AWS Certificate Manager 概念 - AWS 证书 Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Certificate Manager 概念

本节提供了 AWS Certificate Manager 所用概念的定义。

ACM 证书

ACM 生成 X.509 版本 3 证书。每个证书有效期为 13 个月(395 天),并且包含以下扩展。

  • 基本约束 - 指定主题的证书是否是证书颁发机构 (CA)

  • 授权密钥标识符 - 支持识别与用于签署证书的私有密钥对应的公有密钥。

  • 主题密钥标识符 - 支持识别包含特定公有密钥的证书。

  • 密钥使用 - 定义在证书中嵌入的公有密钥的用途。

  • 扩展密钥使用 - 指定除密钥使用扩展指定的用途外可为其使用公有密钥的一个或多个用途。

  • CRL 分配点 - 指定可在其中获取 CRL 信息的位置。

ACM 颁发的证书的纯文本类似于以下示例:

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

ACM 根 CA

由 ACM 颁发的公有终端实体证书从以下 Amazon 根 CA 获得其信任:

可分辨名称

加密算法

CN=Amazon Root CA 1,O=Amazon,C=US

2048 位 RSA (RSA_2048)

CN=Amazon Root CA 2,O=Amazon,C=US

4096 位 RSA (RSA_4096)

CN=Amazon Root CA 3,O=Amazon,C=US

Elliptic Prime Curve 256 位 (EC_prime256v1)

CN=Amazon Root CA 4,O=Amazon,C=US

Elliptic Prime Curve 384 位 (EC_secp384r1)

ACM 所颁发证书的默认信任根为 CN=Amazon Root CA 1,O=Amazon,C=US,这提供了 2048 位的 RSA 安全性。其他根保留以供将来使用。所有根都由 Starfield Services Root Certificate Authority 证书交叉签名。

有关更多信息,请参阅 Amazon Trust Services

顶级域

请参阅 域名

非对称密钥加密

非对称加密不同于对称密钥加密,它使用不同的但在数学上相关的密钥加密和解密内容。密钥之一是公有密钥,通常以 X.509 v3 证书形式提供。另一个密钥是私有密钥,以安全方式存储。X.509 证书将用户、计算机或其他资源 (证书主题) 的身份绑定到公有密钥。

ACM 证书是 X.509 SSL/TLS 证书,它将您网站的身份和企业的详细信息绑定到证书中包含的公有密钥。ACM 使用 AWS KMS key 加密私有密钥。有关更多信息,请参阅 证书私有密钥的安全性

证书颁发机构

证书颁发机构 (CA) 是一个颁发数字证书的实体。商业上,最常见的数字证书类型基于 ISO X.509 标准。CA 颁发已签名的数字证书,用于确认证书使用者的身份并将该身份绑定到证书中包含的公有密钥。CA 通常还会管理证书吊销。

证书透明度日志

为了防止错误地颁发或由损坏的 CA 颁发的 SSL/TLS 证书,某些浏览器要求为您的域颁发的公有证书记录在证书透明度日志中。域名将被记录。私有密钥不会被记录。未记录的证书通常会在浏览器中生成错误。

您可以监控日志,以确保只为您的域颁发您已授权的证书。您可以使用证书搜索等服务来检查日志。

在 Amazon CA 为您的域颁发公开信任的 SSL/TLS 证书之前,它会将证书提交到至少三个证书透明度日志服务器。这些服务器将证书添加到其公有数据库中,并将已签名的证书时间戳 (SCT) 返回到 Amazon CA。然后,CA 会将 SCT 嵌入到证书中,对证书进行签名,并将其颁发给您。这些时间戳包括在其他 X.509 扩展中。

X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

证书透明度日志记录是在您请求或续订证书时自动进行的,除非您选择退出。有关选择退出的更多信息,请参阅选择退出证书透明度日志记录

域名系统

域名系统 (DNS) 是连接到 Internet 或私有网络的计算机及其他资源的分层分布式命名系统。DNS 主要用于将文本域名 (如 aws.amazon.com) 转换为数字 IP (Internet 协议) 地址 (形如 111.122.133.144)。不过,域的 DNS 数据库包含大量其他用途的记录。例如,通过 ACM,您可以使用别名记录在请求证书时验证自己拥有或可以控制某个域。有关更多信息,请参阅 AWS Certificate Manager DNS 验证

域名

域名是一个文本字符串 (例如 www.example.com),可通过域名系统 (DNS) 转换为 IP 地址。计算机网络 (包括互联网) 使用 IP 地址而不是文本名称。域名由以句点分隔的不同标签组成:

