概念 - AWS Certificate Manager
ACM 証明書ACM ルート CAApex ドメイン非対称キー暗号認証機関証明書の透明性ログ記録ドメインネームシステムドメイン名暗号化と復号完全修飾ドメイン名 (FQDN)パブリックキー構造ルート証明書Secure Sockets Layer (SSL)安全な HTTPSSSL サーバー証明書対称キー暗号化Transport Layer Security (TLS)信頼

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

概念

このセクションでは、AWS Certificate Manager で使用される概念の定義について説明します。

ACM 証明書

ACM は X.509 バージョン 3 証明書を生成します。それぞれ 13 か月間(395 日間)有効で、次の拡張機能が含まれています。

  • 基本的な制約 - 証明書の対象が認証機関 (CA) かどうかを指定します

  • 認証キー識別子 - 証明書に署名するために使用されるプライベートキーに対応するパブリックキーの識別を可能にします。

  • サブジェクトキー識別子 - 特定のパブリックキーを含む証明書を識別することができます。

  • キーの使用状況 - 証明書に埋め込まれたパブリックキーの目的を定義します。

  • 拡張キー用途 - キーの使用状況拡張機能で指定された目的に加えて、パブリックキーを使用する目的を 1 つ以上指定します。

  • CRL ディストリビューションポイント - CRL 情報を取得できる場所を指定します。

ACM によって発行された証明書のプレーンテキストは、次の例のようになります。

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

ACM ルート CA

ACM によって発行されたパブリックエンドエンティティ証明書は、次の Amazon ルート CA から信頼を得ます。

識別名

 暗号化アルゴリズム

CN=Amazon Root CA 1,O=Amazon,C=US

 2048 ビット RSA (RSA_2048)

CN=Amazon Root CA 2,O=Amazon,C=US

 4096 ビット RSA (RSA_4096)

CN=Amazon Root CA 3,O=Amazon,C=US

 Elliptic Prime Curve 256 ビット (EC_prime256v1)

CN=Amazon Root CA 4,O=Amazon,C=US

 Elliptic Prime Curve 384 ビット (EC_secp384r1)

ACM が発行した証明書のデフォルトの信頼の基点は CN=Amazon Root CA 1,O=Amazon,C=US で、2048 ビット RSA セキュリティを提供します。他の基点は、将来の使用のために予約されています。すべての基点は、Starfield Services Root Certificate Authority 証明書によってクロス署名されています。

詳細については、Amazon Trust Services を参照してください。

Apex ドメイン

ドメイン名 を参照してください。

非対称キー暗号

非対称暗号化は、対称キー暗号化 と異なり、異なるが数学的に関連しているキーを使用して、コンテンツの暗号化と復号を行います。キーの 1 つはパブリックで、通常、X.509 v3 証明書で使用できます。もう 1 つのキーはプライベートで、安全に保存されます。X.509 証明書は、ユーザー、コンピュータ、その他のリソース (証明書件名) のアイデンティティをパブリックキーにバインドします。

ACM 証明書は、ウェブサイトのアイデンティティと組織の詳細を、証明書に含まれているパブリックキーにバインドする X.509 SSL/TLS 証明書です。ACM は AWS KMS key を使用して、プライベートキーを暗号化します。詳細については、「証明書の秘密鍵のセキュリティ」を参照してください。

認証機関

認証機関 (CA) とは、デジタル証明書を発行するエンティティです。流通している最も一般的なタイプのデジタル証明書は、ISO X.509 規格に基づいています。CA は、証明書件名の ID を肯定するデジタル証明書を発行し、その ID を証明書に含まれるパブリックキーにバインドします。また、通常の場合、CA は証明書の失効も管理します。

証明書の透明性ログ記録

誤って発行された SSL/TLS 証明書や漏洩した CA から保護されるようにするために、一部のブラウザではドメインで発行されたパブリック証明書を証明書の透明性ログに記録する必要があります。ドメイン名が記録されます。プライベートキーは記録されません。通常、ログに記録されない証明書は、ブラウザでエラーを生成します。

