Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Certificate Manager konsep
Bagian ini memberikan definisi konsep yang digunakan oleh AWS Certificate Manager.
**Topics**
+ [Sertifikat ACM](#concept-acm-cert)
+ [Akar ACM CAs](#ACM-root-CAs)
+ [Domain Apex](#concept-apex)
+ [Kriptografi Kunci Asimetris](#concept-asymmetric)
+ [Otoritas Sertifikat](#concept-ca)
+ [Pencatatan Transparansi Sertifikat](#concept-transparency)
+ [Domain Name System](#concept-dns)
+ [Nama Domain](#concept-dn)
+ [Enkripsi dan Dekripsi](#concept-encrypt)
+ [Nama Domain Berkualitas Penuh (FQDN)](#concept-fqdn)
+ [Protokol Transfer Hiperteks (HTTP)](#concept-http)
+ [Infrastruktur Kunci Publik (PKI)](#concept-pki)
+ [Sertifikat Akar](#concept-root)
+ [Secure Sockets Layer (SSL)](#concept-ssl)
+ [HTTPS aman](#concept-https)
+ [Sertifikat Server SSL](#concept-sslcert)
+ [Kriptografi Kunci Simetris](#concept-symmetric)
+ [Keamanan Lapisan Pengangkutan (TLS)](#concept-tls)
+ [Percaya](#concept-trust)
## Sertifikat ACM
ACM menghasilkan sertifikat X.509 versi 3. Masing-masing berlaku selama 198 hari dan berisi ekstensi berikut.
+ **Kendala Dasar** - menentukan apakah subjek sertifikat adalah otoritas sertifikasi (CA)
+ **Authority Key Identifier** - memungkinkan identifikasi kunci publik yang sesuai dengan kunci pribadi yang digunakan untuk menandatangani sertifikat.
+ **Subject Key Identifier** - memungkinkan identifikasi sertifikat yang berisi kunci publik tertentu.
+ **Penggunaan Kunci** - mendefinisikan tujuan kunci publik yang tertanam dalam sertifikat.
+ **Penggunaan Kunci yang Diperpanjang** - menentukan satu atau lebih tujuan yang dapat digunakan kunci publik selain tujuan yang ditentukan oleh ekstensi **Penggunaan Kunci**.
**penting**
Efektif 11 Juni 2025 AWS Certificate Manager tidak lagi menerbitkan sertifikat dengan “TLS Web Client Authentication” (ClientAuth) extended key usage (EKU) untuk menyelaraskan dengan persyaratan browser baru untuk sertifikat situs web.
+ **Titik Distribusi CRL** - menentukan di mana informasi CRL dapat diperoleh.
Teks biasa dari sertifikat yang dikeluarkan ACM menyerupai contoh berikut:
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
Signature Algorithm: sha256WithRSAEncryption
Issuer: O=Example CA
Validity
Not Before: Jan 30 18:46:53 2018 GMT
Not After : Jan 31 19:46:53 2018 GMT
Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
08:73
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
X509v3 Subject Key Identifier:
97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://example.com/crl
Signature Algorithm: sha256WithRSAEncryption
69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
12:b9:35:d5
```
## Akar ACM CAs
Sertifikat entitas akhir publik yang dikeluarkan oleh ACM memperoleh kepercayaan mereka dari root Amazon berikut: CAs
****
| Nama yang terhormat | Enkripsi algoritme |
| --- | --- |
| cn = Amazon Root CA 1, O = Amazon, C = AS | RSA 2048-bit () RSA\_2048 |
| cn = Amazon Root CA 2, O = Amazon, C = AS | RSA 4096-bit () RSA\_4096 |
| cn = Amazon Root CA 3, O = Amazon, C = AS | Kurva Perdana Elips 256 bit () EC\_prime256v1 |
| cn = Amazon Root CA 4, O = Amazon, C = AS | Kurva Perdana Elips 384 bit () EC\_secp384r1 |
Akar kepercayaan default untuk sertifikat yang dikeluarkan ACM adalah CN = Amazon Root CA 1, O = Amazon, C = AS, yang menawarkan keamanan RSA 2048-bit. Akar lainnya dicadangkan untuk penggunaan masa depan. Semua akar ditandatangani silang oleh sertifikat Otoritas Sertifikat Root Layanan Starfield.
