Konsep - AWS Certificate Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep

Bagian ini memberikan definisi konsep yang digunakan olehAWS Certificate Manager.

Sertifikat ACM

ACM menghasilkan sertifikat X.509 versi 3. Masing-masing berlaku selama 13 bulan (395 hari) dan berisi ekstensi berikut.

  • Kendala Dasar - menentukan apakah subjek sertifikat adalah otoritas sertifikasi (CA)

  • Authority Key Identifier - memungkinkan identifikasi kunci publik yang sesuai dengan kunci pribadi yang digunakan untuk menandatangani sertifikat.

  • Subject Key Identifier - memungkinkan identifikasi sertifikat yang berisi kunci publik tertentu.

  • Key Usage - mendefinisikan tujuan dari kunci publik yang tertanam dalam sertifikat.

  • Penggunaan Kunci yang Diperpanjang - menentukan satu atau lebih tujuan yang dapat digunakan kunci publik selain tujuan yang ditentukan oleh ekstensi Penggunaan Kunci.

  • Titik Distribusi CRL - menentukan di mana informasi CRL dapat diperoleh.

Teks biasa dari sertifikat yang dikeluarkan ACM menyerupai contoh berikut:

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

CA Akar ACM

Sertifikat entitas akhir publik yang dikeluarkan oleh ACM memperoleh kepercayaan mereka dari CA root Amazon berikut:

Nama yang terhormat

Enkripsi algoritme

cn = Amazon Root CA 1, O = Amazon, C = AS

RSA 2048-bit () RSA_2048

cn = Amazon Root CA 2, O = Amazon, C = AS

RSA 4096-bit () RSA_4096

cn = Amazon Root CA 3, O = Amazon, C = AS

Kurva Perdana Elips 256 bit () EC_prime256v1

cn = Amazon Root CA 4, O = Amazon, C = AS

Kurva Perdana Elips 384 bit () EC_secp384r1

Akar kepercayaan default untuk sertifikat yang dikeluarkan ACM adalah CN = Amazon Root CA 1, O = Amazon, C = AS, yang menawarkan keamanan RSA 2048-bit. Akar lainnya dicadangkan untuk penggunaan masa depan. Semua akar ditandatangani silang oleh sertifikat Otoritas Sertifikat Root Layanan Starfield.

Untuk informasi selengkapnya, lihat Amazon Trust Services.

Domain Apex

Lihat Nama Domain.

Kriptografi Kunci Asimetris

Tidak sepertiKriptografi Kunci Simetris, kriptografi asimetris menggunakan kunci yang berbeda tetapi terkait secara matematis untuk mengenkripsi dan mendekripsi konten. Salah satu kuncinya bersifat publik dan biasanya tersedia dalam sertifikat X.509 v3. Kunci lainnya bersifat privat dan disimpan dengan aman. Sertifikat X.509 mengikat identitas pengguna, komputer, atau sumber daya lain (subjek sertifikat) ke kunci publik.

Sertifikat ACM adalah sertifikat SSL/TLS X.509 yang mengikat identitas situs web Anda dan rincian organisasi Anda ke kunci publik yang terkandung dalam sertifikat. ACM menggunakan Anda AWS KMS key untuk mengenkripsi kunci pribadi. Untuk informasi selengkapnya, lihat Keamanan untuk kunci pribadi sertifikat.

Otoritas Sertifikat

Otoritas sertifikat (CA) adalah entitas yang mengeluarkan sertifikat digital. Secara komersial, jenis sertifikat digital yang paling umum didasarkan pada standar ISO X.509. CA mengeluarkan sertifikat digital yang ditandatangani yang menegaskan identitas subjek sertifikat dan mengikat identitas itu ke kunci publik yang terkandung dalam sertifikat. CA juga biasanya mengelola pencabutan sertifikat.

Pencatatan Transparansi Sertifikat

Untuk menjaga terhadap sertifikat SSL/TLS yang dikeluarkan secara tidak sengaja atau oleh CA yang dikompromikan, beberapa browser mengharuskan sertifikat publik yang dikeluarkan untuk domain Anda dicatat dalam log transparansi sertifikat. Nama domain direkam. Private key tidak Sertifikat yang tidak dicatat biasanya menghasilkan kesalahan di browser.

Anda dapat memantau log untuk memastikan bahwa hanya sertifikat yang telah Anda otorisasi telah dikeluarkan untuk domain Anda. Anda dapat menggunakan layanan seperti Certificate Search untuk memeriksa log.

