AWS Certificate Manager conceitos - AWS Certificate Manager
ACMCertificadoACMRaiz CAsDomínio de apexCriptografia de chave assimétricaCertificate Authority (Autoridade certificadora)Registro de transparência de certificadosDomain Name SystemNomes de domínioCriptografia e descriptografiaNome de domínio totalmente qualificado (FQDN)Infraestrutura de chave públicaCertificado raizCamada de soquetes seguros () SSLSeguro HTTPSSSLCertificados de servidorCriptografia de chave simétricaSegurança da camada de transporte (TLS)Confiança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Certificate Manager conceitos

Esta seção fornece definições de conceitos usados por AWS Certificate Manager.

ACMCertificado

ACMgera certificados X.509 versão 3. Cada um deles é válido por 13 meses (395 dias) e contém as extensões a seguir.

  • Basic Constraints (Restrições básicas): especifica se o requerente do certificado é uma autoridade de certificação (CA).

  • Authority Key Identifier (Identificador de chave da autoridade): permite a identificação da chave pública correspondente à chave privada usada para assinar o certificado.

  • Subject Key Identifier (Identificador de chave do requerente): permite a identificação de certificados que contenham uma chave pública específica.

  • Key Usage (Uso da chave): define a finalidade da chave pública incorporada ao certificado.

  • Extended Key Usage (Uso da chave estendido): especifica um ou mais finalidades de uso da chave pública além das especificadas pela extensão Key Usage (Uso da chave).

  • CRLPontos de distribuição - especifica onde CRL as informações podem ser obtidas.

O texto simples de um certificado ACM emitido se assemelha ao exemplo a seguir:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

ACMRaiz CAs

Os certificados públicos da entidade final emitidos pela ACM derivam sua confiança da seguinte raiz da Amazon: CAs

Nome distinto

 Algoritmo de criptografia

CN=Amazon Root CA 1, O=Amazon, C=US

 2048 bits () RSA RSA_2048

CN=Amazon Root CA 2, O=Amazon, C=US

 4096 bits () RSA RSA_4096

CN=Amazon Root CA 3, O=Amazon, C=US

 Elliptic Prime Curve de 256 bits (EC_prime256v1)

CN=Amazon Root CA 4, O=Amazon, C=US

 Elliptic Prime Curve de 384 bits (EC_secp384r1)

A raiz de confiança padrão para certificados ACM emitidos é CN=Amazon Root CA 1, O=Amazon, C=US, que oferece segurança de 2048 bits. RSA As outras raízes estão reservadas para uso futuro. Todas as raízes têm assinatura cruzada pelo certificado de autoridade de certificação raiz Starfield Services.

Para obter mais informações, consulte Amazon Trust Services.

Domínio de apex

Consulte Nomes de domínio.

Criptografia de chave assimétrica

Ao contrário da Criptografia de chave simétrica, a criptografia assimétrica usa chaves diferentes, mas matematicamente relacionadas, para criptografar e descriptografar o conteúdo. Uma das chaves é pública e, normalmente, é disponibilizada em um certificado X.509 v3. A outra chave é privada e fica armazenada em segurança. O certificado X.509 vincula a identidade de um usuário, computador ou outro recurso (o assunto do certificado) à chave pública.

ACMcertificados são certificados X.509SSL/que vinculam a identidade do seu site e os detalhes da sua organização à chave pública contida no TLS certificado. ACMusa seu AWS KMS key para criptografar a chave privada. Para obter mais informações, consulte Segurança para chaves privadas de certificados.

Certificate Authority (Autoridade certificadora)

Uma autoridade certificadora (CA) é uma entidade que emite certificados digitais. Comercialmente, o tipo mais comum de certificado digital é baseado no padrão ISO X.509. A CA emite certificados digitais assinados que afirmam a identidade do certificado específico e vinculam essa identidade à chave pública contida no certificado. Em geral, a CA também gerencia a revogação de certificados.

