Concepts - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concepts

Cette section fournit les définitions des concepts utilisés par AWS Certificate Manager.

Certificat ACM

ACM génère des certificats X.509 version 3. Chaque est valide pour 13 mois (395 jours) et contient les postes suivants.

  • Contraintes élémentaires : indique si l'objet du certificat est une autorité de certification (CA)

  • Authority Key Identifier (Identifiant de clé d'autorité) : permet l'identification de la clé publique qui correspond à la clé privée utilisée pour signer le certificat.

  • Subject Key Identifier (Identificateur de clé d'objet) : permet l'identification des certificats qui contiennent une clé publique particulière.

  • Key Usage (Utilisation de la clé) : définit l'objectif de la clé publique intégrée dans le certificat.

  • Extended Key Usage (Utilisation étendue de la clé) : spécifie un ou plusieurs objectifs pour lesquels la clé publique peut être utilisée en plus des objectifs spécifiés par l'extension Key Usage (Utilisation de la clé).

  • CRL Distribution Points (Points de distribution CRL) : indique où obtenir les informations CRL.

Le texte brut d'un certificat émis par ACM ressemble à l'exemple suivant :

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

Autorités de certification racine ACM

Les certificats d'entité finale publics émis par ACM tirent leur approbation des autorités de certification racine Amazon suivantes :

Nom unique

Algorithme de chiffrement

CN=Amazon Root CA 1, O=Amazon, C=US

2048 bits RSA (RSA_2048)

CN=Amazon Root CA 2, O=Amazon, C=US

4096 bits RSA (RSA_4096)

CN=Amazon Root CA 3, O=Amazon, C=US

Elliptic Prime Curve 256 bits (EC_prime256v1)

CN=Amazon Root CA 4, O=Amazon, C=US

Elliptic Prime Curve 384 bits (EC_secp384r1)

La racine par défaut de l'approbation pour les certificats émis par ACM est CN=Amazon Root CA 1, O=Amazon, C=US, qui offre une sécurité RSA 2 048 bits. Les autres racines sont réservées à une utilisation future. Toutes les racines sont signées par le certificat de l'autorité de certification racine (Root Certificate Authority) Starfield Services.

Pour de plus amples informations, veuillez consulter Amazon Trust Services.

Domaine apex

Veuillez consulter Noms de domaine.

Chiffrement à clé asymétrique

Contrairement à la Chiffrement à clé symétrique, le chiffrement asymétrique utilise des clés différentes mais mathématiquement liées pour chiffrer et déchiffrer le contenu. L'une des clés est publique, et elle est généralement mise à disposition dans un certificat X.509 v3. L'autre clé est privée, et elle est stockée de manière sécurisée. Le certificat X.509 lie l'identité d'un utilisateur, d'un ordinateur ou d'une autre ressource (l'objet du certificat) à la clé publique.

Les certificats ACM sont des certificats SSL/TLS X.509 qui lient l'identité de votre site web et les détails de votre organisation à la clé publique qui se trouve dans le certificat. ACM utilise la clé CMK pour chiffrer la clé privée. Pour plus d'informations, consultez Sécurité de la clé privée ACM,

Autorité de certification

Une autorité de certification (CA) est une entité qui émet des certificats numériques. Dans le commerce, le type le plus courant de certificat numérique repose sur la norme ISO X.509. L'autorité de certification émet des certificats numériques signés qui affirment l'identité de l'objet du certificat et lient cette identité à la clé publique figurant dans le certificat. En règle générale, l'autorité de certification gère la révocation du certificat.

Journalisation de transparence des certificats

Pour assurer une protection contre les certificats SSL/TLS qui sont émis par erreur ou par une CA compromise, certains navigateurs exigent que les certificats publics émis pour votre domaine soient enregistrés dans un journal de transparence de certificats. Le nom de domaine est enregistré. La clé privée ne l'est pas. Les certificats qui ne sont pas consignés génèrent normalement une erreur dans le navigateur.

Vous pouvez surveiller les journaux pour vous assurer que seuls les certificats que vous avez autorisés ont été émis pour votre domaine. Vous pouvez utiliser un service tel que Certificate Search pour vérifier les journaux.

Avant que la CA Amazon émette un certificat SSL/TLS approuvé publiquement pour votre domaine, elle soumet le certificat à au moins deux serveurs de journalisation de transparence de certificats. Ces serveurs ajoutent le certificat dans leurs bases de données publiques et renvoient un horodatage de certificat signé (SCT) à la CA Amazon. La CA intègre alors ce SCT dans le certificat, signe le certificat et vous le délivre. Les horodatages sont inclus avec les autres extensions X.509.

X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

La journalisation de transparence des certificats est automatique lorsque vous demandez ou renouvelez un certificat, sauf si vous choisissez de refuser ce processus. Pour plus d'informations sur le refus de la journalisation, consultez Refus de la journalisation de transparence des certificats.

Système de noms de domaine

Le système de noms de domaine (DNS) est un système d'attribution de noms distribué hiérarchique pour les ordinateurs et autres ressources connectés à Internet ou un réseau privé. DNS est principalement utilisé pour traduire des noms de domaine textuels, tels que aws.amazon.comen adresses IP numériques (Internet Protocol) du formulaire 111.122.133.144. La base de données DNS de votre domaine contient cependant un certain nombre d’enregistrements qui peuvent être utilisés à d’autres fins. Par exemple, avec ACM, vous pouvez utiliser un enregistrement CNAME pour valider que vous possédez ou contrôlez un domaine lorsque vous demandez un certificat. Pour plus d'informations, consultez Utilisation de DNS pour valider la propriété du domaine,

Noms de domaine

Un nom de domaine est une chaîne de texte telle que www.example.com, qui peut être convertie par le système de noms de domaine (DNS) en adresse IP. Les réseaux informatiques, y compris Internet, utilisent des adresses IP plutôt que des noms textuels. Un nom de domaine se compose d'étiquettes distinctes séparées par des points.

TLD

L'étiquette la plus à droite est appelée « domaine de premier niveau » (TLD). Exemples courants : .com, .net, et .edu. En outre, le TLD pour les entités enregistrées dans certains pays est une abréviation du nom du pays et est appelé code pays. Il peut s'agir, par exemple, de .uk pour le Royaume-Uni, de .ru pour la Russie, et de .fr pour la France. Lorsque des codes pays sont utilisés, une hiérarchie de deuxième niveau est souvent introduite pour le domaine de premier niveau afin d'identifier le type de l'entité enregistrée. Par exemple, le domaine de premier niveau .co.uk identifie les entreprises commerciales au Royaume-Uni.

Domaine apex

Le nom du domaine apex inclut le domaine de premier niveau et se construit à partir de ce dernier. Pour les noms de domaines qui comprennent un code pays, le domaine apex inclut le code et les étiquettes, le cas échéant, qui identifient le type de l'entité enregistrée. Le domaine apex n'inclut pas les sous-domaines (voir le paragraphe suivant). dans www.example.com, le nom du domaine apex est example.com. dans www.example.co.uk, le nom du domaine apex est example.co.uk. Les autres noms qui sont souvent utilisés à la place de apex incluent base, nu, root, root apex ou zone apex.

Subdomain

Les noms de sous-domaine précèdent le nom du domaine apex et sont séparés de celui-ci et les uns des autres par un point. Le nom de sous-domaine le plus courant est www, mais n'importe quel nom est possible. En outre, les noms de sous-domaine peuvent avoir plusieurs niveaux. Par exemple, dans jake.dog.animals.example.com, les sous-domaines sont jakedog et animals, dans cet ordre.