Untuk informasi selengkapnya, lihat [Amazon Trust Services](https://www.amazontrust.com/repository/).
## Domain Apex
Lihat [Nama Domain](#concept-dn).
## Kriptografi Kunci Asimetris
Tidak seperti[Kriptografi Kunci Simetris](#concept-symmetric), kriptografi asimetris menggunakan kunci yang berbeda tetapi terkait secara matematis untuk mengenkripsi dan mendekripsi konten. Salah satu kuncinya bersifat publik dan biasanya tersedia dalam sertifikat X.509 v3. Kunci lainnya bersifat privat dan disimpan dengan aman. Sertifikat X.509 mengikat identitas pengguna, komputer, atau sumber daya lain (subjek sertifikat) ke kunci publik.
Sertifikat ACM adalah SSL/TLS sertifikat X.509 yang mengikat identitas situs web Anda dan rincian organisasi Anda ke kunci publik yang terkandung dalam sertifikat. ACM menggunakan Anda AWS KMS key untuk mengenkripsi kunci pribadi. Untuk informasi selengkapnya, lihat [Keamanan untuk kunci pribadi sertifikat](data-protection.md#kms).
## Otoritas Sertifikat
Otoritas sertifikat (CA) adalah entitas yang mengeluarkan sertifikat digital. Secara komersial, jenis sertifikat digital yang paling umum didasarkan pada standar ISO X.509. CA mengeluarkan sertifikat digital yang ditandatangani yang menegaskan identitas subjek sertifikat dan mengikat identitas itu ke kunci publik yang terkandung dalam sertifikat. CA juga biasanya mengelola pencabutan sertifikat.
## Pencatatan Transparansi Sertifikat
Untuk menjaga terhadap SSL/TLS sertifikat yang dikeluarkan secara tidak sengaja atau oleh CA yang dikompromikan, beberapa browser mengharuskan sertifikat publik yang dikeluarkan untuk domain Anda dicatat dalam log transparansi sertifikat. Nama domain direkam. Private key tidak. Sertifikat yang tidak dicatat biasanya menghasilkan kesalahan di browser.
Anda dapat memantau log untuk memastikan bahwa hanya sertifikat yang telah Anda otorisasi telah dikeluarkan untuk domain Anda. Anda dapat menggunakan layanan seperti [Certificate Search](https://crt.sh/) untuk memeriksa log.
Sebelum Amazon CA mengeluarkan SSL/TLS sertifikat tepercaya publik untuk domain Anda, Amazon mengirimkan sertifikat ke setidaknya tiga server log transparansi sertifikat. Server ini menambahkan sertifikat ke database publik mereka dan mengembalikan stempel waktu sertifikat yang ditandatangani (SCT) ke Amazon CA. CA kemudian menyematkan SCT dalam sertifikat, menandatangani sertifikat, dan menerbitkannya kepada Anda. Stempel waktu disertakan dengan ekstensi X.509 lainnya.
```
X509v3 extensions:
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1(0)
Log ID : {{BB:D9:DF:...8E:1E:D1:85}}
Timestamp : Apr 24 23:43:15.598 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
{{30:45:02:...18:CB:79:2F}}
Signed Certificate Timestamp:
Version : v1(0)
Log ID : {{87:75:BF:...A0:83:0F}}
Timestamp : Apr 24 23:43:15.565 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
{{30:45:02:...29:8F:6C}}
```
Pencatatan transparansi sertifikat otomatis saat Anda meminta atau memperbarui sertifikat kecuali Anda memilih untuk tidak ikut serta. Untuk informasi selengkapnya tentang memilih keluar, lihat[Memilih keluar dari pencatatan transparansi sertifikat](acm-bestpractices.md#best-practices-transparency).