Registro de transparência de certificados

Para se proteger contra TLS certificadosSSL/emitidos por engano ou por uma CA comprometida, alguns navegadores exigem que os certificados públicos emitidos para seu domínio sejam registrados em um registro de transparência de certificados. O nome de domínio é registrado. A chave privada, não. Os certificados não registrados normalmente geram um erro no navegador.

É possível monitorar os logs para garantir a emissão de apenas certificados autorizados para seu domínio. É possível usar um serviço como o Certificate Search para verificar os logs.

Antes de a Amazon CA emitir um TLS certificadoSSL/publicamente confiável para seu domínio, ela envia o certificado para pelo menos três servidores de registro de transparência de certificados. Esses servidores adicionam o certificado aos seus bancos de dados públicos e retornam um timestamp (SCT) assinado do certificado para a Amazon CA. A CA então incorpora o SCT no certificado, assina o certificado e o emite para você. Os carimbos de tempo são incluídos com outras extensões X.509. 


 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C

O registro de transparência de certificados é automático ao solicitar ou renovar um certificado, a menos que você cancele essa opção. Para obter mais informações o cancelamento, consulte Cancelamento do registro em log de transparência de certificado.

Domain Name System

O Sistema de Nomes de Domínio (DNS) é um sistema de nomenclatura distribuído hierárquico para computadores e outros recursos conectados à Internet ou a uma rede privada. DNSé usado principalmente para traduzir nomes de domínio textuais, comoaws.amazon.com, em endereços IP numéricos (Internet Protocol) do formulário. 111.122.133.144 O DNS banco de dados do seu domínio, no entanto, contém vários registros que podem ser usados para outros fins. Por exemplo, ACM você pode usar um CNAME registro para validar que você possui ou controla um domínio ao solicitar um certificado. Para obter mais informações, consulte AWS Certificate Manager DNSvalidação.

Nomes de domínio

Um nome de domínio é uma sequência de texto como essa www.example.com que pode ser traduzida pelo Sistema de Nomes de Domínio (DNS) em um endereço IP. As redes de computadores, incluindo a Internet, usam endereços IP em vez de nomes textuais. Um nome de domínio consiste em diferentes rótulos separados por pontos:

TLD

O rótulo mais à direita é chamado de domínio de nível superior (). TLD Exemplos comuns incluem .com, .net e .edu. Além disso, TLD para entidades registradas em alguns países é uma abreviatura do nome do país e é chamado de código do país. Alguns exemplos são .uk para o Reino Unido, .ru para a Rússia e .fr para França. Quando códigos de país são usados, uma hierarquia de segundo nível para o TLD é frequentemente introduzida para identificar o tipo da entidade registrada. Por exemplo, .co.uk TLD identifica empresas comerciais no Reino Unido.

Domínio de apex

O nome de domínio de apex inclui e expande o domínio de nível superior. Para nomes de domínio que incluem um código de país, o domínio de apex inclui o código e os rótulos, se houver algum, que identificam o tipo da entidade registrada. O domínio de apex não inclui subdomínios (consulte o parágrafo a seguir). Em www.example.com, o nome de domínio apex é example.com. Em www.example.co.uk, o nome de domínio apex é example.co.uk. Outros nomes frequentemente usados em lugar de apex são base, raiz, apex de raiz ou apex de zona.

Subdomínio

Os nomes dos subdomínios precedem o nome do domínio de apex e são separados dele, e entre si, por um período. O nome de subdomínio mais comum é www, mas qualquer nome é possível. Os nomes de subdomínios podem ter vários níveis. Por exemplo, em jake.dog.animals.example.com, os subdomínios são jake, dog e animals, nessa ordem.

Superdomínio

O domínio ao qual um subdomínio pertence.

FQDN

Um nome de domínio totalmente qualificado (FQDN) é o DNS nome completo de um computador, site ou outro recurso conectado a uma rede ou à Internet. Por exemplo, aws.amazon.com é o FQDN para Amazon Web Services. E FQDN inclui todos os domínios até o domínio de nível superior. Por exemplo, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] representa o formato geral de umFQDN.

