本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Certificate Manager 概念
本節提供 使用的概念定義 AWS Certificate Manager。
**Topics**
+ [ACM 憑證](#concept-acm-cert)
+ [ACM 根 CA](#ACM-root-CAs)
+ [Apex 網域](#concept-apex)
+ [非對稱金鑰加密法](#concept-asymmetric)
+ [憑證授權單位](#concept-ca)
+ [憑證透明度記錄](#concept-transparency)
+ [網域名稱系統](#concept-dns)
+ [網域名稱](#concept-dn)
+ [加密和解密](#concept-encrypt)
+ [完整網域名稱 (FQDN)](#concept-fqdn)
+ [超文字傳輸通訊協定 (HTTP)](#concept-http)
+ [公有金鑰基礎設施 (PKI)](#concept-pki)
+ [根憑證](#concept-root)
+ [Secure Sockets Layer (SSL)](#concept-ssl)
+ [安全 HTTPS](#concept-https)
+ [SSL 伺服器憑證](#concept-sslcert)
+ [對稱金鑰加密法](#concept-symmetric)
+ [Transport Layer Security (TLS)](#concept-tls)
+ [信任](#concept-trust)
## ACM 憑證
ACM 會產生 X.509 第 3 版憑證。每個 的有效期為 198 天,並包含下列擴充功能。
+ **基本限制** - 指定憑證主體是否是認證機構 (CA)。
+ **授權機構金鑰識別符** - 支援識別與用於簽署憑證的私有金鑰對應的公有金鑰。
+ **主體金鑰識別符** - 支援識別包含特定公有金鑰的憑證。
+ **金鑰使用** - 定義內嵌於憑證的公有金鑰的用途。
+ **擴充金鑰使用** - 除了**金鑰使用**延伸所指定的用途外,為公有金鑰指定的一個或多個用途。
**重要**
自 2025 年 6 月 11 日起, AWS Certificate Manager 不再發行具有「TLS Web Client Authentication」(clientAuth) 擴充金鑰用量 (EKU) 的憑證,以符合網站憑證的新瀏覽器需求。
+ **CRL 分佈點** - 指定可取得 CRL 資訊的位置。
ACM 所發行憑證的純文字類似於以下範例:
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
Signature Algorithm: sha256WithRSAEncryption
Issuer: O=Example CA
Validity
Not Before: Jan 30 18:46:53 2018 GMT
Not After : Jan 31 19:46:53 2018 GMT
Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
08:73
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
X509v3 Subject Key Identifier:
97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://example.com/crl
Signature Algorithm: sha256WithRSAEncryption
69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
12:b9:35:d5
```
## ACM 根 CA
ACM 發行的公有最終實體憑證會從下列 Amazon 根 CA 衍生其信任:
****
| 辨別名稱 | 加密演算法 |
| --- | --- |
| CN=Amazon 根 CA 1、O=Amazon、C=美國 | 2048 位元 RSA (RSA\$12048) |
| CN=Amazon 根 CA 2、O=Amazon、C=美國 | 4096 位元 RSA (RSA\$14096) |
| CN=Amazon 根 CA 3、O=Amazon、C=美國 | 橢圓主要曲線 256 位元 (EC\$1prime256v1) |
| CN=Amazon 根 CA 4、O=Amazon、C=美國 | 橢圓主要曲線 384 位元 (EC\$1secp384r1) |
ACM 發行憑證的預設信任根是 CN=Amazon 根 CA 1、O=Amazon、C=US,這可提供 2048 位元 RSA 安全性。其他根保留供日後使用。所有根都是由 Starfield Services Root Certificate Authority 憑證交叉簽署。
如需詳細資訊,請參閱 [Amazon Trust Services](https://www.amazontrust.com/repository/)。
## Apex 網域
請參閱 [網域名稱](#concept-dn)。
## 非對稱金鑰加密法
與[對稱金鑰加密法](#concept-symmetric)不同,非對稱加密法使用不同但屬於數學算法的金鑰來加密和解密內容。其中一個金鑰為公有,且通常包含於 X.509 v3 憑證。另一個金鑰為私有,且存放在安全的位置。X.509 憑證會將使用者、電腦或其他資源 (憑證主體) 的身分繫結至公有金鑰。
