Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Qu'est-ce que c'est Autorité de certification privée AWS ? Autorité de certification privée AWS permet de créer des hiérarchies d'autorités de certification (CA) privées, y compris racine et subordonnée CAs, sans les coûts d'investissement et de maintenance liés à l'exploitation d'une autorité de certification sur site. Votre particulier CAs peut émettre des certificats X.509 d'entité finale utiles dans des scénarios tels que : + Création de canaux de communication TLS chiffrés + Authentification d'utilisateurs, d'ordinateurs, de points de terminaison d'API et d'appareils IoT + Signature de code par cryptographie + Mise en œuvre du protocole OCSP (Online Certificate Status Protocol) pour obtenir le statut de révocation de certificats Autorité de certification privée AWS les opérations sont accessibles depuis le AWS Management Console, à l'aide de l' Autorité de certification privée AWS API ou à l'aide du AWS CLI. **Topics** + [ ## Disponibilité régionale pour AWS Autorité de certification privée ](#PcaRegions) + [ ## Services intégrés à AWS Autorité de certification privée ](#PcaIntegratedServices) + [ ## Algorithmes cryptographiques pris en charge dans AWS Autorité de certification privée ](#supported-algorithms) + [ ## Conformité à la RFC 5280 dans AWS Autorité de certification privée ](#RFC-compliance) + [ ## Tarification pour AWS Autorité de certification privée ](#PcaPricing) + [ # Termes et concepts pour AWS CA privée ](PcaTerms.md) ## Disponibilité régionale pour AWS Autorité de certification privée Disponibilité par région Comme la plupart AWS des ressources, les autorités de certification privées (CAs) sont des ressources régionales. Pour utiliser CAs le mode privé dans plusieurs régions, vous devez créer le vôtre CAs dans ces régions. Vous ne pouvez pas copier en mode privé CAs entre les régions. Consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) dans la *Références générales AWS* ou le [Tableau des régions AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) pour consulter la disponibilité régionale pour Autorité de certification privée AWS. **Note** ACM est actuellement disponible dans certaines régions, mais ce n' Autorité de certification privée AWS est pas le cas. ## Services intégrés à AWS Autorité de certification privée Services intégrés Si vous demandez AWS Certificate Manager un certificat privé, vous pouvez associer ce certificat à n'importe quel service intégré à ACM. Cela s'applique à la fois aux certificats liés à une Autorité de certification privée AWS racine et aux certificats liés à une racine externe. Pour plus d'informations, consultez la section [Services intégrés](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) dans le guide de AWS Certificate Manager l'utilisateur. Vous pouvez également intégrer le mode privé CAs dans Amazon Elastic Kubernetes Service pour permettre l'émission de certificats au sein d'un cluster Kubernetes. Pour de plus amples informations, veuillez consulter [Sécurisez Kubernetes avec AWS Autorité de certification privée](PcaKubernetes.md). **Note** Amazon Elastic Kubernetes Service n'est pas un service intégré ACM. Si vous utilisez l' Autorité de certification privée AWS API, AWS CLI pour émettre un certificat ou pour exporter un certificat privé depuis ACM, vous pouvez installer le certificat où vous le souhaitez. ## Algorithmes cryptographiques pris en charge dans AWS Autorité de certification privée Algorithmes pris en chargeSupporte désormais SM2 la région de la Chine AWS CA privée prend désormais en charge l'algorithme de SM2 signature, pour la région Chine uniquement. Autorité de certification privée AWS prend en charge les algorithmes cryptographiques suivants pour la génération de clés privées et la signature de certificats. **Algorithme supporté** | Algorithmes à clé privée | Algorithmes de signature | | --- | --- | | ML\$1DSA\$144 ML\$1DSA\$165 ML\$1DSA\$187 RSA\$12048 RSA\$13072 RSA\$14096 EC\$1Prime 256v1 EC\$1SECP384R1 EC\$1SECP521R1 SM2 (Régions de Chine uniquement) | ML\$1DSA\$144ML\$1DSA\$165ML\$1DSA\$187 SHA256AVEC RSASHA384AVEC RSASHA512AVEC RSASHA256AVEC ECDSA SHA384AVEC ECDSASHA512AVEC ECDSASM3WITHSM2 | Cette liste s'applique uniquement aux certificats émis directement par le Autorité de certification privée AWS biais de sa console, de son API ou de sa ligne de commande. Lorsqu'il AWS Certificate Manager émet des certificats à l'aide d'une autorité de certification Autorité