## Domain Name System
Domain Name System (DNS) adalah sistem penamaan terdistribusi hierarkis untuk komputer dan sumber daya lain yang terhubung ke internet atau jaringan privat. DNS terutama digunakan untuk menerjemahkan nama domain tekstual, seperti`aws.amazon.com`, ke alamat IP numerik (Internet Protocol) dari formulir. `111.122.133.144` Database DNS untuk domain Anda, bagaimanapun, berisi sejumlah catatan yang dapat digunakan untuk tujuan lain. Misalnya, dengan ACM Anda dapat menggunakan catatan CNAME untuk memvalidasi bahwa Anda memiliki atau mengontrol domain saat Anda meminta sertifikat. Untuk informasi selengkapnya, lihat [AWS Certificate Manager Validasi DNSValidasi DNS](dns-validation.md).
## Nama Domain
Nama domain adalah string teks seperti `www.example.com` yang dapat diterjemahkan oleh Domain Name System (DNS) ke alamat IP. Jaringan komputer, termasuk internet, menggunakan alamat IP, bukan nama teks. Nama domain terdiri dari label berbeda yang dipisahkan oleh periode:
**TLD**
Label paling kanan disebut domain tingkat atas (TLD). Contoh umumnya termasuk `.com`, `.net`, dan `.edu`. Selain itu, TLD untuk entitas yang terdaftar di beberapa negara adalah singkatan dari nama negara dan disebut kode negara. Contohnya termasuk `.uk` untuk Inggris, `.ru` untuk Rusia, dan `.fr` untuk Prancis. Ketika kode negara digunakan, hierarki tingkat kedua untuk TLD sering diperkenalkan untuk mengidentifikasi jenis entitas terdaftar. Misalnya, `.co.uk` TLD mengidentifikasi perusahaan komersial di Britania Raya.
**Domain Apex**
Nama domain puncak mencakup dan diperluas pada domain tingkat atas. Untuk nama domain yang menyertakan kode negara, domain apex menyertakan kode dan label, jika ada, yang mengidentifikasi jenis entitas terdaftar. Domain apex tidak menyertakan subdomain (lihat paragraf berikut). Di `www.example.com`, nama domain apexnya adalah `example.com`. Di `www.example.co.uk`, nama domain apex adalah `example.co.uk`. Nama lain yang sering digunakan sebagai pengganti apex adalah base, bare, root, root apex, atau zone apex.
**Subdomain**
Nama subdomain mendahului nama domain puncak dan dipisahkan darinya dan satu sama lain dengan titik. Nama subdomain yang paling umum adalah `www`, tetapi nama apa pun dimungkinkan. Nama subdomain juga dapat memiliki beberapa level. Misalnya, di `jake.dog.animals.example.com`, subdomainnya adalah `jake`, `dog`, dan `animals` dalam urutan itu.
**Superdomain**
Domain yang menjadi milik subdomain.
**FQDN**
Nama domain yang sepenuhnya memenuhi syarat (FQDN) adalah nama DNS lengkap untuk komputer, situs web, atau sumber daya lain yang terhubung ke jaringan atau ke internet. Misalnya `aws.amazon.com` adalah FQDN untuk Amazon Web Services. FQDN mencakup semua domain hingga domain tingkat atas. Misalnya,`[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]` mewakili format umum dari FQDN.
**PQDN**
Nama domain yang tidak sepenuhnya memenuhi syarat disebut nama domain yang memenuhi syarat sebagian (PQDN) dan bersifat ambigu. Nama seperti `[subdomain1.subdomain2.]` adalah PQDN karena domain akar tidak dapat ditentukan.
## Enkripsi dan Dekripsi
Enkripsi adalah proses penyediaan kerahasiaan data. Dekripsi membalikkan proses dan memulihkan data asli. Data yang tidak terenkripsi biasanya disebut plaintext apakah itu teks atau bukan. Data terenkripsi biasanya disebut ciphertext. Enkripsi HTTPS pesan antara klien dan server menggunakan algoritma dan kunci. Algoritma mendefinisikan step-by-step prosedur dimana data plaintext diubah menjadi ciphertext (enkripsi) dan ciphertext diubah kembali menjadi plaintext asli (dekripsi). Kunci digunakan oleh algoritma selama proses enkripsi atau dekripsi. Kunci dapat berupa pribadi atau publik.