Sebelum Amazon CA mengeluarkan sertifikat SSL/TLS yang dipercaya publik untuk domain Anda, Amazon mengirimkan sertifikat ke setidaknya tiga server log transparansi sertifikat. Server ini menambahkan sertifikat ke database publik mereka dan mengembalikan stempel waktu sertifikat yang ditandatangani (SCT) ke Amazon CA. CA kemudian menyematkan SCT dalam sertifikat, menandatangani sertifikat, dan menerbitkannya kepada Anda. Stempel waktu disertakan dengan ekstensi X.509 lainnya.

X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

Pencatatan transparansi sertifikat otomatis saat Anda meminta atau memperbarui sertifikat kecuali Anda memilih untuk tidak ikut serta. Untuk informasi selengkapnya tentang memilih keluar, lihatMemilih keluar dari pencatatan transparansi sertifikat.

Domain Name System

Domain Name System (DNS) adalah sistem penamaan terdistribusi hierarkis untuk komputer dan sumber daya lain yang terhubung ke internet atau jaringan privat. DNS terutama digunakan untuk menerjemahkan nama domain tekstual, sepertiaws.amazon.com, ke alamat IP numerik (Internet Protocol) dari formulir. 111.122.133.144 Database DNS untuk domain Anda, bagaimanapun, berisi sejumlah catatan yang dapat digunakan untuk tujuan lain. Misalnya, dengan ACM Anda dapat menggunakan catatan CNAME untuk memvalidasi bahwa Anda memiliki atau mengontrol domain saat Anda meminta sertifikat. Untuk informasi selengkapnya, lihat Validasi DNS.

Nama Domain

Nama domain adalah string teks seperti www.example.com yang dapat diterjemahkan oleh Domain Name System (DNS) ke alamat IP. Jaringan komputer, termasuk internet, menggunakan alamat IP, bukan nama teks. Nama domain terdiri dari label berbeda yang dipisahkan oleh periode:

TLD

Label paling kanan disebut domain tingkat atas (TLD). Contoh umumnya termasuk .com, .net, dan .edu. Selain itu, TLD untuk entitas yang terdaftar di beberapa negara adalah singkatan dari nama negara dan disebut kode negara. Contohnya termasuk .uk untuk Inggris, .ru untuk Rusia, dan .fr untuk Prancis. Ketika kode negara digunakan, hierarki tingkat kedua untuk TLD sering diperkenalkan untuk mengidentifikasi jenis entitas terdaftar. Misalnya, .co.uk TLD mengidentifikasi perusahaan komersial di Inggris.

Domain Apex

Nama domain puncak mencakup dan diperluas pada domain tingkat atas. Untuk nama domain yang menyertakan kode negara, domain apex menyertakan kode dan label, jika ada, yang mengidentifikasi jenis entitas terdaftar. Domain apex tidak menyertakan subdomain (lihat paragraf berikut). Di www.example.com, nama domain apexnya adalah example.com. Di www.example.co.uk, nama domain apex adalah example.co.uk. Nama lain yang sering digunakan sebagai pengganti apex adalah base, bare, root, root apex, atau zone apex.

Subdomain

Nama subdomain mendahului nama domain puncak dan dipisahkan darinya dan satu sama lain dengan titik. Nama subdomain yang paling umum adalah www, tetapi nama apa pun dimungkinkan. Nama subdomain juga dapat memiliki beberapa level. Misalnya, di jake.dog.animals.example.com, subdomainnya adalah jake, dog, dan animals dalam urutan itu.

Superdomain

Domain yang menjadi milik subdomain.

FQDN

Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama DNS lengkap untuk komputer, situs web, atau sumber daya lain yang terhubung ke jaringan atau ke internet. Misalnya aws.amazon.com adalah FQDN untuk Amazon Web Services. FQDN mencakup semua domain hingga domain tingkat atas. Misalnya,[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] mewakili format umum dari FQDN.

PQDN

Nama domain yang tidak sepenuhnya memenuhi syarat disebut nama domain yang memenuhi syarat sebagian (PQDN) dan bersifat ambigu. Nama seperti [subdomain1.subdomain2.] adalah PQDN karena domain akar tidak dapat ditentukan.

Registrasi

Hak untuk menggunakan nama domain didelegasikan oleh pendaftar nama domain. Pendaftar biasanya diakreditasi oleh Internet Corporation for Assigned Names and Numbers (ICANN). Selain itu, organisasi lain yang disebut pendaftar memelihara database TLD. Saat Anda meminta nama domain, pencatat mengirimkan informasi Anda ke registri TLD yang sesuai. Registri menetapkan nama domain, memperbarui basis data TLD, dan memublikasikan informasi Anda ke WHOIS. Biasanya, nama domain harus dibeli.