de certification privée AWS, celui-ci prend en charge certains de ces algorithmes, mais pas tous. Pour plus d'informations, consultez la section [Demander un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) dans le guide de AWS Certificate Manager l'utilisateur. **Note** Pour RSA ou ECDSA, la famille d'algorithmes de signature spécifiée doit correspondre à la famille d'algorithmes de clé de la clé privée de l'autorité de certification. Pour ML-DSA, la fonction de hachage est définie dans le cadre de l'algorithme lui-même. Il n'existe aucune option permettant de sélectionner une fonction de hachage différente avec ML-DSA. Pour maintenir la rétrocompatibilité avec le APIs, la même valeur est utilisée pour l'algorithme de clé et l'algorithme de signature. ## Conformité à la RFC 5280 dans AWS Autorité de certification privée Conformité à la norme RFC 5280 Autorité de certification privée AWS n'applique pas certaines contraintes définies dans la [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280). La situation inverse est également vraie : certaines contraintes supplémentaires appropriées à une autorité de certification privée sont appliquées. **Appliqué** + [Pas après la date](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5). Conformément à la [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), Autorité de certification privée AWS empêche l'émission de certificats ayant une date `Not After` postérieure à la date `Not After` du certificat d'une autorité de certification émettrice. + [Contraintes de base](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). Autorité de certification privée AWS applique les contraintes de base et la longueur du chemin dans les certificats CA importés. Les contraintes basiques indiquent si la ressource identifiée par le certificat est une autorité de certification ou non et peut émettre des certificats. Les certificats d'une autorité de certification importés dans Autorité de certification privée AWS doivent inclure l'extension des contraintes basiques et l'extension doit être marquée `critical`. En plus du `critical` drapeau, `CA=true` il doit être installé. Autorité de certification privée AWS applique les contraintes de base en échouant avec une exception de validation pour les raisons suivantes : + L'extension n'est pas incluse dans le certificat d'une autorité de certification. + L'extension n'est pas marquée `critical`. La longueur du chemin ([pathLenConstraint](PcaTerms.md#terms-pathlength)) détermine le nombre de subordonnés qui CAs peuvent exister en aval du certificat CA importé. Autorité de certification privée AWS applique la longueur du chemin en échouant avec une exception de validation pour les raisons suivantes : + L'importation d'un certificat d'une autorité de certification violerait la contrainte de longueur du chemin d'accès dans le certificat d'une autorité de certification ou dans tout certificat d'une autorité de certification de la chaîne. + L'émission d'un certificat violerait une contrainte de longueur de chemin d'accès. + Les [contraintes de nom](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) indiquent un espace de nom dans lequel doivent figurer tous les noms de sujets figurant dans les certificats suivants d'un chemin de certification. Des restrictions s'appliquent au nom distinctif du sujet et aux noms alternatifs du sujet. **Non appliqué** + [Politiques en matière de certificats](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Les politiques de certification régissent les conditions dans lesquelles une autorité de certification émet des certificats. + [Empêchez AnyPolicy](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Utilisé dans les certificats délivrés àCAs. + [Nom alternatif de l'émetteur](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Permet d'associer des identités supplémentaires à l'émetteur du certificat CA. + [Contraintes politiques](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Ces contraintes limitent la capacité d'une autorité de certification à émettre des certificats d'une autorité de certification subordonnée. + [Mappages de politiques](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Utilisé dans les certificats CA. Répertorie une ou plusieurs paires de OIDs ; chaque paire inclut un issuerDomainPolicy et unsubjectDomainPolicy. + [Attributs du répertoire des sujets](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Utilisé pour transmettre les attributs d'identification du