本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
概念
本節提供 AWS Certificate Manager 所使用概念的定義。
主題
ACM 憑證
ACM 會產生 X.509 第 3 版憑證。每個的有效期限為 13 個月 (395 天),並包含下列延伸項目。
-
基本限制 - 指定憑證主體是否是認證機構 (CA)。
-
授權機構金鑰識別符 - 支援識別與用於簽署憑證的私有金鑰對應的公有金鑰。
-
主體金鑰識別符 - 支援識別包含特定公有金鑰的憑證。
-
金鑰使用 - 定義內嵌於憑證的公有金鑰的用途。
-
擴充金鑰使用 - 除了金鑰使用延伸所指定的用途外,為公有金鑰指定的一個或多個用途。
-
CRL 分佈點 - 指定可取得 CRL 資訊的位置。
ACM 所發行憑證的純文字類似於以下範例:
Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27: e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5
ACM 根 CA
ACM 發行的公有最終實體憑證會從下列 Amazon 根 CA 衍生其信任:
|
辨別名稱 |
加密演算法 |
|---|---|
|
CN=Amazon 根 CA 1、O=Amazon、C=美國 |
2048 位元 RSA (RSA_2048) |
|
CN=Amazon 根 CA 2、O=Amazon、C=美國 |
4096 位元 RSA (RSA_4096) |
|
CN=Amazon 根 CA 3、O=Amazon、C=美國 |
橢圓主要曲線 256 位元 (EC_prime256v1) |
|
CN=Amazon 根 CA 4、O=Amazon、C=美國 |
橢圓主要曲線 384 位元 (EC_secp384r1) |
ACM 發行憑證的預設信任根是 CN=Amazon 根 CA 1、O=Amazon、C=US,這可提供 2048 位元 RSA 安全性。其他根保留供日後使用。所有根都是由 Starfield Services Root Certificate Authority 憑證交叉簽署。
如需詳細資訊,請參閱 Amazon Trust Services
Apex 網域
請參閱 網域名稱。
非對稱金鑰加密法
與對稱金鑰加密法不同,非對稱加密法使用不同但屬於數學算法的金鑰來加密和解密內容。其中一個金鑰為公有,且通常包含於 X.509 v3 憑證。另一個金鑰為私有,且存放在安全的位置。X.509 憑證會將使用者、電腦或其他資源 (憑證主體) 的身分繫結至公有金鑰。
ACM 憑證是 X.509 SSL/TLS 憑證,它會將您網站的身分和組織的詳細資訊繫結至憑證中包含的公有金鑰。ACM 會使用您的 AWS KMS key 加密私有金鑰。如需詳細資訊,請參閱 憑證私有金鑰的安全性。
憑證授權單位
憑證授權機構 (CA) 是發行數位憑證的實體。商業上,最常見的數位憑證類型是根據 ISO X.509 標準。CA 發行已簽署的數位憑證,以確認憑證主體的身分並將該身分繫結至憑證中包含的公有金鑰。CA 通常還會管理憑證撤銷。
憑證透明度記錄
為了防備因失誤而發行或由遭入侵的 CA 發行的 SSL/TLS 憑證,某些瀏覽器要求為您網域發行的公有憑證必須記錄在憑證透明度日誌中。網域名稱會被記錄。私有金鑰不會被記錄。未記錄的憑證通常會在瀏覽器中產生錯誤。
您可以監控日誌,以確保只為您的網域發行已獲得您授權的憑證。您可以使用 Certificate Search
在 Amazon CA 為您的網域發行公開信任的 SSL/TLS 憑證前,它會將憑證提交到至少三個憑證透明度日誌伺服器。這些伺服器會將憑證加入其公有資料庫,並將已簽署的憑證時間戳記 (SCT) 傳回到 Amazon CA。然後,CA 會將 SCT 嵌入憑證中,簽署憑證,並發行給您。時間戳記會隨附於其他 X.509 延伸。
X509v3 extensions: CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID :BB:D9:DF:...8E:1E:D1:85Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...18:CB:79:2FSigned Certificate Timestamp: Version : v1(0) Log ID :87:75:BF:...A0:83:0FTimestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA25630:45:02:...29:8F:6C
憑證透明度記錄會在您請求或續約憑證時自動執行,除非您選擇退出。如需選擇退出的詳細資訊,請參閱取消使用憑證透明度記錄功能。
網域名稱系統
網域名稱系統 (DNS) 是階層分散式命名系統,適用於連接到網際網路或私有網路的電腦和其他資源。DNS 主要用於將文字網域名稱 (例如 aws.amazon.com) 轉換成形式為 111.122.133.144 的數字 IP (網際網路通訊協定) 地址。不過,您網域的 DNS 資料庫包含一些其他用途的記錄。例如,當您透過 ACM 請求憑證時,可以使用 CNAME 記錄來驗證您擁有或控制某個網域。如需詳細資訊,請參閱 DNS驗證。
網域名稱
