AWS Certificate Manager concepts - AWS Certificate Manager
Certificat ACMRacine ACM CAsDomaine apexChiffrement à clé asymétriqueAutorité de certificationJournalisation de transparence des certificatsSystème de noms de domaineNoms de domaineChiffrement et déchiffrementNom de domaine complet (FQDN)Infrastructure à clés publiques (ICP)Certificat racineSecure Sockets Layer (SSL)HTTPS sécuriséCertificats de serveur SSLChiffrement à clé symétriqueprotocole TLS (Transport Layer Security)Approbation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Certificate Manager concepts

Cette section fournit les définitions des concepts utilisés par AWS Certificate Manager.

Certificat ACM

ACM génère des certificats X.509 version 3. Chacun d'eux est valide pendant 13 mois (395 jours) et contient les extensions suivantes.

  • Contraintes élémentaires : indique si l'objet du certificat est une autorité de certification (CA)

  • Authority Key Identifier (Identifiant de clé d'autorité) : permet l'identification de la clé publique qui correspond à la clé privée utilisée pour signer le certificat.

  • Subject Key Identifier (Identificateur de clé d'objet) : permet l'identification des certificats qui contiennent une clé publique particulière.

  • Key Usage (Utilisation de la clé) : définit l'objectif de la clé publique intégrée dans le certificat.

  • Extended Key Usage (Utilisation étendue de la clé) : spécifie un ou plusieurs objectifs pour lesquels la clé publique peut être utilisée en plus des objectifs spécifiés par l'extension Key Usage (Utilisation de la clé).

  • CRL Distribution Points (Points de distribution CRL) : indique où obtenir les informations CRL.

Le texte brut d'un certificat émis par ACM se présente comme dans l'exemple suivant :

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

Racine ACM CAs

Les certificats publics d'entité finale émis par ACM tirent leur confiance de la racine Amazon suivante : CAs

Nom unique

 Algorithme de chiffrement

CN=Amazon Root CA 1, O=Amazon, C=US

 2048 bits RSA (RSA_2048)

CN=Amazon Root CA 2, O=Amazon, C=US

 4096 bits RSA (RSA_4096)

CN=Amazon Root CA 3, O=Amazon, C=US

 Elliptic Prime Curve 256 bits (EC_prime256v1)

CN=Amazon Root CA 4, O=Amazon, C=US

 Elliptic Prime Curve 384 bits (EC_secp384r1)

La racine de confiance par défaut pour les certificats émis par ACM est CN=Amazon Root CA 1,O=Amazon,C=US, qui offre une sécurité RSA 2048 bits. Les autres racines sont réservées à une utilisation future. Toutes les racines sont signées par le certificat de l'autorité de certification racine (Root Certificate Authority) Starfield Services.

Pour de plus amples informations, veuillez consulter Amazon Trust Services.

Domaine apex

Consultez Noms de domaine.

Chiffrement à clé asymétrique

Contrairement à la Chiffrement à clé symétrique, le chiffrement asymétrique utilise des clés différentes mais mathématiquement liées pour chiffrer et déchiffrer le contenu. L'une des clés est publique, et elle est généralement mise à disposition dans un certificat X.509 v3. L'autre clé est privée, et elle est stockée de manière sécurisée. Le certificat X.509 lie l'identité d'un utilisateur, d'un ordinateur ou d'une autre ressource (l'objet du certificat) à la clé publique.

Les certificats ACM sont des certificats SSL/TLS X.509 qui lient l'identité de votre site web et les détails de votre organisation à la clé publique contenue dans le certificat. ACM utilise votre clé privée AWS KMS key pour chiffrer la clé privée. Pour de plus amples informations, veuillez consulter Sécurité des clés privées des certificats.

Autorité de certification

Une autorité de certification (CA) est une entité qui émet des certificats numériques. Dans le commerce, le type le plus courant de certificat numérique repose sur la norme ISO X.509. L'autorité de certification émet des certificats numériques signés qui affirment l'identité de l'objet du certificat et lient cette identité à la clé publique figurant dans le certificat. En règle générale, l'autorité de certification gère la révocation du certificat.