PQDN

Um nome de domínio que não é totalmente qualificado é chamado de nome de domínio parcialmente qualificado (PQDN) e é ambíguo. Um nome como [subdomain1.subdomain2.] is a PQDN porque o domínio raiz não pode ser determinado.

Criptografia e descriptografia

A criptografia é o processo de fornecer a confidencialidade dos dados. A descriptografia reverte o processo e recupera os dados originais. Os dados não criptografados normalmente são chamados de texto simples sejam ou não texto. Os dados criptografados geralmente são chamados de texto cifrado. HTTPSa criptografia de mensagens entre clientes e servidores usa algoritmos e chaves. Os algoritmos definem o step-by-step procedimento pelo qual os dados de texto simples são convertidos em texto cifrado (criptografia) e o texto cifrado é convertido novamente no texto sem formatação original (decodificação). As chaves são usadas pelos algoritmos durante o processo de criptografia ou descriptografia. As chaves podem ser privadas ou públicas.

Nome de domínio totalmente qualificado (FQDN)

Consulte Nomes de domínio.

Infraestrutura de chave pública

Uma infraestrutura de chave pública (PKI) consiste em hardware, software, pessoas, políticas, documentos e procedimentos necessários para criar, emitir, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. PKIfacilita a transferência segura de informações entre redes de computadores.

Certificado raiz

Uma autoridade de certificação (CA) normalmente existe dentro de uma estrutura hierárquica que contém várias outras CAs com relações pai-filho claramente definidas entre elas. A criança ou o subordinado CAs são certificados pelos paisCAs, criando uma cadeia de certificados. A CA no alto da hierarquia é chamada de CA raiz, e seu certificado é chamado de certificado raiz. Este certificado é geralmente autoassinado.

Camada de soquetes seguros () SSL

Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que fornecem segurança de comunicação em uma rede de computadores. TLSé o sucessor de. SSL Ambos usam certificados X.509 para autenticar o servidor. Os dois protocolos negociam uma chave simétrica entre o cliente e o servidor, que é usada para criptografar os dados entre as duas entidades.

Seguro HTTPS

HTTPSsignifica HTTP overSSL/TLS, uma forma segura HTTP que é suportada por todos os principais navegadores e servidores. Todas as HTTP solicitações e respostas são criptografadas antes de serem enviadas pela rede. HTTPScombina o HTTP protocolo com técnicas criptográficas simétricas, assimétricas e baseadas em certificados X.509. HTTPSfunciona inserindo uma camada de segurança criptográfica abaixo da camada do HTTP aplicativo e acima da camada de TCP transporte no modelo Open Systems Interconnection ()OSI. A camada de segurança usa o protocolo Secure Sockets Layer (SSL) ou o protocolo Transport Layer Security (TLS).

SSLCertificados de servidor

HTTPStransações exigem certificados de servidor para autenticar um servidor. Um certificado de servidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto do certificado. Um TLS certificadoSSL/é assinado por uma autoridade de certificação (CA) e contém o nome do servidor, o período de validade, a chave pública, o algoritmo de assinatura e muito mais.

Criptografia de chave simétrica

A criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar dados digitais. Consulte também Criptografia de chave assimétrica.

Segurança da camada de transporte (TLS)

Consulte Camada de soquetes seguros () SSL.

Confiança

Para que um navegador da web confie na identidade de um site, o navegador deve ser capaz de verificar o certificado do site. Os navegadores, no entanto, confiam em apenas um pequeno número de certificados conhecidos como certificados CA raiz. Um terceiro confiável, conhecido como uma autoridade certificadora (CA), valida a identidade do site e emite um certificado digital assinado para o operador do site. O navegador pode, então, verificar a assinatura digital para validar a identidade do site. Se a validação for bem-sucedida, o navegador exibe um ícone de cadeado na barra de endereços.