sujet. + [Accès aux informations sur le sujet](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). Comment accéder aux informations et aux services relatifs au sujet du certificat dans lequel apparaît l'extension. + [Identifiant de clé d'objet (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) et [Identifiant de clé d'autorité (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). La RFC exige un certificat d'une autorité de certification pour contenir l'extension SKI. Les certificats émis par l'autorité de certification doivent contenir une extension AKI correspondant au SKI du certificat de l'autorité de certification. AWS ne fait pas appliquer ces exigences. Si votre certificat d'une autorité de certification ne contient pas de SKI, l'entité finale ou le certificat d'une autorité de certification subordonnée AKI sera à la place le hachage SHA-1 de la clé publique de l'auteur. + [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)et [nom alternatif du sujet (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Lors de l'émission d'un certificat, Autorité de certification privée AWS copie les extensions SAN SubjectPublicKeyInfo et à partir du CSR fourni sans effectuer de validation. ## Tarification pour AWS Autorité de certification privée Tarification Un tarif mensuel est facturé à votre compte pour chaque autorité de certification privée à partir du moment où vous l'avez créée. Vous êtes également facturé pour chaque certificat que vous émettez. Ces frais incluent les certificats que vous exportez depuis ACM et les certificats que vous créez à partir de l' Autorité de certification privée AWS API ou de la Autorité de certification privée AWS CLI. Vous n'êtes pas facturé pour l'autorité de certification privée après sa suppression. Toutefois, si vous restaurez une autorité de certification privée, vous serez facturé pour la durée écoulée entre la suppression et la restauration. Les certificats privés pour lesquels vous ne disposez d'aucun accès à la clé privée sont gratuits. Il s'agit notamment des certificats utilisés avec [des services intégrés](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) tels que Elastic Load Balancing et API Gateway. CloudFront Pour obtenir les dernières informations sur Autorité de certification privée AWS les prix, consultez la section [AWS Autorité de certification privée Tarification](https://aws.amazon.com/private-ca/pricing/). Vous pouvez également utiliser le [calculateur de AWS prix](https://calculator.aws/#/createCalculator/certificateManager) pour estimer les coûts. # Termes et concepts pour AWS CA privée Les termes et concepts suivants peuvent vous aider dans votre travail AWS Autorité de certification privée. **Topics** + [ ## Approbation ](#terms-trust) + [ ## Certificats de serveur TLS ](#terms-tlscert) + [ ## Signature du certificat ](#terms-signing) + [ ## Autorité de certification ](#terms-ca) + [ ## Root CA ](#terms-rootca) + [ ## Certificat CA ](#terms-ca-cert) + [ ## Certificat racine de l'autorité de certification ](#terms-root) + [ ## Certificat d'entité finale ](#terms-endentity) + [ ## Certificats auto-signés ](#terms-selfsignedcert) + [ ## Certificat privé ](#terms-pca-cert) + [ ## Chemin de certificat ](#terms-certpath) + [ ## Contrainte de longueur de chemin ](#terms-pathlength) ## Approbation Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse. ## Certificats de serveur TLS Les transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet du certificat. Un certificat TLS est signé par une autorité de certification (CA). Il contient le nom du serveur, la période de validité, la clé publique l'algorithme de signature, ainsi que d'autres données. ## Signature du certificat Une signature numérique est un hachage chiffré sur un certificat. Une signature est utilisée pour confirmer l'intégrité des données du certificat. Votre autorité de certification privée crée une signature à l'aide d'une fonction de hachage cryptographique, par exemple SHA256 sur le contenu du certificat de taille variable. Cette fonction de hachage produit une chaîne de données de taille fixe qu'il n'est, de fait, pas possible de falsifier. Cette chaîne est appelée un hachage. L'autorité de certification chiffre ensuite la valeur de hachage avec sa clé privée et concatène le hachage chiffré avec le certificat. ## Autorité de certification Une autorité de certification émet et, si nécessaire, révoque des certificats numériques. Le type le plus courant de certificat repose sur la