Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cette section fournit les définitions des concepts utilisés par AWS Certificate Manager.
Rubriques
ACMCertificat
ACMgénère des certificats X.509 version 3. Chacun d'eux est valide pendant 13 mois (395 jours) et contient les extensions suivantes.
-
Contraintes élémentaires : indique si l'objet du certificat est une autorité de certification (CA)
-
Authority Key Identifier (Identifiant de clé d'autorité) : permet l'identification de la clé publique qui correspond à la clé privée utilisée pour signer le certificat.
-
Subject Key Identifier (Identificateur de clé d'objet) : permet l'identification des certificats qui contiennent une clé publique particulière.
-
Key Usage (Utilisation de la clé) : définit l'objectif de la clé publique intégrée dans le certificat.
-
Extended Key Usage (Utilisation étendue de la clé) : spécifie un ou plusieurs objectifs pour lesquels la clé publique peut être utilisée en plus des objectifs spécifiés par l'extension Key Usage (Utilisation de la clé).
-
CRLPoints de distribution : indique où CRL les informations peuvent être obtenues.
Le texte en clair d'un certificat ACM émis ressemble à l'exemple suivant :
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
Signature Algorithm: sha256WithRSAEncryption
Issuer: O=Example CA
Validity
Not Before: Jan 30 18:46:53 2018 GMT
Not After : Jan 31 19:46:53 2018 GMT
Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
08:73
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
X509v3 Subject Key Identifier:
97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://example.com/crl
Signature Algorithm: sha256WithRSAEncryption
69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
12:b9:35:d5
ACMRacine CAs
Les certificats publics d'entité finale émis par ACM tirent leur confiance de la racine CAs Amazon suivante :
|
Nom unique |
Algorithme de chiffrement |
|---|---|
|
CN=Amazon Root CA 1, O=Amazon, C=US |
2048 bits (RSA) RSA_2048 |
|
CN=Amazon Root CA 2, O=Amazon, C=US |
4096 bits (RSA) RSA_4096 |
|
CN=Amazon Root CA 3, O=Amazon, C=US |
Elliptic Prime Curve 256 bits (EC_prime256v1) |
|
CN=Amazon Root CA 4, O=Amazon, C=US |
Elliptic Prime Curve 384 bits (EC_secp384r1) |
La racine de confiance par défaut pour les certificats ACM émis est CN=Amazon Root CA 1, O=Amazon, C=US, qui offre une sécurité de 2048 bits. RSA Les autres racines sont réservées à une utilisation future. Toutes les racines sont signées par le certificat de l'autorité de certification racine (Root Certificate Authority) Starfield Services.
Pour de plus amples informations, veuillez consulter Amazon Trust Services
Domaine apex
Consultez Noms de domaine.
Chiffrement à clé asymétrique
Contrairement à la Chiffrement à clé symétrique, le chiffrement asymétrique utilise des clés différentes mais mathématiquement liées pour chiffrer et déchiffrer le contenu. L'une des clés est publique, et elle est généralement mise à disposition dans un certificat X.509 v3. L'autre clé est privée, et elle est stockée de manière sécurisée. Le certificat X.509 lie l'identité d'un utilisateur, d'un ordinateur ou d'une autre ressource (l'objet du certificat) à la clé publique.
ACMles certificats sont des TLS certificats X.509SSL/qui lient l'identité de votre site Web et les détails de votre organisation à la clé publique contenue dans le certificat. ACMutilise votre AWS KMS key pour chiffrer la clé privée. Pour de plus amples informations, veuillez consulter Sécurité des clés privées des certificats.
Autorité de certification
Une autorité de certification (CA) est une entité qui émet des certificats numériques. Sur le plan commercial, le type de certificat numérique le plus courant est basé sur la norme ISO X.509. L'autorité de certification émet des certificats numériques signés qui affirment l'identité de l'objet du certificat et lient cette identité à la clé publique figurant dans le certificat. En règle générale, l'autorité de certification gère la révocation du certificat.