FQDN

Le nom de domaine complet (FQDN) est le nom DNS complet d'un ordinateur, d'un site Web ou d'une autre ressource connectée à un réseau ou à Internet. Par exemple, aws.amazon.com est le nom de domaine complet de Amazon Web Services. Un nom de domaine complet inclut tous les domaines jusqu'au domaine de premier niveau.– Par exemple, [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] représente le format général d'un nom de domaine complet.

PQDN

Un nom de domaine qui n'est pas entièrement qualifié est appelé « nom de domaine partiellement qualifié » (PQDN), et il s'agit d'un nom ambigu. Un nom comme [subdomain1.subdomain2.] est un nom de domaine partiellement qualifié parce que le domaine racine ne peut pas être déterminé.

Registration

Le droit d'utiliser un nom de domaine est délégué par des bureaux d'enregistrement de nom de domaine. Ces bureaux sont généralement accrédités par l'ICANN (Internet Corporation for Assigned Names and Numbers). En outre, d'autres outils appelés registres conservent les bases de données des domaines de premier niveau. Lorsque vous demandez un nom de domaine, le bureau d'enregistrement envoie vos informations au registre du domaine de premier niveau approprié. Le registre attribue un nom de domaine, met à jour la base de données du domaine de premier niveau et publie vos informations sur WHOIS. Généralement, les noms de domaine doivent être achetés.

Chiffrement et déchiffrement

Le chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse le processus et récupère les données d'origine. Les données non chiffrées sont généralement appelées « texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement appelées « texte chiffré ». Le chiffrement HTTPS des messages entre les clients et les serveurs utilise des algorithmes et des clés. Les algorithmes définissent la procédure étape par étape qui permet de convertir des données en texte brut en texte chiffré (chiffrement) et à reconvertir en texte brut d'origine du texte chiffré (déchiffrement). Les clés sont utilisées par les algorithmes pendant le processus de chiffrement ou de déchiffrement. Les clés peuvent être publiques ou privées.

Nom de domaine complet (FQDN)

Veuillez consulter Noms de domaine.

Infrastructure à clés publiques (ICP)

Une infrastructure à clés publiques (ICP) se compose des matériels, logiciels, personnes, stratégies, documents et procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. L'ICP facilite le transfert sécurisé des informations sur les réseaux informatiques.

Certificat racine

Une autorité de certification (CA) appartient généralement à une structure hiérarchique qui contient plusieurs autres autorités de certification liées par des relations parent-enfant clairement établies. Les autorités de certification subordonnées sont certifiées par leurs autorités de certification parent, ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé.

Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques qui assurent la sécurité des communications sur un réseau informatique. TLS est le successeur de SSL. Ils utilisent tous deux des certificats X.509 pour authentifier le serveur. Les deux protocoles négocient une clé symétrique entre le client et le serveur, qui sert à chiffrer les données circulant entre les deux entités.

HTTPS sécurisé

HTTPS signifie HTTP via SSL/TLS, une forme sécurisée de HTTP prise en charge par tous les navigateurs et serveurs principaux. Toutes les demandes et réponses HTTP sont chiffrées avant d’être envoyées sur un réseau. HTTPS combine le protocole HTTP avec les techniques cryptographiques symétriques, asymétriques et basées sur le certificat X.509. HTTPS fonctionne en insérant une couche de sécurité cryptographique sous la couche d'application HTTP et au-dessus de la couche de transport TCP dans le modèle Open Systems Interconnection (OSI). La couche de sécurité utilise le protocole Secure Sockets Layer (SSL) ou le protocole Transport Layer Security (TLS).

Certificats de serveur SSL

Les transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet du certificat. Le certificat SSL/TLS est signé par une autorité de certification (CA) et contient, entre autres, le nom du serveur, la période de validité, la clé publique et l'algorithme de signature.

Chiffrement à clé symétrique

Le chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données numériques. (Voir aussi Chiffrement à clé asymétrique.)

Transport Layer Security (TLS)

Veuillez consulter Secure Sockets Layer (SSL).

Trust

Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse.