Certificado de entidad de certificación raíz
Por lo general, una autoridad de certificación (CA) existe dentro de una estructura jerárquica que contiene varias otras CAs con relaciones padre-hijo claramente definidas entre ellas. El hijo o el subordinado CAs reciben la certificación de sus padresCAs, lo que crea una cadena de certificados. La CA de la parte superior de la jerarquía se denomina “raíz de la CA” y su certificado se denomina “certificado raíz”. Este certificado suele estar autofirmado.
Certificado de entidad final
Un certificado de identidad final identifica un recurso, como un servidor, instancia, contenedor o dispositivo. A diferencia de los certificados de entidades de certificación, los certificados de entidad final no se pueden usar para emitir certificados. Otros términos comunes para el certificado de entidad final son certificado «cliente» o «hoja».
Certificados autofirmados
Un certificado firmado por el emisor en lugar de una entidad de certificación superior. A diferencia de los certificados emitidos desde una raíz segura mantenida por una CA, los certificados autofirmados funcionan como su propia raíz y, por lo tanto, tienen limitaciones importantes: se pueden utilizar para proporcionar cifrado electrónico, pero no para verificar la identidad, y no se pueden revocar. Son inaceptables desde el punto de vista de la seguridad. Sin embargo, las organizaciones los utilizan porque son fáciles de generar, no requieren experiencia ni infraestructura, y muchas aplicaciones los aceptan. No existen controles para la emisión de certificados autofirmados. Las organizaciones que los utilizan corren un mayor riesgo de sufrir interrupciones causadas por la caducidad de los certificados porque no tienen forma de hacer un seguimiento de las fechas de caducidad.
Certificado privado
Autoridad de certificación privada de AWS los certificados son TLS certificados SSL privados o certificados que puede usar en su organización, pero que no son de confianza en la Internet pública. Utilícelos para identificar recursos, como clientes, servidores, aplicaciones, servicios, dispositivos y usuarios. Al establecer un canal de comunicación cifrado y seguro, cada recurso utiliza un certificado como el siguiente junto con técnicas de cifrado para demostrar su identidad a otro recurso Los API puntos finales internos, los servidores web, VPN los usuarios, los dispositivos de IoT y muchas otras aplicaciones utilizan certificados privados para establecer los canales de comunicación cifrados que son necesarios para su funcionamiento seguro. De forma predeterminada, los certificados privados no son de confianza pública. Un administrador interno debe configurar explícitamente las aplicaciones para que confíen en los certificados privados y distribuyan los certificados.
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
Ruta de acceso del certificado
Un cliente que se basa en un certificado valida que existe una ruta de acceso desde el certificado de entidad final, posiblemente a través de una cadena de certificados intermedios, a una raíz de confianza. El cliente comprueba que cada certificado de la ruta es válido (no está revocado). También comprueba que el certificado de la entidad final no haya caducado, que sea íntegro (no haya sido manipulado ni modificado) y que se cumplan las restricciones del certificado.
Restricción de longitud de ruta
Las restricciones básicas pathLenConstraintde un certificado de CA establecen el número de certificados de CA subordinados que pueden existir en la cadena inferior. Por ejemplo, un certificado de CA con una restricción de longitud de ruta igual a cero no puede tener ningún subordinado. CAs Una CA con una restricción de longitud de ruta igual a uno puede tener hasta un nivel de subordinado CAs por debajo. RFC5280
