Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
ACMcaractéristiques du certificat
Les certificats publics fournis par ACM présentent les caractéristiques décrites sur cette page .
Note
Ces caractéristiques s'appliquent uniquement aux certificats fournis parACM. Ils peuvent ne pas s'appliquer aux certificats que vous importez ACM.
-
Les certificats publics que vous demandez ACM sont obtenus auprès d'Amazon Trust Services
, une autorité de certification publique (CA) gérée par Amazon. Amazon Root CAs 1 à 4 est signé croisé par une ancienne racine nommée Starfield G2 Root Certificate Authority - G2. La racine Starfield est approuvée sur les appareils Android à partir des versions ultérieures de Gingerbread, et sur iOS à partir de la version 4.1. Les racines Amazon sont approuvées par iOS à partir de la version 11. Tout navigateur, application ou système d'exploitation incluant les racines d'Amazon ou de Starfield fera confiance aux certificats publics obtenus auprès deACM. Les certificats originaux ou d'entité finale délivrés ACM aux clients tirent leur autorité d'une autorité de certification racine Amazon Trust Services via l'un des nombreux intermédiairesCAs. ACMassigne de manière aléatoire une autorité de certification intermédiaire en fonction du type de certificat (RSAouECDSA) demandé. Étant donné que l'autorité de certification intermédiaire est sélectionnée de manière aléatoire après la génération de la demande, ACM elle ne fournit pas d'informations d'autorité de certification intermédiaire.
- Approbation du navigateur et de l'application
-
ACMles certificats sont approuvés par tous les principaux navigateurs, notamment Google Chrome, Microsoft Internet Explorer et Microsoft Edge, Mozilla Firefox et Apple Safari. Les navigateurs qui font confiance aux ACM certificats affichent une icône représentant un cadenas dans leur barre d'état ou leur barre d'adresse lorsqu'ils sont connectés SSL TLS par/ à des sites utilisant ACM des certificats. ACMles certificats sont également approuvés par Java.
- Rotation des autorités de certification intermédiaires et racine
-
Afin de maintenir une infrastructure de certificats résiliente et agile, Amazon est capable à tout moment de mettre fin à une autorité de certification intermédiaire sans préavis. Ces modifications n'ont aucun impact sur les clients. Pour plus d'informations, consultez la rubrique, "Amazon introduit des autorités de certification intermédiaires dynamiques
." Dans le cas peu probable où Amazon mettrait fin à une autorité de certification racine, le changement se produira aussi rapidement que les circonstances l'exigent.. En raison de l'impact important d'un tel changement, Amazon utilisera tous les mécanismes disponibles pour informer les AWS clients, notamment en envoyant un e-mail aux propriétaires de comptes et en contactant les responsables techniques des comptes. AWS Health Dashboard
- Accès au pare-feu pour révocation
-
Si un certificat d'entité finale n'est plus fiable, il sera révoqué. OCSPet CRLs sont les mécanismes standard utilisés pour vérifier si un certificat a été révoqué ou non. OCSPet CRLs sont les mécanismes standard utilisés pour publier les informations de révocation. Certains pare-feux clients peuvent nécessiter des règles supplémentaires susceptibles de faire fonctionner ces mécanismes.
Les exemples de modèles de URL caractères génériques suivants peuvent être utilisés pour identifier le trafic de révocation. Un astérisque (*) représente un ou plusieurs caractères alphanumériques, un point d'interrogation (?) représente un seul caractère alphanumérique et un dièse (#) représente un chiffre.
-
OCSP
http://ocsp.?????.amazontrust.comhttp://ocsp.*.amazontrust.com -
CRL
http://crl.?????.amazontrust.com/?????.crlhttp://crl.*.amazontrust.com/*.crl
-
- Validation du domaine
-
Les certificats ACM sont des certificats de domaine validé. En d'autres termes, le champ d'objet d'un ACM certificat identifie un nom de domaine et rien de plus. Lorsque vous demandez un ACM certificat, vous devez confirmer que vous possédez ou contrôlez tous les domaines que vous spécifiez dans votre demande. Vous pouvez valider la propriété par e-mail ouDNS. Pour plus d’informations, consultez Validation par e-mail et DNSvalidation.
- Période de validité
-
La durée de validité des ACM certificats est de 13 mois (395 jours).
- Renouvellement et déploiement gérés
-
ACMgère le processus de renouvellement des ACM certificats et de provisionnement des certificats après leur renouvellement. Le renouvellement automatique peut vous aider à éviter les temps d'arrêt dus aux certificats mal configurés, révoqués ou expirés. Pour de plus amples informations, veuillez consulter Renouvellement géré des ACM certificats.