Journalisation de transparence des certificats
Pour se prémunir contre les TLS certificatsSSL/émis par erreur ou par une autorité de certification compromise, certains navigateurs exigent que les certificats publics émis pour votre domaine soient enregistrés dans un journal de transparence des certificats. Le nom de domaine est enregistré. La clé privée ne l'est pas. Les certificats qui ne sont pas consignés génèrent normalement une erreur dans le navigateur.
Vous pouvez surveiller les journaux pour vous assurer que seuls les certificats que vous avez autorisés ont été émis pour votre domaine. Vous pouvez utiliser un service tel que Certificate Search
Avant que l'Amazon CA n'émette un TLS certificatSSL/approuvé publiquement pour votre domaine, elle soumet le certificat à au moins trois serveurs de journaux de transparence des certificats. Ces serveurs ajoutent le certificat à leurs bases de données publiques et renvoient un horodatage (SCT) du certificat signé à l'autorité de certification Amazon. L'autorité de certification les intègre ensuite SCT dans le certificat, signe le certificat et vous le délivre. Les horodatages sont inclus avec les autres extensions X.509.
X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID :BB:D9:DF:...8E:1E:D1:85Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...18:CB:79:2FSigned Certificate Timestamp: Version : v1(0) Log ID :87:75:BF:...A0:83:0FTimestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...29:8F:6C
La journalisation de transparence des certificats est automatique lorsque vous demandez ou renouvelez un certificat, sauf si vous choisissez de refuser ce processus. Pour plus d'informations sur le refus de la journalisation, consultez Refus de la journalisation de transparence des certificats.
Système de noms de domaine
Le système de noms de domaine (DNS) est un système de dénomination distribué hiérarchique pour les ordinateurs et autres ressources connectés à Internet ou à un réseau privé. DNSest principalement utilisé pour traduire les noms de domaine textuelsaws.amazon.com, tels que les adresses IP numériques (Internet Protocol) du formulaire111.122.133.144. La DNS base de données de votre domaine contient toutefois un certain nombre d'enregistrements qui peuvent être utilisés à d'autres fins. Par exemple, ACM vous pouvez utiliser un CNAME enregistrement pour valider que vous possédez ou contrôlez un domaine lorsque vous demandez un certificat. Pour de plus amples informations, veuillez consulter AWS Certificate Manager DNSvalidation.
Noms de domaine
Un nom de domaine est une chaîne de texte telle www.example.com que celle qui peut être traduite par le système de noms de domaine (DNS) en adresse IP. Les réseaux informatiques, y compris Internet, utilisent des adresses IP plutôt que des noms textuels. Un nom de domaine se compose d'étiquettes distinctes séparées par des points :
TLD
L'étiquette la plus à droite est appelée domaine de premier niveau ()TLD. Parmi les exemples courants, citons .com, .net et .edu. De plus, TLD les entités enregistrées dans certains pays sont une abréviation du nom du pays et sont appelées code de pays. Il peut s'agir, par exemple, de .uk pour le Royaume-Uni, de .ru pour la Russie, et de .fr pour la France. Lorsque des codes de pays sont utilisés, une hiérarchie de second niveau TLD est souvent introduite pour identifier le type de l'entité enregistrée. Par exemple, il .co.uk TLD identifie les entreprises commerciales au Royaume-Uni.
Domaine apex
Le nom du domaine apex inclut le domaine de premier niveau et se construit à partir de ce dernier. Pour les noms de domaines qui comprennent un code pays, le domaine apex inclut le code et les étiquettes, le cas échéant, qui identifient le type de l'entité enregistrée. Le domaine apex n'inclut pas les sous-domaines (voir le paragraphe suivant). Dans www.example.com, le nom du domaine apex est example.com. Dans www.example.co.uk, le nom du domaine apex est example.co.uk. Les autres noms souvent utilisés en lieu et place d'apex sont notamment : base, simple, racine, apex racine ou zone apex.
