Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Certificate Manager konsep
Bagian ini memberikan definisi konsep yang digunakan oleh AWS Certificate Manager.
Topik
- ACMSertifikat
- ACMAkar CAs
- Domain Apex
- Kriptografi Kunci Asimetris
- Otoritas Sertifikat
- Pencatatan Transparansi Sertifikat
- Sistem Nama Domain
- Nama Domain
- Enkripsi dan Dekripsi
- Nama Domain Berkualitas Penuh (FQDN)
- Infrastruktur Kunci Publik
- Sertifikat Akar
- Lapisan Soket Aman (SSL)
- Aman HTTPS
- SSLSertifikat Server
- Kriptografi Kunci Simetris
- Keamanan Lapisan Transportasi (TLS)
- Percaya
ACMSertifikat
ACMmenghasilkan sertifikat X.509 versi 3. Masing-masing berlaku selama 13 bulan (395 hari) dan berisi ekstensi berikut.
-
Kendala Dasar - menentukan apakah subjek sertifikat adalah otoritas sertifikasi (CA)
-
Authority Key Identifier - memungkinkan identifikasi kunci publik yang sesuai dengan kunci pribadi yang digunakan untuk menandatangani sertifikat.
-
Subject Key Identifier - memungkinkan identifikasi sertifikat yang berisi kunci publik tertentu.
-
Key Usage - mendefinisikan tujuan dari kunci publik yang tertanam dalam sertifikat.
-
Penggunaan Kunci yang Diperpanjang - menentukan satu atau lebih tujuan yang dapat digunakan kunci publik selain tujuan yang ditentukan oleh ekstensi Penggunaan Kunci.
-
CRLPoin Distribusi - menentukan di mana CRL informasi dapat diperoleh.
Teks biasa dari sertifikat ACM yang diterbitkan menyerupai contoh berikut:
Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5
ACMAkar CAs
Sertifikat entitas akhir publik yang dikeluarkan oleh ACM memperoleh kepercayaan mereka dari root Amazon berikut: CAs
Nama yang terhormat |
Enkripsi algoritme |
---|---|
cn = Amazon Root CA 1, O = Amazon, C = AS |
2048-bit () RSA RSA_2048 |
cn = Amazon Root CA 2, O = Amazon, C = AS |
4096-bit () RSA RSA_4096 |
cn = Amazon Root CA 3, O = Amazon, C = AS |
Kurva Perdana Elips 256 bit () EC_prime256v1 |
cn = Amazon Root CA 4, O = Amazon, C = AS |
Kurva Perdana Elips 384 bit () EC_secp384r1 |
Akar kepercayaan default untuk sertifikat yang ACM diterbitkan adalah CN = Amazon Root CA 1, O = Amazon, C = US, yang menawarkan keamanan 2048-bit. RSA Akar lainnya dicadangkan untuk penggunaan masa depan. Semua akar ditandatangani silang oleh sertifikat Otoritas Sertifikat Root Layanan Starfield.
Untuk informasi selengkapnya, lihat Amazon Trust Services
Domain Apex
Lihat Nama Domain.
Kriptografi Kunci Asimetris
Tidak sepertiKriptografi Kunci Simetris, kriptografi asimetris menggunakan kunci yang berbeda tetapi terkait secara matematis untuk mengenkripsi dan mendekripsi konten. Salah satu kuncinya bersifat publik dan biasanya tersedia dalam sertifikat X.509 v3. Kunci lainnya bersifat privat dan disimpan dengan aman. Sertifikat X.509 mengikat identitas pengguna, komputer, atau sumber daya lain (subjek sertifikat) ke kunci publik.
ACMsertifikat adalah SSL TLS X.509/sertifikat yang mengikat identitas situs web Anda dan rincian organisasi Anda ke kunci publik yang terkandung dalam sertifikat. ACMmenggunakan Anda AWS KMS key untuk mengenkripsi kunci pribadi. Untuk informasi selengkapnya, lihat Keamanan untuk kunci pribadi sertifikat.
Otoritas Sertifikat
Otoritas sertifikat (CA) adalah entitas yang mengeluarkan sertifikat digital. Secara komersial, jenis sertifikat digital yang paling umum didasarkan pada standar ISO X.509. CA mengeluarkan sertifikat digital yang ditandatangani yang menegaskan identitas subjek sertifikat dan mengikat identitas itu ke kunci publik yang terkandung dalam sertifikat. CA juga biasanya mengelola pencabutan sertifikat.
