Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Certificate Manager konsep

Bagian ini memberikan definisi konsep yang digunakan oleh AWS Certificate Manager.

ACMSertifikat

ACMmenghasilkan sertifikat X.509 versi 3. Masing-masing berlaku selama 13 bulan (395 hari) dan berisi ekstensi berikut.

Teks biasa dari sertifikat ACM yang diterbitkan menyerupai contoh berikut:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

	

ACMAkar CAs

Sertifikat entitas akhir publik yang dikeluarkan oleh ACM memperoleh kepercayaan mereka dari root Amazon berikut: CAs

Akar kepercayaan default untuk sertifikat yang ACM diterbitkan adalah CN = Amazon Root CA 1, O = Amazon, C = US, yang menawarkan keamanan 2048-bit. RSA Akar lainnya dicadangkan untuk penggunaan masa depan. Semua akar ditandatangani silang oleh sertifikat Otoritas Sertifikat Root Layanan Starfield.

Untuk informasi selengkapnya, lihat Amazon Trust Services.

Domain Apex

Lihat Nama Domain.

Kriptografi Kunci Asimetris

Tidak sepertiKriptografi Kunci Simetris, kriptografi asimetris menggunakan kunci yang berbeda tetapi terkait secara matematis untuk mengenkripsi dan mendekripsi konten. Salah satu kuncinya bersifat publik dan biasanya tersedia dalam sertifikat X.509 v3. Kunci lainnya bersifat privat dan disimpan dengan aman. Sertifikat X.509 mengikat identitas pengguna, komputer, atau sumber daya lain (subjek sertifikat) ke kunci publik.

ACMsertifikat adalah SSL TLS X.509/sertifikat yang mengikat identitas situs web Anda dan rincian organisasi Anda ke kunci publik yang terkandung dalam sertifikat. ACMmenggunakan Anda AWS KMS key untuk mengenkripsi kunci pribadi. Untuk informasi selengkapnya, lihat Keamanan untuk kunci pribadi sertifikat.

Otoritas Sertifikat

Otoritas sertifikat (CA) adalah entitas yang mengeluarkan sertifikat digital. Secara komersial, jenis sertifikat digital yang paling umum didasarkan pada standar ISO X.509. CA mengeluarkan sertifikat digital yang ditandatangani yang menegaskan identitas subjek sertifikat dan mengikat identitas itu ke kunci publik yang terkandung dalam sertifikat. CA juga biasanya mengelola pencabutan sertifikat.

Pencatatan Transparansi Sertifikat

Untuk menjaga terhadapSSL/TLSsertifikat yang dikeluarkan secara tidak sengaja atau oleh CA yang dikompromikan, beberapa browser mengharuskan sertifikat publik yang dikeluarkan untuk domain Anda dicatat dalam log transparansi sertifikat. Nama domain dicatat. Private key tidak. Sertifikat yang tidak dicatat biasanya menghasilkan kesalahan di browser.

Anda dapat memantau log untuk memastikan bahwa hanya sertifikat yang telah Anda otorisasi telah dikeluarkan untuk domain Anda. Anda dapat menggunakan layanan seperti Certificate Search untuk memeriksa log.

Sebelum Amazon CA mengeluarkan TLS sertifikat yang dipercaya SSL publik untuk domain Anda, Amazon mengirimkan sertifikat ke setidaknya tiga server log transparansi sertifikat. Server ini menambahkan sertifikat ke database publik mereka dan mengembalikan timestamp sertifikat yang ditandatangani (SCT) ke Amazon CA. CA kemudian menyematkan SCT sertifikat, menandatangani sertifikat, dan menerbitkannya kepada Anda. Stempel waktu disertakan dengan ekstensi X.509 lainnya.

 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C
 

Pencatatan transparansi sertifikat otomatis saat Anda meminta atau memperbarui sertifikat kecuali Anda memilih untuk tidak ikut serta. Untuk informasi selengkapnya tentang memilih keluar, lihatMemilih keluar dari pencatatan transparansi sertifikat.

Sistem Nama Domain

Domain Name System (DNS) adalah sistem penamaan terdistribusi hierarkis untuk komputer dan sumber daya lain yang terhubung ke internet atau jaringan pribadi. DNSterutama digunakan untuk menerjemahkan nama domain tekstual, sepertiaws.amazon.com, ke alamat IP numerik (Internet Protocol) dari formulir. 111.122.133.144 DNSDatabase untuk domain Anda, bagaimanapun, berisi sejumlah catatan yang dapat digunakan untuk tujuan lain. Misalnya, dengan ACM Anda dapat menggunakan CNAME catatan untuk memvalidasi bahwa Anda memiliki atau mengontrol domain saat Anda meminta sertifikat. Untuk informasi selengkapnya, lihat AWS Certificate Manager DNSvalidasi.

Nama Domain

Nama domain adalah string teks seperti www.example.com yang dapat diterjemahkan oleh Domain Name System (DNS) ke alamat IP. Jaringan komputer, termasuk internet, menggunakan alamat IP, bukan nama teks. Nama domain terdiri dari label berbeda yang dipisahkan oleh periode:

TLD

Label paling kanan disebut domain tingkat atas (). TLD Contoh umumnya termasuk .com, .net, dan .edu. Juga, TLD untuk entitas yang terdaftar di beberapa negara adalah singkatan dari nama negara dan disebut kode negara. Contohnya termasuk .uk untuk Inggris, .ru untuk Rusia, dan .fr untuk Prancis. Ketika kode negara digunakan, hierarki tingkat kedua untuk TLD sering diperkenalkan untuk mengidentifikasi jenis entitas terdaftar. Misalnya, .co.uk TLD mengidentifikasi perusahaan komersial di Inggris.

