Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conceptos
En esta sección se proporcionan las definiciones de los conceptos que utiliza AWS Certificate Manager.
Temas
- Certificado del ACM
- CA raíz de ACM
- Dominio de ápex
- Criptografía de clave asimétrica
- Certificate Authority (Entidad de certificación)
- Registro de transparencia de certificados
- Sistema de nombres de dominio
- Nombres de dominio
- Cifrado y descifrado
- Nombre de dominio completo (FQDN)
- Infraestructura de claves públicas
- Certificado raíz
- Capa de conexión segura (SSL)
- HTTPS seguro
- Certificados de servidor SSL
- Criptografía de clave simétrica
- seguridad de la capa de transporte (TLS)
- Confianza
Certificado del ACM
ACM genera certificados X.509 versión 3. Cada uno tiene una validez de 13 meses (395 días) y contiene las siguientes extensiones.
-
Basic Constraints (Restricciones básicas): especifica si el sujeto del certificado es una entidad de certificación (CA)
-
Authority Key Identifier (Identificador de la clave de entidad): permite la identificación de la clave pública correspondiente a la clave privada utilizada para firmar el certificado.
-
Subject Key Identifier (Identificador de la clave de sujeto): permite la identificación de certificados que contienen una clave pública determinada.
-
Key Usage (Uso de clave): define el propósito de la clave pública incorporada en el certificado.
-
Extended Key Usage (Uso ampliado de claves): especifica uno o varios fines para los que la clave pública se puede utilizar además de los fines especificados por la extensión Key Usage.
-
CRL Distribution Points (Puntos de distribución de CRL): especifica dónde se puede obtener información de la CRL.
El texto sin formato de un certificado emitido por ACM se parece al siguiente ejemplo:
Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5
CA raíz de ACM
Los certificados de entidad final pública emitidos por ACM derivan su confianza de las siguientes CA raíz de Amazon:
|
Nombre distintivo |
Algoritmo de cifrado |
|---|---|
|
CN=Amazon Root CA 1,O=Amazon,C=US |
RSA de 2048 bits (RSA_2048) |
|
CN=Amazon Root CA 2,O=Amazon,C=US |
RSA de 4096 bits (RSA_4096) |
|
CN=Amazon Root CA 3,O=Amazon,C=US |
Elliptic Prime Curve de 256 bits (EC_prime256v1) |
|
CN=Amazon Root CA 4,O=Amazon,C=US |
Elliptic Prime Curve de 384 bits (EC_secp384r1) |
La raíz de confianza predeterminada para los certificados emitidos por ACM es CN=Amazon Root CA 1,O=Amazon,C=US, que ofrece seguridad RSA de 2048 bits. Las otras raíces están reservadas para uso futuro. Todas las raíces tienen firma cruzada del certificado de la autoridad de certificación raíz de Starfield Services.
Para obtener más información, consulte Amazon Trust Services
Dominio de ápex
Consulte Nombres de dominio.
Criptografía de clave asimétrica
A diferencia de la Criptografía de clave simétrica, la criptografía asimétrica utiliza claves distintas, pero relacionadas matemáticamente para cifrar y descifrar el contenido. Una de las claves es pública y suele estar disponible mediante un certificado X.509 v3. La otra clave es privada y se almacena de forma segura. El certificado X.509 asocia la identidad de un usuario, un equipo o cualquier otro recurso (el sujeto del certificado) a la clave pública.
Los certificados de ACM son certificados SSL/TLS X.509 que asocian la identidad de un sitio web y los detalles de una organización a la clave pública que contiene el certificado. ACM utiliza su AWS KMS key para cifrar la clave privada. Para obtener más información, consulte Seguridad para las claves privadas del certificado.
Certificate Authority (Entidad de certificación)
Una autoridad de certificación (CA) es una entidad que emite certificados digitales. Desde el punto de vista comercial, el tipo más común de certificado digital se basa en el estándar ISO X.509. La CA emite certificados digitales firmados que reafirman la identidad del sujeto del certificado y vinculan dicha identidad a la clave pública del certificado. Una CA también suele administrar la revocación de certificados.
Registro de transparencia de certificados
Para protegerse contra los certificados SSL/TLS emitidos por error o por una CA comprometida, algunos navegadores requieren que los certificados públicos emitidos para su dominio se registren en un registro de transparencia de certificados. El nombre de dominio se registra. La clave privada no se registra. Los certificados que no se han registrado suelen generar un error en el navegador.