Journalisation de transparence des certificats

Pour assurer une protection contre les certificats SSL/TLS qui sont émis par erreur ou par une CA compromise, certains navigateurs exigent que les certificats publics émis pour votre domaine soient enregistrés dans un journal de transparence de certificats. Le nom de domaine est enregistré. La clé privée ne l'est pas. Les certificats qui ne sont pas consignés génèrent normalement une erreur dans le navigateur.

Vous pouvez surveiller les journaux pour vous assurer que seuls les certificats que vous avez autorisés ont été émis pour votre domaine. Vous pouvez utiliser un service tel que Certificate Search pour vérifier les journaux.

Avant que la CA Amazon émette un certificat SSL/TLS approuvé publiquement pour votre domaine, elle soumet le certificat à au moins trois serveurs de journaux de transparence des certificats. Ces serveurs ajoutent le certificat dans leurs bases de données publiques et renvoient un horodatage de certificat signé (SCT) à la CA Amazon. La CA intègre alors ce SCT dans le certificat, signe le certificat et vous le délivre. Les horodatages sont inclus avec les autres extensions X.509. 


 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C

La journalisation de transparence des certificats est automatique lorsque vous demandez ou renouvelez un certificat, sauf si vous choisissez de refuser ce processus. Pour plus d'informations sur le refus de la journalisation, consultez Refus de la journalisation de transparence des certificats.

Système de noms de domaine

Le système de noms de domaine (DNS) est un système d'attribution de noms distribué hiérarchique pour les ordinateurs et autres ressources connectés à Internet ou un réseau privé. DNS est utilisé principalement pour convertir les noms de domaine textuels, tels que aws.amazon.com, en adresses IP (Internet Protocol) numériques, sous la forme 111.122.133.144. En revanche, la base de données DNS de votre domaine contient un certain nombre d'enregistrements qui peuvent être utilisé à d'autres fins. Par exemple, avec ACM, vous pouvez utiliser un enregistrement CNAME pour confirmer que vous possédez ou contrôlez un domaine lorsque vous demandez un certificat. Pour de plus amples informations, veuillez consulter AWS Certificate Manager Validation du DNS.

Noms de domaine

Un nom de domaine est une chaîne de texte telle que www.example.com, qui peut être convertie par le système de noms de domaine (DNS) en adresse IP. Les réseaux informatiques, y compris Internet, utilisent des adresses IP plutôt que des noms textuels. Un nom de domaine se compose d'étiquettes distinctes séparées par des points :

TLD

L'étiquette la plus à droite est appelée « domaine de premier niveau » (TLD). Parmi les exemples courants, citons .com, .net et .edu. En outre, pour les entités enregistrées dans certains pays, le domaine de premier niveau est une abréviation du nom du pays et est appelé « code pays ». Il peut s'agir, par exemple, de .uk pour le Royaume-Uni, de .ru pour la Russie, et de .fr pour la France. Lorsque des codes pays sont utilisés, une hiérarchie de deuxième niveau est souvent introduite pour le domaine de premier niveau afin d'identifier le type de l'entité enregistrée. Par exemple, le domaine de premier niveau .co.uk identifie les entreprises commerciales au Royaume-Uni.

Domaine apex

Le nom du domaine apex inclut le domaine de premier niveau et se construit à partir de ce dernier. Pour les noms de domaines qui comprennent un code pays, le domaine apex inclut le code et les étiquettes, le cas échéant, qui identifient le type de l'entité enregistrée. Le domaine apex n'inclut pas les sous-domaines (voir le paragraphe suivant). Dans www.example.com, le nom du domaine apex est example.com. Dans www.example.co.uk, le nom du domaine apex est example.co.uk. Les autres noms souvent utilisés en lieu et place d'apex sont notamment : base, simple, racine, apex racine ou zone apex.