Domain Apex

Nama domain puncak mencakup dan diperluas pada domain tingkat atas. Untuk nama domain yang menyertakan kode negara, domain apex menyertakan kode dan label, jika ada, yang mengidentifikasi jenis entitas terdaftar. Domain apex tidak menyertakan subdomain (lihat paragraf berikut). Di www.example.com, nama domain apexnya adalah example.com. Di www.example.co.uk, nama domain apex adalah example.co.uk. Nama lain yang sering digunakan sebagai pengganti apex adalah base, bare, root, root apex, atau zone apex.

Subdomain

Nama subdomain mendahului nama domain puncak dan dipisahkan darinya dan satu sama lain dengan titik. Nama subdomain yang paling umum adalah www, tetapi nama apa pun dimungkinkan. Nama subdomain juga dapat memiliki beberapa level. Misalnya, di jake.dog.animals.example.com, subdomainnya adalah jake, dog, dan animals dalam urutan itu.

Superdomain

Domain yang menjadi milik subdomain.

FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah DNS nama lengkap untuk komputer, situs web, atau sumber daya lain yang terhubung ke jaringan atau ke internet. Misalnya aws.amazon.com FQDN untuk Amazon Web Services. An FQDN mencakup semua domain hingga domain tingkat atas. Misalnya, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] mewakili format umum dari sebuahFQDN.

PQDN

Nama domain yang tidak sepenuhnya memenuhi syarat disebut nama domain yang memenuhi syarat sebagian (PQDN) dan ambigu. Nama seperti [subdomain1.subdomain2.] adalah PQDN karena domain root tidak dapat ditentukan.

Enkripsi dan Dekripsi

Enkripsi adalah proses penyediaan kerahasiaan data. Dekripsi membalikkan proses dan memulihkan data asli. Data yang tidak terenkripsi biasanya disebut plaintext apakah itu teks atau bukan. Data terenkripsi biasanya disebut ciphertext. HTTPSenkripsi pesan antara klien dan server menggunakan algoritma dan kunci. Algoritma mendefinisikan step-by-step prosedur dimana data plaintext diubah menjadi ciphertext (enkripsi) dan ciphertext diubah kembali menjadi plaintext asli (dekripsi). Kunci digunakan oleh algoritma selama proses enkripsi atau dekripsi. Kunci dapat berupa pribadi atau publik.

Nama Domain Berkualitas Penuh (FQDN)

Lihat Nama Domain.

Infrastruktur Kunci Publik

Infrastruktur kunci publik (PKI) terdiri dari perangkat keras, perangkat lunak, orang, kebijakan, dokumen, dan prosedur yang diperlukan untuk membuat, menerbitkan, mengelola, mendistribusikan, menggunakan, menyimpan, dan mencabut sertifikat digital. PKImemfasilitasi transfer informasi yang aman di seluruh jaringan komputer.

Sertifikat Akar

Otoritas sertifikat (CA) biasanya ada dalam struktur hierarkis yang berisi beberapa lainnya CAs dengan hubungan orangtua-anak yang jelas di antara mereka. Anak atau bawahan CAs disertifikasi oleh orang tua merekaCAs, membuat rantai sertifikat. CA di bagian atas hierarki disebut sebagai CA akar, dan sertifikatnya disebut sertifikat akar. Sertifikat ini biasanya ditandatangani sendiri.

Lapisan Soket Aman (SSL)

Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) adalah protokol kriptografi yang memberikan keamanan komunikasi melalui jaringan komputer. TLSadalah penerus. SSL Keduanya menggunakan sertifikat X.509 untuk mengautentikasi server. Kedua protokol menegosiasikan kunci simetris antara klien dan server yang digunakan untuk mengenkripsi data yang mengalir antara dua entitas.

Aman HTTPS

HTTPSsingkatan HTTP dari overSSL/TLS, bentuk aman HTTP yang didukung oleh semua browser dan server utama. Semua HTTP permintaan dan tanggapan dienkripsi sebelum dikirim melalui jaringan. HTTPSmenggabungkan HTTP protokol dengan teknik kriptografi berbasis sertifikat simetris, asimetris, dan X.509. HTTPSbekerja dengan memasukkan lapisan keamanan kriptografi di bawah lapisan HTTP aplikasi dan di atas lapisan TCP transport dalam model Open Systems Interconnection ()OSI. Lapisan keamanan menggunakan protokol Secure Sockets Layer (SSL) atau protokol Transport Layer Security (TLS).

SSLSertifikat Server

HTTPStransaksi memerlukan sertifikat server untuk mengautentikasi server. Sertifikat server adalah struktur data X.509 v3 yang mengikat kunci publik dalam sertifikat ke subjek sertifikat. TLSSertifikat SSL /ditandatangani oleh otoritas sertifikat (CA) dan berisi nama server, masa berlaku, kunci publik, algoritma tanda tangan, dan banyak lagi.

Kriptografi Kunci Simetris

Kriptografi kunci simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data digital. Lihat juga Kriptografi Kunci Asimetris.

Keamanan Lapisan Transportasi (TLS)

Lihat Lapisan Soket Aman (SSL).

Percaya

Agar peramban web mempercayai identitas situs web, peramban harus dapat memverifikasi sertifikat situs web. Namun, peramban hanya mempercayai sejumlah kecil sertifikat yang dikenal sebagai sertifikat akar CA. Pihak ketiga tepercaya, yang dikenal sebagai otoritas sertifikasi (CA), memvalidasi identitas situs web dan menerbitkan sertifikat digital yang ditandatangani ke operator situs web. Peramban kemudian dapat memeriksa tanda tangan digital untuk memvalidasi identitas situs web. Jika validasi berhasil, peramban menampilkan ikon kunci di bilah alamat.