Puede monitorizar los registros para asegurarse de que solo se emitan para su dominio los certificados que usted ha autorizado. Puede utilizar un servicio como Certificate Search
Antes de que Amazon CA emita un certificado SSL/TLS de confianza pública para su dominio, envía el certificado al menos a tres servidores de registro de transparencia de certificados. Estos servidores añaden el certificado a sus bases de datos públicas y devuelven una marca de tiempo de certificado firmada (SCT) a la CA de Amazon. Después, la CA incorpora la SCT al certificado, firma el certificado y lo emite para usted. Las marcas de tiempo se incluyen con otras extensiones X.509.
X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID :BB:D9:DF:...8E:1E:D1:85Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...18:CB:79:2FSigned Certificate Timestamp: Version : v1(0) Log ID :87:75:BF:...A0:83:0FTimestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...29:8F:6C
El registro de transparencia de certificados se lleva a cabo de forma automática al solicitar o renovar un certificado a menos que decida cancelarlo. Para obtener más información sobre la cancelación, consulte Cancelación del registro de transparencia de certificados.
Sistema de nombres de dominio
El sistema de nombres de dominio (DNS) es un sistema de nombres distribuido jerárquicamente para equipos y otros recursos conectados a Internet o a una red privada. El DNS se utiliza fundamentalmente para convertir los nombres de dominio con formato de texto, como aws.amazon.com, en direcciones IP (protocolo de Internet) numéricas con el formato 111.122.133.144. La base de datos de DNS de su dominio, sin embargo, contiene un número de registros que se pueden utilizar para otros fines. Por ejemplo, cuando solicita un certificado, con ACM puede utilizar un registro CNAME para validar que es el propietario de un dominio, o bien que es quien lo controla. Para obtener más información, consulte Validación por DNS.
Nombres de dominio
Un nombre de dominio es una cadena de texto como, por ejemplo, www.example.com que el sistema de nombres de dominio (DNS) puede traducir en una dirección IP. Las redes informáticas, incluida Internet, utilizan direcciones IP en lugar de nombres de texto. Un nombre de dominio se compone de varias etiquetas separadas por puntos:
TLD
La última etiqueta se denomina dominio de nivel superior (TLD). Por ejemplo, .com, .net y .edu. Además, el TLD para las entidades registradas en algunos países es la abreviatura del nombre del país y se denomina código de país. Por ejemplo, .uk para el Reino Unido, .ru para Rusia y .fr para Francia. Cuando se utilizan códigos de país, se suele introducir un segundo nivel de jerarquía para el TLD con el fin de identificar el tipo de entidad registrada. Por ejemplo, el TLD .co.uk identifica compañías comerciales en el Reino Unido.
Dominio de ápex
El nombre de dominio de ápex incluye el dominio de nivel superior y lo amplía. Para los nombres de dominio que incluyen un código de país, el dominio de ápex incluye el código y, en su caso, las etiquetas que identifican el tipo de entidad registrada. El dominio de ápex no incluye subdominios (consulte el párrafo siguiente). En www.example.com, el nombre de dominio de ápex es example.com. En www.example.co.uk, el nombre de dominio de ápex es example.co.uk. A menudo se utilizan otros nombres en lugar de ápex, como base, desnudo, raíz, ápex raíz o ápex de zona.
Subdominio
Los nombres de subdominio se anteponen al nombre de dominio de ápex y se separan de él y entre sí con un punto. El nombre de subdominio más común es www, pero es posible utilizar cualquier otro. Los nombres de subdominio también pueden tener varios niveles. Por ejemplo, en jake.dog.animals.example.com, los subdominios son jake, dog y animals, por ese orden.
Superdominio
El dominio al que pertenece un subdominio.
FQDN
Un nombre de dominio completo (FQDN) es el nombre de DNS completo de un equipo, un sitio web u otro recurso conectado a una red o a Internet. Por ejemplo: aws.amazon.com es el FQDN de Amazon Web Services. Un FQDN incluye todos los dominios hasta el dominio de nivel superior. Por ejemplo, [subdomain1].[subdomain2]...[subdomainn].[apex
domain].[top–level domain] representa el formato general de un FQDN.
PQDN
Un nombre de dominio que no está completo se denomina nombre de dominio incompleto (PQDN) y es ambiguo. Un nombre como [subdomain1.subdomain2.] es un PQDN porque no se puede determinar el dominio raíz.
Registro
El derecho a utilizar un nombre de dominio lo delegan los registradores de nombres de dominio. Los registradores suelen estar acreditados por la ICANN (Internet Corporation for Assigned Names and Numbers). Además, otras organizaciones denominadas registros mantienen las bases de datos de TLD. Cuando se solicita un nombre de dominio, el registrador envía la información del solicitante al registro de TLD correspondiente. El registro asigna un nombre de dominio, actualiza la base de datos de TLD y publica la información en WHOIS. Normalmente, los nombres de dominio deben comprarse.
Cifrado y descifrado
El cifrado es el proceso de determinación de la confidencialidad de los datos. El descifrado invierte el proceso y recupera los datos originales. Por lo general, los datos no cifrados se denominan habitualmente texto no cifrado, ya sea texto o no. Los datos encriptados se suelen llamar texto cifrado. La encriptación HTTPS de mensajes entre clientes y servidores utiliza algoritmos y claves. Los algoritmos definen el step-by-step procedimiento mediante el cual los datos de texto plano se convierten en texto cifrado (cifrado) y el texto cifrado se convierte de nuevo en texto plano original (descifrado). Las claves se utilizan por algoritmos durante el proceso de cifrado o descifrado. Las claves pueden ser privadas o públicas.
Nombre de dominio completo (FQDN)
Consulte Nombres de dominio.
Infraestructura de claves públicas
Una infraestructura de claves públicas (PKI) se compone de hardware, software, personas, políticas, documentos y procedimientos necesarios para crear, emitir, administrar, distribuir, utilizar, almacenar y revocar los certificados digitales. PKI facilita la transferencia segura de información a través de las redes de equipos.
Certificado raíz
Una entidad de certificación (CA) normalmente existe dentro de una estructura jerárquica que contiene otras muchas CA con relaciones principal-secundario claramente definidas entre ellas. Las CA secundarias o subordinadas están certificadas por su CA principal, lo que crea una cadena de certificados. La CA de la parte superior de la jerarquía se denomina “raíz de la CA” y su certificado se denomina “certificado raíz”. Este certificado suele estar autofirmado.
Capa de conexión segura (SSL)
La capa de conexión segura (SSL) y la Transport Layer Security (TLS) son protocolos criptográficos que proporcionan seguridad de comunicación a través de una red de equipos. TLS es el sucesor de SSL. Los dos utilizan certificados X.509 para autenticar el servidor. Ambos protocolos negocian una clave simétrica entre el cliente y el servidor que se utiliza para cifrar el flujo de datos entre las dos entidades.
HTTPS seguro
HTTPS significa HTTP sobre SSL/TLS, un método seguro de HTTP que es compatible con la mayoría de los navegadores y servidores principales. Todas las solicitudes y respuestas de HTTP se cifran antes de enviarse a través de una red. HTTPS combina el protocolo HTTP con técnicas criptográficas simétricas, asimétricas y basadas en el certificado X.509. HTTPS funciona insertando una capa de seguridad criptográfica por debajo de la aplicación HTTP y por encima de la capa de transporte TCP del modelo de interconexión de sistemas abiertos (OSI). La capa de seguridad utiliza el protocolo de capa de conexión segura (SSL) o el protocolo Transport Layer Security (TLS).
Certificados de servidor SSL
Las transacciones HTTPS requieren certificados de servidor para autenticar un servidor. Un certificado de servidor es una estructura de datos X.509 v3 que vincula la clave pública del certificado al asunto del certificado. Un certificado SSL/TLS está firmado por una entidad de certificación (CA) y contiene el nombre del servidor, el periodo de validez, la clave pública, el algoritmo de firma y mucho más.
Criptografía de clave simétrica
La criptografía de clave simétrica utiliza la misma clave tanto para cifrar como para descifrar datos digitales. Véase también Criptografía de clave asimétrica.
seguridad de la capa de transporte (TLS)
Consulte Capa de conexión segura (SSL).
Confianza
Para que un navegador web confíe en la identidad de un sitio web, el navegador debe tener la posibilidad de verificar el certificado del sitio web. Los navegadores, sin embargo, solo confían en una pequeña cantidad de certificados conocidos como certificados raíz de la CA. Una tercera parte de confianza, conocida como entidad de certificación (CA), valida la identidad del sitio web y emite un certificado digital firmado para el operador del sitio web. El navegador puede comprobar la firma digital para validar la identidad del sitio web. Si la validación se realiza correctamente, el navegador muestra un icono de un candado en la barra de direcciones.