Sous-domaine

Les noms de sous-domaine précèdent le nom du domaine apex et sont séparés de celui-ci et les uns des autres par un point. Le nom de sous-domaine le plus courant est www, mais n'importe quel nom est possible. Les noms de sous-domaine peuvent avoir plusieurs niveaux. Par exemple, dans jake.dog.animals.example.com, les sous-domaines sont jakedog et animals, dans cet ordre.

Superdomaine

Domaine auquel appartient un sous-domaine.

FQDN

Le nom de domaine complet (FQDN) est le nom DNS complet d'un ordinateur, d'un site Web ou d'une autre ressource connectée à un réseau ou à Internet. Par exemple, aws.amazon.com est le nom de domaine complet d'Amazon Web Services. Un nom de domaine complet inclut tous les domaines jusqu'au domaine de premier niveau. Par exemple, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] représente le format général d'un nom de domaine complet.

PQDN

Un nom de domaine qui n'est pas entièrement qualifié est appelé « nom de domaine partiellement qualifié » (PQDN), et il s'agit d'un nom ambigu. Un nom comme [subdomain1.subdomain2.] est un nom de domaine partiellement qualifié parce que le domaine racine ne peut pas être déterminé.

Chiffrement et déchiffrement

Le chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse le processus et récupère les données d'origine. Les données non chiffrées sont généralement appelées « texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement appelées « texte chiffré ». Le chiffrement HTTPS des messages entre les clients et les serveurs utilise des algorithmes et des clés. Les algorithmes définissent la step-by-step procédure par laquelle les données en texte brut sont converties en texte chiffré (chiffrement) et le texte chiffré est reconverti en texte clair d'origine (décryptage). Les clés sont utilisées par les algorithmes pendant le processus de chiffrement ou de déchiffrement. Les clés peuvent être publiques ou privées.

Nom de domaine complet (FQDN)

Consultez Noms de domaine.

Infrastructure à clés publiques (ICP)

Une infrastructure à clés publiques (ICP) se compose des matériels, logiciels, personnes, stratégies, documents et procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. L'ICP facilite le transfert sécurisé des informations sur les réseaux informatiques.

Certificat racine

Une autorité de certification (CA) existe généralement au sein d'une structure hiérarchique qui en contient plusieurs autres CAs avec des relations parent-enfant clairement définies entre elles. L'enfant ou le subordonné CAs est certifié par son parent CAs, ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé.

Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques qui assurent la sécurité des communications sur un réseau informatique. TLS est le successeur de SSL. Ils utilisent tous deux des certificats X.509 pour authentifier le serveur. Les deux protocoles négocient une clé symétrique entre le client et le serveur, qui sert à chiffrer les données circulant entre les deux entités.

HTTPS sécurisé

HTTPS signifie HTTP via SSL/TLS, une forme sécurisée de HTTP prise en charge par tous les navigateurs et serveurs principaux. Toutes les demandes et réponses HTTP sont chiffrées avant d’être envoyées sur un réseau. HTTPS combine le protocole HTTP avec les techniques cryptographiques symétriques, asymétriques et basées sur le certificat X.509. HTTPS fonctionne en insérant une couche de sécurité cryptographique sous la couche d'application HTTP et au-dessus de la couche de transport TCP dans le modèle Open Systems Interconnection (OSI). La couche de sécurité utilise le protocole Secure Sockets Layer (SSL) ou le protocole Transport Layer Security (TLS).

Certificats de serveur SSL

Les transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet du certificat. Le certificat SSL/TLS est signé par une autorité de certification (CA) et contient, entre autres, le nom du serveur, la période de validité, la clé publique et l'algorithme de signature.

Chiffrement à clé symétrique

Le chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données numériques. Voir aussi Chiffrement à clé asymétrique.

protocole TLS (Transport Layer Security)

Consultez Secure Sockets Layer (SSL).

Approbation

Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse.