AWS Certificate Manager 概念 - AWS Certificate Manager
ACM證書ACM根 CAsApex 網域非對稱金鑰加密法憑證授權單位憑證透明度記錄網域名稱系統網域名稱加密和解密完整網域名稱 (FQDN)公有金鑰基礎設施根憑證安全通訊端層 (SSL)安全 HTTPSSSL伺服器憑證對稱金鑰加密法傳輸層安全性 (TLS)信任

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Certificate Manager 概念

本節提供使用的概念定義 AWS Certificate Manager.

ACM證書

ACM會產生 X.509 第 3 版憑證。每個的有效期限為 13 個月 (395 天),並包含下列延伸項目。

  • 基本限制 - 指定憑證主體是否是認證機構 (CA)。

  • 授權機構金鑰識別符 - 支援識別與用於簽署憑證的私有金鑰對應的公有金鑰。

  • 主體金鑰識別符 - 支援識別包含特定公有金鑰的憑證。

  • 金鑰使用 - 定義內嵌於憑證的公有金鑰的用途。

  • 擴充金鑰使用 - 除了金鑰使用延伸所指定的用途外,為公有金鑰指定的一個或多個用途。

  • CRL發佈點-指定可以取得CRL資訊的位置。

ACM已發行憑證的明文類似於下列範例:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

ACM根 CAs

由以下 Amazon 根ACMCAs衍生其信任所核發的公有終端實體憑證:

辨別名稱

 加密演算法

CN=Amazon 根 CA 1、O=Amazon、C=美國

 8 位元 () RSA RSA_2048

CN=Amazon 根 CA 2、O=Amazon、C=美國

 位元 RSA RSA_4096

CN=Amazon 根 CA 3、O=Amazon、C=美國

 橢圓主要曲線 256 位元 (EC_prime256v1)

CN=Amazon 根 CA 4、O=Amazon、C=美國

 橢圓主要曲線 384 位元 (EC_secp384r1)

ACM發行憑證的預設信任根目錄為 CN = Amazon 根 CA 1,O = Amazon,C = 美國,提供 2048 位元安全性。RSA其他根保留供日後使用。所有根都是由 Starfield Services Root Certificate Authority 憑證交叉簽署。

如需詳細資訊,請參閱 Amazon Trust Services

Apex 網域

請參閱 網域名稱

非對稱金鑰加密法

對稱金鑰加密法不同,非對稱加密法使用不同但屬於數學算法的金鑰來加密和解密內容。其中一個金鑰為公有,且通常包含於 X.509 v3 憑證。另一個金鑰為私有,且存放在安全的位置。X.509 憑證會將使用者、電腦或其他資源 (憑證主體) 的身分繫結至公有金鑰。

ACM憑證是 X.509SSL/TLS憑證,會將您網站的身分和組織的詳細資料繫結到憑證中包含的公開金鑰。ACM使用您的 AWS KMS key 加密私鑰。如需詳細資訊,請參閱憑證私有金鑰的安全性

憑證授權單位

憑證授權機構 (CA) 是發行數位憑證的實體。在商業上,最常見的數位憑證類型是以 ISO X.509 標準為基礎。CA 發行已簽署的數位憑證,以確認憑證主體的身分並將該身分繫結至憑證中包含的公有金鑰。CA 通常還會管理憑證撤銷。

憑證透明度記錄

為了防範錯誤或由受感染的 CA 核發的SSL/TLS憑證,某些瀏覽器要求將針對您網域發行的公開憑證記錄在憑證透明度記錄中。網域名稱會被記錄。私有金鑰不會被記錄。未記錄的憑證通常會在瀏覽器中產生錯誤。

您可以監控日誌,以確保只為您的網域發行已獲得您授權的憑證。您可以使用 Certificate Search 等服務來檢查日誌。

Amazon CA 為您的網域核發公開信任SSL/TLS憑證之前,會將憑證提交至少三個憑證透明度日誌伺服器。這些伺服器會將憑證新增至其公用資料庫,並將簽署的憑證時間戳記 (SCT) 傳回至 Amazon CA。然後 CA 會在憑證SCT中嵌入、簽署憑證,並將其發行給您。時間戳記會隨附於其他 X.509 延伸。


 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C

憑證透明度記錄會在您請求或續約憑證時自動執行,除非您選擇退出。如需選擇退出的詳細資訊,請參閱取消使用憑證透明度記錄功能

網域名稱系統

網域名稱系統 (DNS) 是用於連線至網際網路或私人網路的電腦和其他資源的階層式分散式命名系統。DNS主要用於將文本域名(例如)轉換為aws.amazon.com表單111.122.133.144的數字 IP(互聯網協議)地址。不過,您網域的DNS資料庫包含許多可用於其他用途的記錄。例如,在ACM您要求憑證時,您可以使用CNAME記錄來驗證您擁有或控制網域。如需詳細資訊,請參閱AWS Certificate Manager DNS驗證

網域名稱

網域名稱是一種文字字串www.example.com,例如可由網域名稱系統 (DNS) 翻譯成 IP 位址。電腦網路 (包括網際網路) 使用 IP 地址,而不是文字名稱。網域名稱包含多個不同標籤,並以句點區隔:

TLD

最右邊的標籤稱為頂層網域 (TLD)。常見的範例包括 .com.net.edu。此外,TLD對於在某些國家/地區註冊的實體是國家/地區名稱的縮寫,稱為國家/地區代碼。例如:.uk 代表英國、.ru 代表俄羅斯,而 .fr 代表法國。使用國碼時,通常會引入的第二層階層來識別註冊實體的類型。TLD例如,.co.ukTLD識別位於英國的商業企業。

Apex 網域

Apex 網域名稱包含及擴展於頂層網域。針對包含國碼 (地區碼) 的網域名稱,Apex 網域包含用來識別註冊實體類型的代碼和標籤 (如果有)。Apex 網域不包含子網域 (請參閱以下段落)。在 www.example.com 中,Apex 網域的名稱為 example.com。在 www.example.co.uk 中,Apex 網域的名稱為 example.co.uk。其他經常使用的非 Apex 名稱包括 base、bare、root、root apex 或 zone apex。

子網域

子網域名稱在 Apex 網域名稱前面,並由句號隔開。最常見的子網域名稱為 www,但也可以是任何名稱。子網域名稱也可以具有多個層級。例如,在 jake.dog.animals.example.com 中,子網域依序為 jakedoganimals

超级域

子網域所屬的網域。

FQDN

完整網域名稱 (FQDN) 是連線至網路或網際網路的電腦、網站或其他資源的完整DNS名稱。例如aws.amazon.com是 FQDN Amazon Web Services。包FQDN括最上層網域的所有網域。例如,[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]表示的一般格式FQDN。

PQDN

未完全限定的網域名稱稱為部分限定網域名稱 (PQDN),且不明確。之類的名稱[subdomain1.subdomain2.]是PQDN因為無法判斷根網域。

加密和解密

加密是提供資料機密性的程序。解密會反轉此程序並恢復原始資料。未加密的資料通常稱為純文字,無論它是否為文字。加密的資料通常稱為加密文字。HTTPS客戶端和服務器之間的消息加密使用算法和密鑰。演算 step-by-step法定義明文資料轉換成密文 (加密) 和密文轉換回原始明文 (解密) 的程序。在加密或解密程序中,演算法會使用金鑰。金鑰可以是私有或公有。

完整網域名稱 (FQDN)

請參閱 網域名稱

公有金鑰基礎設施

公開金鑰基礎結構 (PKI) 包含建立、發行、管理、散佈、使用、儲存和撤銷數位憑證所需的硬體、軟體、人員、原則、文件和程序。PKI促進跨計算機網絡的信息的安全傳輸。

根憑證

憑證授權單位 (CA) 通常存在於階層式結構內,其中包含多個其他CAs具有明確定義之父子項關係的階層式結構。子系或下屬CAs由父系認證CAs,建立憑證鏈結。階層頂端的 CA 稱為根 CA,其憑證稱為根憑證。此憑證通常為自我簽署。

安全通訊端層 (SSL)

安全通訊端層 (SSL) 和傳輸層安全性 (TLS) 是加密通訊協定,可透過電腦網路提供通訊安全性。TLS是的繼任者。SSL兩者皆使用 X.509 憑證對伺服器進行身分驗證。這兩個通訊協定會在用戶端和伺服器之間交涉對稱金鑰,該金鑰則用來對兩個實體之間流動的資料進行加密。

安全 HTTPS

HTTPS代表 HTTP overSSL/TLS,所有主流瀏覽器和服務器都支持的HTTP一種安全形式。在透過網路傳送之前,所有HTTP要求和回應都經過加密。HTTPS將HTTP通訊協定與對稱、非對稱和 X.509 憑證型密碼編譯技術相結合。HTTPS透過在開放系統互連 (OSI) 模型中的HTTP應用程式層下方和TCP傳輸層上方插入一個加密安全層來運作。安全層使用安全通訊端層 (SSL) 通訊協定或傳輸層安全性 (TLS) 通訊協定。

SSL伺服器憑證

HTTPS交易需要伺服器憑證才能驗證伺服器。伺服器憑證是 X.509 v3 資料結構,將憑證中的公有金鑰繫結至憑證主體。SSL/TLS憑證由憑證授權單位 (CA) 簽署,其中包含伺服器的名稱、有效期、公開金鑰、簽章演算法等。

對稱金鑰加密法

對稱金鑰加密法使用相同的金鑰來加密和解密數位資料。另請參閱非對稱金鑰加密法

傳輸層安全性 (TLS)

請參閱 安全通訊端層 (SSL)

信任

為了讓 Web 瀏覽器信任網站的身分,瀏覽器必須能驗證網站的憑證。不過,瀏覽器只信任少數稱為 CA 根憑證的憑證。稱為憑證授權機構 (CA) 的信任第三方會驗證網站的身分,並將已簽署的數位憑證發給網站的營運商。然後,瀏覽器便可檢查數位簽章,以驗證網站的身分。如果驗證成功,瀏覽器會在網址列中顯示鎖定圖示。