ACM 憑證是 X.509 SSL/TLS 憑證,它會將您網站的身分和組織的詳細資訊繫結至憑證中包含的公有金鑰。ACM 會使用 AWS KMS key 來加密私有金鑰。如需詳細資訊,請參閱[憑證私有金鑰的安全性](data-protection.md#kms)。
## 憑證授權單位
憑證授權機構 (CA) 是發行數位憑證的實體。商業上,最常見的數位憑證類型是根據 ISO X.509 標準。CA 發行已簽署的數位憑證,以確認憑證主體的身分並將該身分繫結至憑證中包含的公有金鑰。CA 通常還會管理憑證撤銷。
## 憑證透明度記錄
為了防備因失誤而發行或由遭入侵的 CA 發行的 SSL/TLS 憑證,某些瀏覽器要求為您網域發行的公有憑證必須記錄在憑證透明度日誌中。網域名稱會被記錄。私有金鑰不會被記錄。未記錄的憑證通常會在瀏覽器中產生錯誤。
您可以監控日誌,以確保只為您的網域發行已獲得您授權的憑證。您可以使用 [Certificate Search](https://crt.sh/) 等服務來檢查日誌。
在 Amazon CA 為您的網域發行公開信任的 SSL/TLS 憑證前,它會將憑證提交到至少三個憑證透明度日誌伺服器。這些伺服器會將憑證加入其公有資料庫,並將已簽署的憑證時間戳記 (SCT) 傳回到 Amazon CA。然後,CA 會將 SCT 嵌入憑證中,簽署憑證,並發行給您。時間戳記會隨附於其他 X.509 延伸。
```
X509v3 extensions:
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1(0)
Log ID : BB:D9:DF:...8E:1E:D1:85
Timestamp : Apr 24 23:43:15.598 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:...18:CB:79:2F
Signed Certificate Timestamp:
Version : v1(0)
Log ID : 87:75:BF:...A0:83:0F
Timestamp : Apr 24 23:43:15.565 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:...29:8F:6C
```
憑證透明度記錄會在您請求或續約憑證時自動執行,除非您選擇退出。如需選擇退出的詳細資訊,請參閱[取消使用憑證透明度記錄功能](acm-bestpractices.md#best-practices-transparency)。
## 網域名稱系統
網域名稱系統 (DNS) 是階層分散式命名系統,適用於連接到網際網路或私有網路的電腦和其他資源。DNS 主要用於將文字網域名稱 (例如 `aws.amazon.com`) 轉換成形式為 `111.122.133.144` 的數字 IP (網際網路通訊協定) 地址。不過,您網域的 DNS 資料庫包含一些其他用途的記錄。例如,當您透過 ACM 請求憑證時,可以使用 CNAME 記錄來驗證您擁有或控制某個網域。如需詳細資訊,請參閱[AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。
## 網域名稱
網域名稱為可由網域名稱系統 (DNS) 轉換為 IP 地址的文字字串,例如 `www.example.com`。電腦網路 (包括網際網路) 使用 IP 地址,而不是文字名稱。網域名稱包含多個不同標籤,並以句點區隔:
**TLD**
最右邊的標籤稱為頂層網域 (TLD)。常見的範例包括 `.com`、`.net` 和 `.edu`。此外,註冊在某些國家/地區的實體 TLD 為該國家/地區名稱的縮寫,稱為國碼 (地區碼)。例如:`.uk` 代表英國、`.ru` 代表俄羅斯,而 `.fr` 代表法國。使用國碼 (地區碼) 時,TLD 的第二層通常用於識別註冊實體的類型。例如,`.co.uk` TLD 代表英國的商業企業。
**Apex 網域**
Apex 網域名稱包含及擴展於頂層網域。針對包含國碼 (地區碼) 的網域名稱,Apex 網域包含用來識別註冊實體類型的代碼和標籤 (如果有)。Apex 網域不包含子網域 (請參閱以下段落)。在 `www.example.com` 中,Apex 網域的名稱為 `example.com`。在 `www.example.co.uk` 中,Apex 網域的名稱為 `example.co.uk`。其他經常使用的非 Apex 名稱包括 base、bare、root、root apex 或 zone apex。
**子網域**
子網域名稱在 Apex 網域名稱前面,並由句號隔開。最常見的子網域名稱為 `www`,但也可以是任何名稱。子網域名稱也可以具有多個層級。例如,在 `jake.dog.animals.example.com` 中,子網域依序為 `jake`、`dog` 和 `animals`。
**超級網域**
子網域所屬的網域。
**FQDN**
完整網域名稱 (FQDN) 是電腦、網站或其他連接到網路或網際網路的資源的完整 DNS 名稱。例如 `aws.amazon.com` 是 Amazon Web Services 的 FQDN。FQDN 包含所有網域,上至頂層網域。例如,`[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]` 代表 FQDN 的一般格式。
