Termos e conceitos para AWS Private CA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Os termos e conceitos a seguir podem ajudá-lo a trabalhar com AWS Private Certificate Authority.

Confiança

Para que um navegador da web confie na identidade de um site, o navegador deve ser capaz de verificar o certificado do site. Os navegadores, no entanto, confiam em apenas um pequeno número de certificados conhecidos como certificados CA raiz. Um terceiro confiável, conhecido como uma autoridade certificadora (CA), valida a identidade do site e emite um certificado digital assinado para o operador do site. O navegador pode, então, verificar a assinatura digital para validar a identidade do site. Se a validação for bem-sucedida, o navegador exibe um ícone de cadeado na barra de endereços.

Certificados do servidor TLS

As transações HTTPS exigem certificados de servidor para autenticar um servidor. Um certificado de servidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto do certificado. Um certificado TLS é assinado por uma autoridade de certificação (CA). Ele contém o nome do servidor, o período de validade, a chave pública, o algoritmo de assinatura e muito mais.

Assinatura de certificado

Uma assinatura digital é um hash criptografado sobre um certificado. Uma assinatura é usada para confirmar a integridade dos dados do certificado. Sua CA privada cria uma assinatura usando uma função de hash criptográfica, como SHA256 sobre o conteúdo do certificado de tamanho variável. Esta função hash produz uma cadeia de dados de tamanho fixo que não pode ser falsificada. Essa string é chamada de hash. Em seguida, a CA criptografa o valor do hash com sua chave privada e concatena o hash criptografado com o certificado.

Autoridade certificadora

Uma autoridade de certificado (CA) emite e, se necessário, revoga certificados digitais. O tipo mais comum de certificado é baseado no padrão ISO X.509. Um certificado X.509 afirma a identidade do objeto do certificado e vincula essa identidade a uma chave pública. O objeto pode ser um usuário, um aplicativo, um computador ou outro dispositivo. A CA assina um certificado aplicando hash ao conteúdo e criptografando o hash com a chave privada relacionada à chave pública no certificado. Um aplicativo cliente, como um navegador da Web que precisa confirmar a identidade de um objeto, usa a chave pública para descriptografar a assinatura do certificado. Em seguida, ele aplica hash ao conteúdo do certificado e compara o valor de hash com a assinatura descriptografada para determinar se correspondem. Para obter mais informações sobre assinatura de certificado, consulte Assinatura de certificado.

Você pode usar CA privada da AWS para criar uma CA privada e usar a CA privada para emitir certificados. Sua CA privada emite apenas certificados SSL/TLS privados para uso em sua organização. Para obter mais informações, consulte Certificado privado. Sua CA privada também requer um certificado para poder ser usada. Para obter mais informações, consulte Certificado CA.

CA raiz

Um bloco de criação criptográfica e raiz de confiança em que os certificados podem ser emitidos. Ela é composta de uma chave privada para assinar (emitir) certificados e um certificado raiz que identifica a CA raiz e vincula a chave privada ao nome da CA. O certificado raiz é distribuído aos armazenamentos de confiança de cada entidade em um ambiente. Os administradores criam repositórios confiáveis para incluir somente aqueles em CAs que confiam. Os administradores atualizam ou criam os armazenamentos de confiança nos sistemas operacionais, instâncias e imagens de máquina host de entidades em seu ambiente. Quando os recursos tentam se conectar uns com os outros, eles verificam os certificados apresentados por cada entidade. Um cliente verifica a validade dos certificados e se existe uma cadeia do certificado a um certificado raiz instalada no armazenamento de confiança. Se essas condições forem atendidas, um handshake é realizado entre os recursos. Este handshake comprova criptograficamente a identidade de cada entidade para a outra e cria um canal de comunicação criptografado (TLS/SSL) entre elas.

Certificado CA

Um certificado de autoridade de certificado (CA) afirma a identidade da CA e a vincula à chave pública contida no certificado.

Você pode usar CA privada da AWS para criar uma CA raiz privada ou uma CA subordinada privada, cada uma apoiada por um certificado de CA. Os certificados CA subordinados são assinados por outro certificado CA superior em uma cadeia de confiança. Mas, no caso de uma CA raiz, o certificado é autoassinado. Você também pode estabelecer uma autoridade raiz externa (hospedada on-premises, por exemplo). Depois, você pode usar sua autoridade raiz para assinar um certificado CA raiz subordinado hospedado pelo CA privada da AWS.