norme ISO X.509. Un certificat X.509 confirme l'identité de l'objet du certificat et lie cette identité à une clé publique. L'objet peut être un utilisateur, une application, un ordinateur ou un autre appareil. L'autorité de certification signe un certificat en hachant le contenu, puis en chiffrant le hachage avec la clé privée associée à la clé publique du certificat. Une application cliente, par exemple un navigateur web qui doit confirmer l'identité d'un objet, utilise la clé publique pour déchiffrer la signature du certificat. Ensuite, elle hache le contenu du certificat et compare la valeur hachée à la signature déchiffrée pour déterminer si elles correspondent. Pour plus d'informations sur la signature des certificats, consultez [Signature du certificat](#terms-signing). Vous pouvez l'utiliser Autorité de certification privée AWS pour créer une autorité de certification privée et utiliser l'autorité de certification privée pour émettre des certificats. Votre autorité de certification privée émet uniquement des SSL/TLS certificats privés destinés à être utilisés au sein de votre organisation. Pour de plus amples informations, veuillez consulter [Certificat privé](#terms-pca-cert). Votre autorité de certification privée nécessite également un certificat avant que vous puissiez l'utiliser. Pour de plus amples informations, veuillez consulter [Certificat CA](#terms-ca-cert). ## Root CA Bloc de construction cryptographique et source de confiance à parti desquels des certificats peuvent être émis. Elle est composée d'une clé privée pour la signature (émission) de certificats et d'un certificat racine qui identifie l'autorité de certification racine et lie la clé privée au nom de l'autorité de certification. Le certificat racine est distribué aux magasins de confiance de chaque entité d'un environnement. Les administrateurs créent des magasins de confiance pour n'inclure CAs que ceux auxquels ils font confiance. Les administrateurs mettent à jour ou intègrent les magasins de confiance dans les systèmes d'exploitation, les instances et les images des machines hôtes des entités de leur environnement. Lorsque des ressources tentent de se connecter les unes aux autres, elles vérifient les certificats que présente chaque entité. Un client vérifie la validité des certificats et vérifie si une chaîne existe du certificat vers un certificat racine installé dans le magasin d'approbation. Si ces conditions sont remplies, une « poignée de main » est établie entre les ressources. Cette liaison prouve à l'aide d'un chiffrement l'identité de chaque entité à l'autre et crée un canal de communication chiffré (TLS/SSL) entre elles. ## Certificat CA Le certificat d'une autorité de certification confirme l'identité de l'autorité de certification et la lie à la clé publique figurant dans le certificat. Vous pouvez l'utiliser Autorité de certification privée AWS pour créer une autorité de certification racine privée ou une autorité de certification subordonnée privée, chacune étant soutenue par un certificat d'autorité de certification. Les certificats d'une autorité de certification subordonnée sont signés par un autre certificat d'une autorité de certification supérieur dans une chaîne de confiance. Cependant, le certificat est auto-signé pour les autorités de certification racines. Vous pouvez également établir une autorité racine externe (hébergée sur site, par exemple). Vous pouvez ensuite utiliser votre autorité racine pour signer un certificat d'une autorité de certification racine subordonnée hébergé par Autorité de certification privée AWS. L'exemple suivant montre les champs typiques contenus dans un certificat CA Autorité de certification privée AWS X.509. Notez que pour le certificat d'une autorité de certification, la valeur `CA:` du champ `Basic Constraints` est définie sur `TRUE`. ``` Certificate: Data: Version: 3 (0x2) Serial Number: 4121 (0x1019) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com Validity Not Before: Feb 26 20:27:56 2018 GMT Not After : Feb 24 20:27:56 2028 GMT Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:c0: ... a3:4a:51 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9 X509v3 Authority Key Identifier: keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, CRL Sign Signature Algorithm: sha256WithRSAEncryption 6:bb:94: ... 80:d8 ``` ## Certificat racine de l'autorité de certification Une autorité de certification (CA) existe généralement au sein d'une structure hiérarchique qui en contient plusieurs autres CAs avec des relations parent—enfant clairement définies entre elles. L'enfant ou le subordonné CAs est certifié par son parent CAs, ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé. ## Certificat d'entité finale Un certificat d'entité finale identifie une ressource, telle qu'un serveur, une instance, un conteneur ou un appareil. Contrairement aux certificats CA, les certificats d'entité finale ne peuvent pas être utilisés pour émettre des certificats. Les autres termes courants pour désigner le certificat d'entité finale sont le certificat « client » ou le certificat « feuille ». ## Certificats auto-signés Certificat signé par l'émetteur au lieu d'une autorité de certification supérieure. Contrairement aux certificats émis à partir d'une racine sécurisée gérée par une autorité de certification, les certificats auto-signés agissent comme leur propre racine et présentent donc des limites importantes : ils peuvent être utilisés pour fournir un chiffrement filaire mais pas pour vérifier l'identité, et ils ne peuvent pas être révoqués. Du point de vue de la sécurité, ils ne sont pas acceptables. Cependant, les organisations les utilisent quand même, car ils sont faciles à générer, qu'ils ne nécessitent aucune expertise ni infrastructure, et que de nombreuses applications les acceptent. Aucun contrôle n'est en place pour l'émission de certificats auto-signés. Les organisations qui les utilisent encourent de plus grands risques de panne étant donné qu'elles n'ont aucun moyen d'effectuer le suivi des dates d'expiration des certificats. ## Certificat privé Autorité de certification privée AWS les certificats sont SSL/TLS des certificats privés que vous pouvez utiliser au sein de votre organisation, mais qui ne sont pas fiables sur l'Internet public. Utilisez-les pour identifier les ressources telles que les clients, les serveurs, les applications, les services, les appareils et les utilisateurs. Lorsque vous établissez un canal de communication chiffré sécurisé, chaque ressource utilise un certificat similaire à l'exemple suivant, ainsi que des techniques cryptographiques pour prouver son identité à une autre ressource. Les points de terminaison des API internes, les serveurs web, les utilisateurs VPN, les appareils IoT et de nombreuses autres applications utilisent des certificats privés pour établir des canaux de communication chiffrés nécessaires pour fonctionner en toute sécurité. Par défaut, les certificats privés ne sont pas approuvés publiquement. Un administrateur interne doit explicitement configurer des applications pour approuver les certificats privés et distribuer les certificats. ``` Certificate: Data: Version: 3 (0x2) Serial Number: e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com Validity Not Before: Feb 26 18:39:57 2018 GMT Not After : Feb 26 19:39:57 2019 GMT Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00...c7 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65 X509v3 Subject Key Identifier: C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl Signature Algorithm: sha256WithRSAEncryption 58:32:...:53 ``` ## Chemin de certificat Un client qui s'appuie sur un certificat valide l'existence d'un chemin entre le certificat d'entité finale, éventuellement via une chaîne de certificats intermédiaires, et une racine fiable. Le client vérifie que chaque certificat le long du chemin est valide (non révoqué). Il vérifie également que le certificat d'entité finale n'a pas expiré, qu'il est intègre (qu'il n'a pas été falsifié ou modifié) et que les contraintes du certificat sont appliquées. ## Contrainte de longueur de chemin Les contraintes de base *pathLenConstraint*d'un certificat CA définissent le nombre de certificats CA subordonnés qui peuvent exister dans la chaîne inférieure. Par exemple, un certificat CA avec une contrainte de longueur de chemin de zéro ne peut pas avoir de subordonné. CAs Une autorité de certification soumise à une contrainte de longueur de chemin de 1 peut avoir jusqu'à un niveau de subordonné CAs en dessous. La [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) définit cela comme « le nombre maximum de certificats non-self-issued intermédiaires qui peuvent suivre ce certificat dans un chemin de certification valide ». La valeur de longueur du chemin exclut le certificat d'entité finale, bien que le langage informel concernant la « longueur » ou la « profondeur » d'une chaîne de validation puisse l'inclure... ce qui prête à confusion.