網域名稱為可由網域名稱系統 (DNS) 轉換為 IP 地址的文字字串,例如 www.example.com。電腦網路 (包括網際網路) 使用 IP 地址,而不是文字名稱。網域名稱包含多個不同標籤,並以句點區隔:
TLD
最右邊的標籤稱為頂層網域 (TLD)。常見的範例包括 .com、.net 和 .edu。此外,註冊在某些國家/地區的實體 TLD 為該國家/地區名稱的縮寫,稱為國碼 (地區碼)。例如:.uk 代表英國、.ru 代表俄羅斯,而 .fr 代表法國。使用國碼 (地區碼) 時,TLD 的第二層通常用於識別註冊實體的類型。例如,.co.uk TLD 代表英國的商業企業。
Apex 網域
Apex 網域名稱包含及擴展於頂層網域。針對包含國碼 (地區碼) 的網域名稱,Apex 網域包含用來識別註冊實體類型的代碼和標籤 (如果有)。Apex 網域不包含子網域 (請參閱以下段落)。在 www.example.com 中,Apex 網域的名稱為 example.com。在 www.example.co.uk 中,Apex 網域的名稱為 example.co.uk。其他經常使用的非 Apex 名稱包括 base、bare、root、root apex 或 zone apex。
子網域
子網域名稱在 Apex 網域名稱前面,並由句號隔開。最常見的子網域名稱為 www,但也可以是任何名稱。子網域名稱也可以具有多個層級。例如,在 jake.dog.animals.example.com 中,子網域依序為 jake、dog 和 animals。
超级域名
子網域所屬的網域。
FQDN
完整網域名稱 (FQDN) 是電腦、網站或其他連接到網路或網際網路的資源的完整 DNS 名稱。例如 aws.amazon.com 是 Amazon Web Services 的 FQDN。FQDN 包含所有網域,上至頂層網域。例如,[subdomain1].[subdomain2]...[subdomainn].[apex
domain].[top–level domain] 代表 FQDN 的一般格式。
PQDN
不完整的網域名稱稱為部分網域名稱 (PQDN) 且不明確。[subdomain1.subdomain2.] 這樣的名稱屬於 PQDN,因為無法判斷根網域。
註冊
使用網域名稱的權限是由網域名稱註冊商委派。註冊商通常由網際網路名稱和數字指派公司 (ICANN) 認可。此外,其他稱為註冊機構的組織負責維護 TLD 資料庫。申請網域名稱時,註冊商會將您的資訊傳送到適當的 TLD 註冊機構。註冊機構會指派網域名稱、更新 TLD 資料庫,並將您的資訊發佈至 WHOIS。通常您必須購買網域名稱。
加密和解密
加密是提供資料機密性的程序。解密會反轉此程序並恢復原始資料。未加密的資料通常稱為純文字,無論它是否為文字。加密的資料通常稱為加密文字。用戶端和伺服器之間的訊息 HTTPS 加密會使用演算法和金鑰。演算 step-by-step法定義明文資料轉換成密文 (加密) 和密文轉換回原始明文 (解密) 的程序。在加密或解密程序中,演算法會使用金鑰。金鑰可以是私有或公有。
完整網域名稱 (FQDN)
請參閱 網域名稱。
公有金鑰基礎設施
公有金鑰基礎設施 (PKI) 包含建立、發行、管理、散佈、使用、存放和撤銷數位憑證所需的硬體、軟體、人員、政策、文件和程序。PKI 可促進資訊在電腦網路中的安全傳輸。
根憑證
憑證授權機構 (CA) 通常位於包含多個其他 CA 且清楚定義父子關係的階層結構內。下層 CA 或次級 CA 是由上層 CA 認證,並形成憑證鏈。階層頂端的 CA 稱為根 CA,其憑證稱為根憑證。此憑證通常為自我簽署。
Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 是透過電腦網路提供通訊安全的加密通訊協定。TLS 的前身是 SSL。兩者皆使用 X.509 憑證對伺服器進行身分驗證。這兩個通訊協定會在用戶端和伺服器之間交涉對稱金鑰,該金鑰則用來對兩個實體之間流動的資料進行加密。
安全 HTTPS
HTTPS 代表 HTTP over SSL/TLS,其為所有主要瀏覽器和伺服器支援的 HTTP 安全形式。所有 HTTP 請求和回應皆會先加密,再傳送到網路。HTTPS 結合 HTTP 通訊協定與對稱、非對稱和 X.509 憑證型加密技術。HTTPS 的運作方式是插入「開放系統互相連線 (OSI) 模型」中低於 HTTP 應用程式層且高於 TCP 傳輸層的加密安全層。安全層使用 Secure Sockets Layer (SSL) 通訊協定或 Transport Layer Security (TLS) 通訊協定。
SSL 伺服器憑證
HTTPS 交易需要伺服器憑證,才能對伺服器進行身分驗證。伺服器憑證是 X.509 v3 資料結構,將憑證中的公有金鑰繫結至憑證主體。SSL/TLS 憑證是由憑證授權機構 (CA) 簽署,包含伺服器名稱、有效期間、公有金鑰、簽章演算法等。
對稱金鑰加密法
對稱金鑰加密法使用相同的金鑰來加密和解密數位資料。另請參閱 非對稱金鑰加密法。
Transport Layer Security (TLS)
請參閱 Secure Sockets Layer (SSL)。
信任
為了讓 Web 瀏覽器信任網站的身分,瀏覽器必須能驗證網站的憑證。不過,瀏覽器只信任少數稱為 CA 根憑證的憑證。稱為憑證授權機構 (CA) 的信任第三方會驗證網站的身分,並將已簽署的數位憑證發給網站的營運商。然後,瀏覽器便可檢查數位簽章,以驗證網站的身分。如果驗證成功,瀏覽器會在網址列中顯示鎖定圖示。