ログをモニタリングして、承認した証明書のみがドメインに対して発行されていることを確認できます。Certificate Search などのサービスを使用してログを確認することができます。

Amazon CA がドメインにパブリックに信頼できる SSL/TLS 証明書を発行する前に、少なくとも 3 つの証明書の透明性ログサーバーに証明書を送信します。これらのサーバーは、パブリックデータベースに証明書を追加し、署名付き証明書タイムスタンプ (SCT) を Amazon CA に返します。CA は SCT を証明書に埋め込み、証明書に署名して発行します。タイムスタンプは他の X.509 拡張機能に含まれています。


 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C

オプトアウトする場合を除き、証明書をリクエストまたは更新すると、証明書の透明性ログが自動的に記録されます。オプトアウトの詳細については、「証明書の透明性ログ記録のオプトアウト」を参照してください。

ドメインネームシステム

ドメインネームシステム (DNS) は、コンピュータおよびインターネットやプライベートネットワークに接続するその他のリソースの階層的な分散命名方式です。DNS は主に、aws.amazon.com などの文字形式のドメイン名を、111.122.133.144 形式の数値的な IP (インターネットプロトコル) アドレスに変換するために使用されます。ただし、ドメインの DNS データベースには多数のレコードが含まれており、他の目的に使用できます。たとえば、ACM では、CNAME レコードを使用して、証明書をリクエストする際にドメインの所有者または管理者であることを検証できます。詳細については、「DNS での検証」を参照してください。

ドメイン名

ドメイン名は、ドメインネームシステム (DNS) により IP アドレスに変換できる、www.example.com などのテキスト文字列です。インターネットを含むコンピュータネットワークでは、テキスト名ではなく IP アドレスが使用されます。ドメイン名はピリオドで区切られた個別のラベルで構成されます。

TLD

1 番右のラベルは最上位ドメイン (TLD) と呼ばれます。一般的な例には、.com.net.edu などがあります。また、一部の国で登録されたエンティティの TLD は国名の略であり、国コードと呼ばれます。たとえば、英国は .uk、ロシアは .ru、フランスは .fr です。国コードを使用する場合、登録されたエンティティの種類を識別するために、TLD の第 2 レベルの階層がよく使用されます。たとえば、.co.uk という TLD は、英国の営利事業を識別します。

Apex ドメイン

apex ドメイン名には最上位ドメインが含まれ、そこで拡張されます。国コードを含むドメイン名の場合、apex ドメインには、登録されたエンティティのタイプを識別するコードとラベル (ある場合) が含まれます。apex ドメインには、サブドメインは含まれません (次の段落を参照)。www.example.com では、apex ドメインの名前は example.com です。www.example.co.uk では、apex ドメインの名前は example.co.uk です。apex の代わりによく使用されるその他の名前には、base、bare、root、root apex、zone apex があります。

サブドメイン

サブドメイン名は apex ドメイン名の前に付き、ピリオドでドメイン名から区切られるとともに、相互にも区切られます。最も一般的なサブドメイン名は www ですが、任意の名前を付けることができます。また、サブドメイン名には複数のレベルを含めることができます。たとえば、jake.dog.animals.example.com で、サブドメインは jakedoganimals の順になります。

スーパードメイン

サブドメインが属するドメイン。

FQDN

完全修飾ドメイン名 (FQDN) は、ネットワークまたはインターネットに接続されるコンピュータ、ウェブサイト、またはその他のリソースの完全な DNS 名です。例 aws.amazon.com は、Amazon Web Services の FQDN です。FQDN には、最上位ドメインまでのすべてのドメインが含まれます。たとえば、[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] は FQDN の一般的な形式を表します。

PQDN

完全修飾されていないドメイン名は、部分修飾ドメイン名 (PQDN) と呼ばれ、あいまいです。[subdomain1.subdomain2.] などの名前は、ルートドメインを特定できないため、PQDN です。

Registration (登録)