Pencatatan Transparansi Sertifikat
Untuk menjaga terhadapSSL/TLSsertifikat yang dikeluarkan secara tidak sengaja atau oleh CA yang dikompromikan, beberapa browser mengharuskan sertifikat publik yang dikeluarkan untuk domain Anda dicatat dalam log transparansi sertifikat. Nama domain dicatat. Private key tidak. Sertifikat yang tidak dicatat biasanya menghasilkan kesalahan di browser.
Anda dapat memantau log untuk memastikan bahwa hanya sertifikat yang telah Anda otorisasi telah dikeluarkan untuk domain Anda. Anda dapat menggunakan layanan seperti Certificate Search
Sebelum Amazon CA mengeluarkan TLS sertifikat yang dipercaya SSL publik untuk domain Anda, Amazon mengirimkan sertifikat ke setidaknya tiga server log transparansi sertifikat. Server ini menambahkan sertifikat ke database publik mereka dan mengembalikan timestamp sertifikat yang ditandatangani (SCT) ke Amazon CA. CA kemudian menyematkan SCT sertifikat, menandatangani sertifikat, dan menerbitkannya kepada Anda. Stempel waktu disertakan dengan ekstensi X.509 lainnya.
X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID :
BB:D9:DF:...8E:1E:D1:85
Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...18:CB:79:2F
Signed Certificate Timestamp: Version : v1(0) Log ID :87:75:BF:...A0:83:0F
Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...29:8F:6C
Pencatatan transparansi sertifikat otomatis saat Anda meminta atau memperbarui sertifikat kecuali Anda memilih untuk tidak ikut serta. Untuk informasi selengkapnya tentang memilih keluar, lihatMemilih keluar dari pencatatan transparansi sertifikat.
Sistem Nama Domain
Domain Name System (DNS) adalah sistem penamaan terdistribusi hierarkis untuk komputer dan sumber daya lain yang terhubung ke internet atau jaringan pribadi. DNSterutama digunakan untuk menerjemahkan nama domain tekstual, sepertiaws.amazon.com
, ke alamat IP numerik (Internet Protocol) dari formulir. 111.122.133.144
DNSDatabase untuk domain Anda, bagaimanapun, berisi sejumlah catatan yang dapat digunakan untuk tujuan lain. Misalnya, dengan ACM Anda dapat menggunakan CNAME catatan untuk memvalidasi bahwa Anda memiliki atau mengontrol domain saat Anda meminta sertifikat. Untuk informasi selengkapnya, lihat AWS Certificate Manager DNSvalidasi.
Nama Domain
Nama domain adalah string teks seperti www.example.com
yang dapat diterjemahkan oleh Domain Name System (DNS) ke alamat IP. Jaringan komputer, termasuk internet, menggunakan alamat IP, bukan nama teks. Nama domain terdiri dari label berbeda yang dipisahkan oleh periode:
TLD
Label paling kanan disebut domain tingkat atas (). TLD Contoh umumnya termasuk .com
, .net
, dan .edu
. Juga, TLD untuk entitas yang terdaftar di beberapa negara adalah singkatan dari nama negara dan disebut kode negara. Contohnya termasuk .uk
untuk Inggris, .ru
untuk Rusia, dan .fr
untuk Prancis. Ketika kode negara digunakan, hierarki tingkat kedua untuk TLD sering diperkenalkan untuk mengidentifikasi jenis entitas terdaftar. Misalnya, .co.uk
TLD mengidentifikasi perusahaan komersial di Inggris.
Domain Apex
Nama domain puncak mencakup dan diperluas pada domain tingkat atas. Untuk nama domain yang menyertakan kode negara, domain apex menyertakan kode dan label, jika ada, yang mengidentifikasi jenis entitas terdaftar. Domain apex tidak menyertakan subdomain (lihat paragraf berikut). Di www.example.com
, nama domain apexnya adalah example.com
. Di www.example.co.uk
, nama domain apex adalah example.co.uk
. Nama lain yang sering digunakan sebagai pengganti apex adalah base, bare, root, root apex, atau zone apex.
Subdomain
Nama subdomain mendahului nama domain puncak dan dipisahkan darinya dan satu sama lain dengan titik. Nama subdomain yang paling umum adalah www
, tetapi nama apa pun dimungkinkan. Nama subdomain juga dapat memiliki beberapa level. Misalnya, di jake.dog.animals.example.com
, subdomainnya adalah jake
, dog
, dan animals
dalam urutan itu.
Superdomain
Domain yang menjadi milik subdomain.
FQDN
Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah DNS nama lengkap untuk komputer, situs web, atau sumber daya lain yang terhubung ke jaringan atau ke internet. Misalnya aws.amazon.com
FQDN untuk Amazon Web Services. An FQDN mencakup semua domain hingga domain tingkat atas. Misalnya, [subdomain1].[subdomain2]...[subdomainn].[apex
domain].[top–level domain]
mewakili format umum dari sebuahFQDN.
PQDN
Nama domain yang tidak sepenuhnya memenuhi syarat disebut nama domain yang memenuhi syarat sebagian (PQDN) dan ambigu. Nama seperti [subdomain1.subdomain2.]
adalah PQDN karena domain root tidak dapat ditentukan.
Enkripsi dan Dekripsi
Enkripsi adalah proses penyediaan kerahasiaan data. Dekripsi membalikkan proses dan memulihkan data asli. Data yang tidak terenkripsi biasanya disebut plaintext apakah itu teks atau bukan. Data terenkripsi biasanya disebut ciphertext. HTTPSenkripsi pesan antara klien dan server menggunakan algoritma dan kunci. Algoritma mendefinisikan step-by-step prosedur dimana data plaintext diubah menjadi ciphertext (enkripsi) dan ciphertext diubah kembali menjadi plaintext asli (dekripsi). Kunci digunakan oleh algoritma selama proses enkripsi atau dekripsi. Kunci dapat berupa pribadi atau publik.
Nama Domain Berkualitas Penuh (FQDN)
Lihat Nama Domain.
Infrastruktur Kunci Publik
Infrastruktur kunci publik (PKI) terdiri dari perangkat keras, perangkat lunak, orang, kebijakan, dokumen, dan prosedur yang diperlukan untuk membuat, menerbitkan, mengelola, mendistribusikan, menggunakan, menyimpan, dan mencabut sertifikat digital. PKImemfasilitasi transfer informasi yang aman di seluruh jaringan komputer.
Sertifikat Akar
Otoritas sertifikat (CA) biasanya ada dalam struktur hierarkis yang berisi beberapa lainnya CAs dengan hubungan orangtua-anak yang jelas di antara mereka. Anak atau bawahan CAs disertifikasi oleh orang tua merekaCAs, membuat rantai sertifikat. CA di bagian atas hierarki disebut sebagai CA akar, dan sertifikatnya disebut sertifikat akar. Sertifikat ini biasanya ditandatangani sendiri.
Lapisan Soket Aman (SSL)
Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) adalah protokol kriptografi yang memberikan keamanan komunikasi melalui jaringan komputer. TLSadalah penerus. SSL Keduanya menggunakan sertifikat X.509 untuk mengautentikasi server. Kedua protokol menegosiasikan kunci simetris antara klien dan server yang digunakan untuk mengenkripsi data yang mengalir antara dua entitas.
Aman HTTPS
HTTPSsingkatan HTTP dari overSSL/TLS, bentuk aman HTTP yang didukung oleh semua browser dan server utama. Semua HTTP permintaan dan tanggapan dienkripsi sebelum dikirim melalui jaringan. HTTPSmenggabungkan HTTP protokol dengan teknik kriptografi berbasis sertifikat simetris, asimetris, dan X.509. HTTPSbekerja dengan memasukkan lapisan keamanan kriptografi di bawah lapisan HTTP aplikasi dan di atas lapisan TCP transport dalam model Open Systems Interconnection ()OSI. Lapisan keamanan menggunakan protokol Secure Sockets Layer (SSL) atau protokol Transport Layer Security (TLS).
SSLSertifikat Server
HTTPStransaksi memerlukan sertifikat server untuk mengautentikasi server. Sertifikat server adalah struktur data X.509 v3 yang mengikat kunci publik dalam sertifikat ke subjek sertifikat. TLSSertifikat SSL /ditandatangani oleh otoritas sertifikat (CA) dan berisi nama server, masa berlaku, kunci publik, algoritma tanda tangan, dan banyak lagi.
Kriptografi Kunci Simetris
Kriptografi kunci simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data digital. Lihat juga Kriptografi Kunci Asimetris.
Keamanan Lapisan Transportasi (TLS)
Lihat Lapisan Soket Aman (SSL).
Percaya
Agar peramban web mempercayai identitas situs web, peramban harus dapat memverifikasi sertifikat situs web. Namun, peramban hanya mempercayai sejumlah kecil sertifikat yang dikenal sebagai sertifikat akar CA. Pihak ketiga tepercaya, yang dikenal sebagai otoritas sertifikasi (CA), memvalidasi identitas situs web dan menerbitkan sertifikat digital yang ditandatangani ke operator situs web. Peramban kemudian dapat memeriksa tanda tangan digital untuk memvalidasi identitas situs web. Jika validasi berhasil, peramban menampilkan ikon kunci di bilah alamat.