Enkripsi dan Dekripsi

Enkripsi adalah proses penyediaan kerahasiaan data. Dekripsi membalikkan proses dan memulihkan data asli. Data yang tidak terenkripsi biasanya disebut plaintext apakah itu teks atau bukan. Data terenkripsi biasanya disebut ciphertext. Enkripsi HTTPS pesan antara klien dan server menggunakan algoritma dan kunci. Algoritma mendefinisikan step-by-step prosedur dimana data plaintext diubah menjadi ciphertext (enkripsi) dan ciphertext diubah kembali menjadi plaintext asli (dekripsi). Kunci digunakan oleh algoritma selama proses enkripsi atau dekripsi. Kunci dapat berupa pribadi atau publik.

Nama Domain Berkualitas Penuh (FQDN)

Lihat Nama Domain.

Infrastruktur Kunci Publik

Infrastruktur kunci publik (PKI) terdiri dari perangkat keras, perangkat lunak, orang, kebijakan, dokumen, dan prosedur yang diperlukan untuk membuat, menerbitkan, mengelola, mendistribusikan, menggunakan, menyimpan, dan mencabut sertifikat digital. PKI memfasilitasi transfer informasi yang aman di seluruh jaringan komputer.

Sertifikat Akar

Otoritas sertifikat (CA) biasanya ada dalam struktur hierarkis yang berisi beberapa CA lain dengan hubungan orangtua-anak yang jelas di antara mereka. CA turunan atau bawahan disertifikasi oleh CA induknya, membuat rantai sertifikat. CA di bagian atas hierarki disebut sebagai CA akar, dan sertifikatnya disebut sertifikat akar. Sertifikat ini biasanya ditandatangani sendiri.

Secure Sockets Layer (SSL)

Lapisan Soket Aman (SSL) dan Keamanan Lapisan Pengangkutan (TLS) adalah protokol kriptografi yang menyediakan keamanan komunikasi melalui jaringan komputer. TLS adalah penerus SSL. Keduanya menggunakan sertifikat X.509 untuk mengautentikasi server. Kedua protokol menegosiasikan kunci simetris antara klien dan server yang digunakan untuk mengenkripsi data yang mengalir antara dua entitas.

HTTPS aman

HTTPS adalah singkatan dari HTTP melalui SSL/TLS, bentuk aman dari HTTP yang didukung oleh semua peramban dan server utama. Semua permintaan dan tanggapan HTTP dienkripsi sebelum dikirim melalui jaringan. HTTPS menggabungkan protokol HTTP dengan teknik kriptografi berbasis sertifikat simetris, asimetris, dan X.509. HTTPS bekerja dengan menyisipkan lapisan keamanan kriptografi di bawah lapisan aplikasi HTTP dan di atas lapisan transport TCP dalam model Open Systems Interconnection (OSI). Lapisan keamanan menggunakan protokol Lapisan Soket Aman (SSL) atau protokol Keamanan Lapisan Pengangkutan (TLS).

Sertifikat Server SSL

Transaksi HTTPS memerlukan sertifikat server untuk mengautentikasi server. Sertifikat server adalah struktur data X.509 v3 yang mengikat kunci publik dalam sertifikat ke subjek sertifikat. Sertifikat SSL/TLS ditandatangani oleh otoritas sertifikat (CA) dan berisi nama server, masa berlaku, kunci publik, algoritma tanda tangan, dan banyak lagi.

Kriptografi Kunci Simetris

Kriptografi kunci simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data digital. Lihat juga Kriptografi Kunci Asimetris.

Keamanan Lapisan Pengangkutan (TLS)

Lihat Secure Sockets Layer (SSL).

Percaya

Agar peramban web mempercayai identitas situs web, peramban harus dapat memverifikasi sertifikat situs web. Namun, peramban hanya mempercayai sejumlah kecil sertifikat yang dikenal sebagai sertifikat akar CA. Pihak ketiga tepercaya, yang dikenal sebagai otoritas sertifikasi (CA), memvalidasi identitas situs web dan menerbitkan sertifikat digital yang ditandatangani ke operator situs web. Peramban kemudian dapat memeriksa tanda tangan digital untuk memvalidasi identitas situs web. Jika validasi berhasil, peramban menampilkan ikon kunci di bilah alamat.