ドメイン名を使用する権限は、ドメイン名レジストラによって委任されます。通常、レジストラは、Internet Corporation for Assigned Names and Numbers (ICANN) によって認定されます。さらに、レジストリと呼ばれる他の組織が TLD データベースを維持します。ドメイン名をリクエストすると、レジストラは適切な TLD レジストリに情報を送信します。レジストリはドメイン名を割り当て、TLD データベースを更新して、情報を WHOIS に公開します。通常は、ドメイン名を購入する必要があります。

暗号化と復号

暗号化とは、データに機密性を提供する処理です。復号化では、このプロセスを逆転して元のデータを復元します。暗号化されていないデータは、テキストであるかどうかに関係なく一般的にプレーンテキストと呼ばれます。暗号化されたデータは、通常、暗号化テキストと呼ばれます。クライアントとサーバー間のメッセージの HTTPS 暗号化にはアルゴリズムとキーが使用されます。アルゴリズムは、 step-by-stepプレーンテキストデータを暗号文に変換 (暗号化) し、暗号文を元のプレーンテキストに変換 (復号) する手順を定義します。暗号化または復号化プロセス中にアルゴリズムによってキーが使用されます。キーはプライベートまたはパブリックとなります。

完全修飾ドメイン名 (FQDN)

ドメイン名 を参照してください。

パブリックキー構造

パブリックキー構造 (PKI) は、ハードウェア、ソフトウェア、ユーザー、ポリシー、ドキュメント、そしてデジタル証明書の作成、発行、管理、配布、使用、保存、失効に必要な手順で構成されます。PKI は、コンピュータネットワークにおける情報の安全な転送に役立ちます。

ルート証明書

認証機関 (CA) は通常、相互の親子関係を明確に定義した他の複数の CA を含む段階構造内に存在します。子または下位の CA はその親 CA に証明され、証明書チェーンを造り上げます。階層の最上部にある CA はルート CA とされ、その証明書はルート証明書と呼ばれます。この証明書は通常、自己署名されています。

Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、コンピュータのネットワークにおける通信の安全性を提供する暗号化プロトコルです。TLS は SSL の後続です。両方とも X.509 証明書を使用してサーバーを認証します。どちらのプロトコルもクライアントとサーバーの間を通信するデータの暗号化に使用される対称キーを使用します。

安全な HTTPS

HTTPS とは、SSL/TLS 経由の HTTP であり、すべての主要なブラウザとサーバーにサポートされる HTTP の安全な形式です。すべての HTTP リクエストとレスポンスは、ネットワーク経由で送信される前に暗号化されます。HTTPS は、HTTP プロトコルに対称、非対称、および X.509 証明書ベースの暗号化を組み合わせた手法を採用しています。HTTPS は、開放型システム間相互接続 (OSI) モデルで HTTP アプリケーション層の下位と TCP トランスポート層の上位に暗号化されたセキュリティ層を挿入することで動作します。このセキュリティ層は、Secure Sockets Layer (SSL) プロトコルまたは Transport Layer Security (TLS) プロトコルを使用します。

SSL サーバー証明書

HTTPS トランザクションは、サーバーを認証するためにサーバー証明書を要求します。サーバー証明書とは、証明書のパブリックキーを証明書の件名にバインドする X.509 v3 データ構造です。SSL/TLS 証明書は認証機関 (CA) によって署名され、サーバーの名前、有効期間、パブリックキー、署名アルゴリズムなどを含有します。

対称キー暗号化

対称キー暗号化では、デジタルデータの暗号化と復号化で同じキーが使用されます。「非対称キー暗号」も参照してください。

Transport Layer Security (TLS)

Secure Sockets Layer (SSL) を参照してください。

信頼

ウェブブラウザがウェブサイトのアイデンティティを信頼するために、ウェブサイトの証明書がブラウザによって検証できる必要があります。しかし、ブラウザは CA ルート証明書と呼ばれるほんのわずかな証明書のみを信頼します。認証機関 (CA) と呼ばれる信頼されるサードパーティは、ウェブサイトのアイデンティティを検証し、ウェブサイト運営者に署名されたデジタル証明書を発行します。こうしてブラウザはデジタル署名を確認して、ウェブサイトのアイデンティティを検証します。検証に成功した場合は、ブラウザのアドレスバーにロックアイコンが表示されます。