**PQDN**
不完整的網域名稱稱為部分網域名稱 (PQDN) 且不明確。`[subdomain1.subdomain2.]` 這樣的名稱屬於 PQDN,因為無法判斷根網域。
## 加密和解密
加密是提供資料機密性的程序。解密會反轉此程序並恢復原始資料。未加密的資料通常稱為純文字,無論它是否為文字。加密的資料通常稱為加密文字。用戶端和伺服器之間的訊息 HTTPS 加密會使用演算法和金鑰。演算法定義將純文字資料轉換為加密文字 (加密) 以及將加密文字轉換回原始純文字 (解密) 的逐步程序。在加密或解密程序中,演算法會使用金鑰。金鑰可以是私有或公有。
## 完整網域名稱 (FQDN)
請參閱 [網域名稱](#concept-dn)。
## 超文字傳輸通訊協定 (HTTP)
超文字傳輸通訊協定 (HTTP) 是全球資訊網資料通訊的基礎。它是一種應用程式層通訊協定,可交換各種內容類型。HTTP 會在用戶端-伺服器模型上運作,其中 Web 瀏覽器通常做為用戶端,向 Web 伺服器請求資源。作為無狀態通訊協定,HTTP 會獨立處理每個請求,而不會保留先前請求的資訊。
在 ACM 的內容中,HTTP 可在發行 SSL/TLS 憑證時用於網域驗證。此程序涉及 ACM 傳送特定 HTTP 請求以驗證網域擁有權。伺服器正確回應這些請求的能力顯示了對網域的控制。
與電子郵件或 DNS 驗證的憑證不同,ACM 客戶無法直接從 ACM 發行 HTTP 驗證的憑證。反之,這些憑證會在 CloudFront 佈建程序中自動發行和管理。客戶可以使用 ACM 檢視、監控和管理這些憑證,但初始發行是由 ACM 和 CloudFront 之間的整合處理。
雖然 HTTP 受到廣泛使用,但請務必注意,它會以純文字傳輸資料。為了安全通訊,會使用 HTTPS (HTTP Secure),這會使用 SSL/TLS 通訊協定來加密資料。如需安全通訊的詳細資訊,請參閱[安全 HTTPS](#concept-https)。
## 公有金鑰基礎設施 (PKI)
公有金鑰基礎設施 (PKI) 是一種程序、技術和政策的系統,可透過公有網路進行安全通訊。在 ACM 環境中,PKI 在數位憑證的發行、管理和驗證中扮演重要角色。PKI 使用一對密碼編譯金鑰:自由分配的公有金鑰,以及由擁有者保密的私有金鑰。此系統允許安全資料傳輸、數位簽章和數位實體的身分驗證。
ACM 實作 PKI 的數個關鍵元件。它充當憑證授權機構 (CA),這是可信任的第三方,可發出數位憑證,將公有金鑰繫結至網域或組織等實體。ACM 發行 X.509 憑證,其中包含實體、其公有金鑰和憑證有效期間的相關資訊。它還處理憑證的完整生命週期,包括發行、續約和撤銷。為了確保憑證請求的合法性,ACM 支援各種方法來驗證網域擁有權,例如 DNS 驗證和 HTTP 驗證。
透過利用 PKI,ACM 可為 AWS 資源和應用程式啟用安全的 HTTPS 連線、數位簽章和加密通訊。此基礎設施對於維護透過網際網路傳輸之資料的機密性、完整性和真實性至關重要。如需 ACM 如何實作 PKI 的詳細資訊,請參閱 [AWS Certificate Manager 憑證入門](gs.md)。
## 根憑證
憑證授權機構 (CA) 通常位於包含多個其他 CA 且清楚定義父子關係的階層結構內。下層 CA 或次級 CA 是由上層 CA 認證,並形成憑證鏈。階層頂端的 CA 稱為根 CA,其憑證稱為根憑證。此憑證通常為自我簽署。
## Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 是透過電腦網路提供通訊安全的加密通訊協定。TLS 的前身是 SSL。兩者皆使用 X.509 憑證對伺服器進行身分驗證。這兩個通訊協定會在用戶端和伺服器之間交涉對稱金鑰,該金鑰則用來對兩個實體之間流動的資料進行加密。
## 安全 HTTPS
HTTPS 代表 HTTP over SSL/TLS,其為所有主要瀏覽器和伺服器支援的 HTTP 安全形式。所有 HTTP 請求和回應皆會先加密,再傳送到網路。HTTPS 結合 HTTP 通訊協定與對稱、非對稱和 X.509 憑證型加密技術。HTTPS 的運作方式是插入「開放系統互相連線 (OSI) 模型」中低於 HTTP 應用程式層且高於 TCP 傳輸層的加密安全層。安全層使用 Secure Sockets Layer (SSL) 通訊協定或 Transport Layer Security (TLS) 通訊協定。
## SSL 伺服器憑證
HTTPS 交易需要伺服器憑證,才能對伺服器進行身分驗證。伺服器憑證是 X.509 v3 資料結構,將憑證中的公有金鑰繫結至憑證主體。SSL/TLS 憑證是由憑證授權機構 (CA) 簽署,包含伺服器名稱、有效期間、公有金鑰、簽章演算法等。
## 對稱金鑰加密法
對稱金鑰加密法使用相同的金鑰來加密和解密數位資料。另請參閱[非對稱金鑰加密法](#concept-asymmetric)。
## Transport Layer Security (TLS)
請參閱 [Secure Sockets Layer (SSL)](#concept-ssl)。
## 信任
為了讓 Web 瀏覽器信任網站的身分,瀏覽器必須能驗證網站的憑證。不過,瀏覽器只信任少數稱為 CA 根憑證的憑證。稱為憑證授權機構 (CA) 的信任第三方會驗證網站的身分,並將已簽署的數位憑證發給網站的營運商。然後,瀏覽器便可檢查數位簽章,以驗證網站的身分。如果驗證成功,瀏覽器會在網址列中顯示鎖定圖示。