- Plusieurs noms de domaine
-
Chaque ACM certificat doit inclure au moins un nom de domaine complet (FQDN), et vous pouvez ajouter des noms supplémentaires si vous le souhaitez. Par exemple, lorsque vous créez un ACM certificat pour
www.example.com, vous pouvez également ajouter le nomwww.example.netsi les clients peuvent accéder à votre site en utilisant l'un ou l'autre des noms. C'est également vrai pour les noms de domaine stricts (aussi appelés domaines de zone apex ou domaines naked). En d'autres termes, vous pouvez demander un ACM certificat pour www.exemple.com et ajouter le nom exemple.com. Pour de plus amples informations, veuillez consulter Demande de certificat public. - Noms de caractère générique
-
ACMvous permet d'utiliser un astérisque (*) dans le nom de domaine pour créer un ACM certificat contenant un nom générique capable de protéger plusieurs sites du même domaine. Par exemple,
*.example.comprotègewww.example.cometimages.example.com.Note
Lorsque vous demandez un certificat générique, l'astérisque (
*) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple,*.example.compeut protégerlogin.example.comettest.example.com, mais il ne peut pas protégertest.login.example.com. Notez aussi que*.example.comprotège uniquement les sous-domaines deexample.com, il ne protège pas le domaine strict ou apex (example.com). Cependant, vous pouvez demander un certificat qui protège un domaine strict ou apex et ses sous-domaines en indiquant plusieurs noms de domaines dans votre demande. Par exemple, vous pouvez demander un certificat qui protègeexample.comet*.example.com. - Algorithme de clés
-
Un certificat doit indiquer un algorithme et la taille de la clé. Actuellement, les algorithmes à clé publique suivants RSA et Elliptic Curve Digital Signature Algorithm (ECDSA) sont pris en charge parACM. ACMpeut demander l'émission de nouveaux certificats à l'aide d'algorithmes marqués d'un astérisque (*). Les autres algorithmes sont pris en charge uniquement par les certificats importés.
Note
Lorsque vous demandez un PKI certificat privé signé par une autorité de certification AWS Private CA, la famille d'algorithmes de signature spécifiée (RSAouECDSA) doit correspondre à la famille d'algorithmes de la clé secrète de l'autorité de certification.
-
RSA1024 bits (
RSA_1024) -
RSA2048 bits (*
RSA_2048) -
RSA3072 bits ()
RSA_3072 -
RSA4096 bits ()
RSA_4096 -
ECDSA256 bits (
EC_prime256v1) * -
ECDSA384 bits (
EC_secp384r1) * -
ECDSA521 bits ()
EC_secp521r1
ECDSAles clés sont plus petites, offrant une sécurité comparable à celle RSA des clés, mais avec une plus grande efficacité informatique. Cependant, il n'ECDSAest pas pris en charge par tous les clients du réseau. Le tableau suivant, adapté de NIST
, montre le niveau de sécurité représentatif de RSA et ECDSA avec des clés de différentes tailles. Toutes les valeurs sont exprimées en bits. Comparaison de la sécurité des algorithmes et des clésNiveau de sécurité
RSAtaille de la clé
ECDSAtaille de la clé
128
3072 256 192
7680 384 256
15360 521 La force de sécurité, comprise comme une puissance de 2, est liée au nombre de suppositions nécessaires pour casser le chiffrement. Par exemple, une clé de 3072 bits et une RSA clé de 256 bits ECDSA peuvent être récupérées avec un maximum de 2 128 suppositions.
Pour obtenir des informations qui vous aideront à choisir un algorithme, consultez le billet de AWS blog Comment évaluer et utiliser ECDSA les certificats dans AWS Certificate Manager
. Important
Notez que les services intégrés autorisent uniquement les algorithmes et tailles de clés qu'ils prennent en charge pour les associer à leurs ressources. De plus, leur prise en charge varie selon que le certificat est importé dans IAM ou dansACM. Pour plus d'informations, consultez la documentation pour chaque service.
-
Pour Elastic Load Balancing, consultez HTTPSListeners for Your Application Load Balancer.
-
Pour CloudFront, voir SupportedSSL/TLSProtocols and Ciphers.
-
- Punycode
-
Les exigences Punycode
suivantes relatives aux noms de domaine internationalisés doivent être remplies : -
Les noms de domaine commençant par le modèle « <character><character>-- » doivent correspondre à « xn-- ».
-
Les noms de domaine commençant par « xn-- » doivent également être des noms de domaine internationalisés valides.
Exemples de PunycodeNom de domaine
Remplit #1
Remplit #2
Autorisé
Remarque
example.com
N/A
s/o
✓
Ne commence pas par « <character><character>-- »
a--example.com
N/A
s/o
✓
Ne commence pas par « <character><character>-- »
abc--example.com
N/A
s/o
✓
Ne commence pas par « <character><character>-- »
xn--xyz.com
Oui
Oui
✓
Nom de domaine internationalisé valide (se résout sur 简.com)
xn--example.com
Oui
Non
✗
Nom de domaine internationalisé non valide
ab--example.com
Non
Non
✗
Doit commencer par « xn-- »
-
- Exceptions
-
Notez ce qui suit :
-
ACMne fournit pas de certificats de validation étendue (EV) ni de certificats de validation d'organisation (OV).
-
ACMne fournit pas de certificats pour autre chose que les TLS protocoles SSL /.
-
Vous ne pouvez pas utiliser de ACM certificats pour le chiffrement des e-mails.
-
ACMne vous permet pas actuellement de vous désinscrire du renouvellement géré des ACM certificats. En outre, le renouvellement géré n'est pas disponible pour les certificats que vous importezACM.
-
Vous ne pouvez pas demander de certificats pour les noms de domaine qui sont la propriété d'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ou elasticbeanstalk.com.
-
Vous ne pouvez pas télécharger la clé privée d'un ACM certificat.
-
Vous ne pouvez pas installer de ACM certificats directement sur votre site Web ou votre application Amazon Elastic Compute Cloud (AmazonEC2). Toutefois, vous pouvez utiliser votre certificat avec n'importe quel service intégré. Pour de plus amples informations, veuillez consulter Services intégrés à AWS Certificate Manager.
-