Sous-domaine
Les noms de sous-domaine précèdent le nom du domaine apex et sont séparés de celui-ci et les uns des autres par un point. Le nom de sous-domaine le plus courant est www, mais n'importe quel nom est possible. Les noms de sous-domaine peuvent avoir plusieurs niveaux. Par exemple, dans jake.dog.animals.example.com, les sous-domaines sont jakedog et animals, dans cet ordre.
Superdomaine
Domaine auquel appartient un sous-domaine.
FQDN
Un nom de domaine complet (FQDN) est le DNS nom complet d'un ordinateur, d'un site Web ou d'une autre ressource connectée à un réseau ou à Internet. aws.amazon.com.rproxy.goskope.comC'est par exemple le FQDN cas pour Amazon Web Services. A FQDN inclut tous les domaines jusqu'au domaine de premier niveau. Par exemple, [subdomain1].[subdomain2]...[subdomainn].[apex
domain].[top–level domain] représente le format général d'unFQDN.
PQDN
Un nom de domaine qui n'est pas entièrement qualifié est appelé nom de domaine partiellement qualifié (PQDN) et est ambigu. Un nom tel que « [subdomain1.subdomain2.] a » PQDN car le domaine racine ne peut pas être déterminé.
Chiffrement et déchiffrement
Le chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse le processus et récupère les données d'origine. Les données non chiffrées sont généralement appelées « texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement appelées « texte chiffré ». HTTPSle chiffrement des messages entre les clients et les serveurs utilise des algorithmes et des clés. Les algorithmes définissent la step-by-step procédure par laquelle les données en texte brut sont converties en texte chiffré (chiffrement) et le texte chiffré est reconverti en texte clair d'origine (décryptage). Les clés sont utilisées par les algorithmes pendant le processus de chiffrement ou de déchiffrement. Les clés peuvent être publiques ou privées.
Nom de domaine entièrement qualifié (FQDN)
Consultez Noms de domaine.
Infrastructure à clés publiques (ICP)
Une infrastructure à clé publique (PKI) comprend le matériel, les logiciels, les personnes, les politiques, les documents et les procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. PKIfacilite le transfert sécurisé d'informations sur les réseaux informatiques.
Certificat racine
Une autorité de certification (CA) existe généralement au sein d'une structure hiérarchique qui en contient plusieurs autres CAs avec des relations parent-enfant clairement définies entre elles. L'enfant ou le subordonné CAs est certifié par son parentCAs, ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé.
couche de sockets sécurisée (SSL)
Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques qui assurent la sécurité des communications sur un réseau informatique. TLSest le successeur deSSL. Ils utilisent tous deux des certificats X.509 pour authentifier le serveur. Les deux protocoles négocient une clé symétrique entre le client et le serveur, qui sert à chiffrer les données circulant entre les deux entités.
Sécurisé HTTPS
HTTPSsignifie HTTP overSSL/TLS, une forme sécurisée prise en charge par tous les principaux navigateurs et serveurs. HTTP Toutes les HTTP demandes et réponses sont cryptées avant d'être envoyées sur un réseau. HTTPScombine le HTTP protocole avec des techniques cryptographiques symétriques, asymétriques et basées sur des certificats X.509. HTTPSfonctionne en insérant une couche de sécurité cryptographique sous la couche d'HTTPapplication et au-dessus de la couche de TCP transport dans le modèle Open Systems Interconnection ()OSI. La couche de sécurité utilise le protocole Secure Sockets Layer (SSL) ou le protocole Transport Layer Security (TLS).
SSLCertificats de serveur
HTTPSles transactions nécessitent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet du certificat. Un TLS certificatSSL/est signé par une autorité de certification (CA) et contient le nom du serveur, la période de validité, la clé publique, l'algorithme de signature, etc.
Chiffrement à clé symétrique
Le chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données numériques. Voir aussi Chiffrement à clé asymétrique.
Sécurité de la couche de transport (TLS)
Consultez couche de sockets sécurisée (SSL).
Approbation
Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse.