TLD

最右边的标签称作顶级域 (TLD)。常见示例有 .com.net.edu。在某些国家或地区注册的实体的 TLD 为国家或地区名称的缩写,这称作国家/地区代码。示例包括 .uk (英国)、.ru (俄国)、.fr (法国)。使用国家/地区代码时,通常引入 TLD 的二级层次结构来标识注册实体的类型。例如,.co.uk TLD 标识英国的商业企业。

顶级域

顶级域名包括顶级域并在其上扩展。对于包含国家/地区代码的域名,顶级域包含代码和标签 (如果有),用于标识注册实体的类型。顶级域不包含子域 (请参阅以下段落)。在 www.example.com 中,顶级域的名称为 example.com。在 www.example.co.uk 中,顶级域的名称为 example.co.uk。经常用来代替顶级 (apex) 的其他名称包括 base、bare、root、root apex、zone apex 等。

子域

子域名位于顶级域名之前,使用句点与顶级域名及其他域名分隔。最常见的子域名是 www,但允许使用任意名称。子域名也可以有多个级别。例如,在 jake.dog.animals.example.com 中,子域依次为 jakedoganimals

超级域

子域所属的域。

FQDN

完全限定域名 (FQDN) 是适用于已连接到网络或 Internet 的计算机、网站或其他资源的完整 DNS 名称。例如,aws.amazon.com 是适用于 Amazon Web Services 的 FQDN。FQDN 包括一直到顶级域的所有域。例如,[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain] 代表了 FQDN 的一般格式。

PQDN

未完全限定的域名称作部分限定域名 (PQDN),含义不明确。像 [subdomain1.subdomain2.] 这样的名称就是 PQDN,这是因为无法确定根域。

加密和解密

加密是提供数据机密性的过程。解密将反转此过程并恢复原始数据。未加密的数据通常称为“明文”,无论它是否为文本。加密的数据通常称为“密文”。客户端与服务器之间的消息的 HTTPS 加密使用算法和密钥。算法定义将纯文本数据转换为密文 (加密) 以及将密文转换回原始明文 (解密) 的分步过程。在加密或解密过程中,算法将使用密钥。密钥可以是私有密钥或公有密钥。

完全限定域名 (FQDN)

请参阅 域名

公有密钥基础设施

公有密钥基础设施 (PKI) 由创建、颁发、管理、分发、使用、存储和撤销数字证书所需的硬件、软件、人员、策略、文档和过程组成。PKI 可推动信息在计算机网络中的安全传输。

根证书

证书颁发机构 (CA) 通常位于一个包含多个其他 CA (这些 CA 之间明确定义了父子关系) 的层次结构中。子或从属 CA 由其父 CA 认证,这将创建证书链。位于层次结构顶部的 CA 称为“根 CA”,而其证书称为“根证书”。此证书通常是自签名的。

安全套接字层 (SSL)

安全套接字层 (SSL) 和传输层安全性 (TLS) 是通过计算机网络提供通信安全性的加密协议。TLS 是 SSL 的后继者。它们都使用 X.509 证书对服务器进行身份验证。这两个协议都对客户端与服务器之间用于加密这两个实体之间传输的数据的对称密钥进行协商。

安全 HTTPS

HTTPS 表示 HTTP over SSL/TLS,一个所有主要浏览器和服务器都支持的安全形式的 HTTP。所有 HTTP 请求和响应在跨网络发送之前都将进行加密。HTTPS 结合了 HTTP 协议与基于对称、非对称和 X.509 证书的加密技术。HTTPS 的工作方式是,将加密安全层插入开放系统互连 (OSI) 模型中的 HTTP 应用程序层下方和 TCP 传输层上方。安全层使用安全套接字层 (SSL) 协议或传输层安全性 (TLS) 协议。

SSL 服务器证书

HTTPS 事务需要服务器证书来对服务器进行身份验证。服务器证书是 X.509 v3 数据结构,用于将证书中的公有密钥绑定到证书的使用者。SSL/TLS 证书由证书颁发机构 (CA) 签署并且包含服务器的名称、有效期限、公有密钥、签名算法等。

对称密钥加密

对称密钥加密使用同一密钥来加密和解密数字数据。另请参阅 非对称密钥加密

传输层安全性协议(TLS)

请参阅 安全套接字层 (SSL)

信任

要让 Web 浏览器信任网站的身份,该浏览器必须能够验证网站的证书。不过,浏览器仅信任称为“CA 根证书”的少量证书。称为证书颁发机构 (CA) 的可信第三方将验证该网站的身份并向网站运营商颁发签名的数字证书。随后,浏览器可以检查数字签名以验证网站的身份。如果验证成功,浏览器会在地址栏中显示一个锁定图标。