O exemplo a seguir mostra os campos típicos contidos em um certificado CA CA privada da AWS X.509. Observe que para um certificado de CA, o valor CA: no campo Basic Constraints é definido como TRUE.

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 4121 (0x1019)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com
        Validity
            Not Before: Feb 26 20:27:56 2018 GMT
            Not After : Feb 24 20:27:56 2028 GMT
        Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c0: ... a3:4a:51
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
            X509v3 Authority Key Identifier:
                keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         6:bb:94: ... 80:d8

Certificado CA raiz

Uma autoridade de certificação (CA) normalmente existe dentro de uma estrutura hierárquica que contém várias outras CAs com relações pai-filho claramente definidas entre elas. A criança ou o subordinado CAs são certificados pelos pais CAs, criando uma cadeia de certificados. A CA no alto da hierarquia é chamada de CA raiz, e seu certificado é chamado de certificado raiz. Este certificado é geralmente autoassinado.

Certificado de entidade final

Um certificado de entidade final identifica um recurso, como um servidor, instância, contêiner ou dispositivo. Ao contrário dos certificados de CA, os certificados de entidade final não podem ser usados para emitir certificados. Outros termos comuns para certificado de entidade final são certificado “cliente” ou “folha”.

Certificados autoassinados

Um certificado assinado pelo emissor em vez de uma CA superior. Ao contrário dos certificados emitidos de uma raiz segura, mantida por uma CA, os certificados autoassinados atuam como sua própria raiz. Como resultado, eles apresentam limitações significativas: podem ser usados para criptografar comunicações, mas não verificam a identidade nem podem ser revogados. Do ponto de vista da segurança, esses certificados não são aceitáveis Mas, todavia, são usados pelas organizações porque podem ser gerados facilmente, não exigem especialização nem infraestrutura e são aceitos por vários aplicativos. Não há controles implementados para emitir certificados autoassinados. As organizações que usam esses certificados correm maior risco de interrupções causadas por expirações de certificados porque não contam com uma forma de controlar as datas de expiração.

Certificado privado

CA privada da AWS certificados são certificados SSL/TLS privados que você pode usar em sua organização, mas não são confiáveis na Internet pública. Use-os para identificar recursos, como clientes, servidores, aplicativos, serviços, dispositivos e usuários. Ao estabelecer um canal de comunicações criptografadas seguras, cada recurso usa um certificado como o seguinte, bem como técnicas criptográficas para provar sua identidade para outro recurso. Endpoints de API internos, servidores da Web, usuários de VPN, dispositivos IoT e muitos outros aplicativos usam certificados privados para estabelecer canais de comunicação criptografados que são necessários para sua operação segura. Por padrão, os certificados privados não são publicamente confiáveis. Um administrador interno deve configurar explicitamente aplicativos para confiar em certificados privados e distribuir os certificados.

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
        Validity
            Not Before: Feb 26 18:39:57 2018 GMT
            Not After : Feb 26 19:39:57 2019 GMT
        Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00...c7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65

            X509v3 Subject Key Identifier:
                C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl

    Signature Algorithm: sha256WithRSAEncryption
         58:32:...:53

Caminho do certificado

Um cliente que depende de um certificado valida que existe um caminho do certificado da entidade final, possivelmente por meio de uma cadeia de certificados intermediários, até uma raiz confiável. O cliente verifica se cada certificado ao longo do caminho é válido (não revogado). Ele também verifica se o certificado de entidade final não expirou, é íntegro (não foi adulterado ou modificado) e se as restrições no certificado estão impostas.

Restrição de comprimento de caminho

As restrições básicas de um certificado pathLenConstraintde CA definem o número de certificados de CA subordinados que podem existir na cadeia abaixo dele. Por exemplo, um certificado CA com uma restrição de comprimento de caminho igual a zero não pode ter nenhum subordinado CAs. Uma CA com uma restrição de comprimento de caminho de um pode ter até um nível de subordinado CAs abaixo dela. O RFC 5280 define isso como “o número máximo de certificados non-self-issued intermediários que podem seguir esse certificado em um caminho de certificação válido”. O valor do comprimento do caminho exclui o certificado de entidade final, embora uma linguagem informal sobre o “comprimento” ou a “profundidade” de uma cadeia de validação possa incluí-lo, causando confusão.