## Nama Domain Berkualitas Penuh (FQDN)
Lihat [Nama Domain](#concept-dn).
## Protokol Transfer Hiperteks (HTTP)
Hypertext Transfer Protocol (HTTP) adalah dasar komunikasi data di World Wide Web. Ini adalah protokol lapisan aplikasi yang memungkinkan pertukaran berbagai jenis konten. HTTP beroperasi pada model client-server, di mana browser web biasanya bertindak sebagai klien yang meminta sumber daya dari server web. Sebagai protokol stateless, HTTP memperlakukan setiap permintaan secara independen, tanpa menyimpan informasi dari permintaan sebelumnya.
Dalam konteks ACM, HTTP dapat digunakan untuk validasi domain saat menerbitkan SSL/TLS sertifikat. Proses ini melibatkan ACM mengirimkan permintaan HTTP tertentu untuk memverifikasi kepemilikan domain. Kemampuan server untuk merespons permintaan ini dengan benar menunjukkan kontrol atas domain.
Tidak seperti email atau sertifikat yang divalidasi DNS, pelanggan ACM tidak dapat menerbitkan sertifikat yang divalidasi HTTP langsung dari ACM. Sebaliknya, sertifikat ini secara otomatis diterbitkan dan dikelola sebagai bagian dari CloudFront proses penyediaan. Pelanggan dapat menggunakan ACM untuk melihat, memantau, dan mengelola sertifikat ini, tetapi penerbitan awal ditangani oleh integrasi antara ACM dan. CloudFront
Meskipun HTTP banyak digunakan, penting untuk dicatat bahwa HTTP mentransmisikan data dalam teks biasa. Untuk komunikasi yang aman, HTTPS (HTTP Secure) digunakan, yang mengenkripsi data menggunakan SSL/TLS protokol. Untuk informasi lebih lanjut tentang komunikasi aman, lihat[HTTPS aman](#concept-https).
## Infrastruktur Kunci Publik (PKI)
Public Key Infrastructure (PKI) adalah sistem proses, teknologi, dan kebijakan yang memungkinkan komunikasi yang aman melalui jaringan publik. Dalam konteks ACM, PKI berperan penting dalam penerbitan, pengelolaan, dan validasi sertifikat digital. PKI menggunakan sepasang kunci kriptografi: kunci publik yang didistribusikan secara bebas, dan kunci pribadi yang dirahasiakan oleh pemiliknya. Sistem ini memungkinkan transmisi data yang aman, tanda tangan digital, dan otentikasi entitas digital.
ACM mengimplementasikan beberapa komponen kunci PKI. Ini bertindak sebagai Otoritas Sertifikat (CA), pihak ketiga tepercaya yang menerbitkan sertifikat digital, mengikat kunci publik ke entitas seperti domain atau organisasi. ACM menerbitkan sertifikat X.509, yang berisi informasi tentang entitas, kunci publiknya, dan masa berlaku sertifikat. Ini juga menangani siklus hidup lengkap sertifikat, termasuk penerbitan, pembaruan, dan pencabutan. Untuk memastikan legitimasi permintaan sertifikat, ACM mendukung berbagai metode untuk memvalidasi kepemilikan domain, seperti validasi DNS dan validasi HTTP.
Dengan memanfaatkan PKI, ACM memungkinkan koneksi HTTPS yang aman, tanda tangan digital, dan komunikasi terenkripsi untuk sumber daya dan aplikasi. AWS Infrastruktur ini sangat penting untuk menjaga kerahasiaan, integritas, dan keaslian data yang dikirimkan melalui internet. Untuk informasi lebih lanjut tentang bagaimana ACM mengimplementasikan PKI, lihat. [Memulai dengan AWS Certificate Manager sertifikat](gs.md)
## Sertifikat Akar
Otoritas sertifikat (CA) biasanya ada dalam struktur hierarkis yang berisi beberapa lainnya CAs dengan hubungan orangtua-anak yang jelas di antara mereka. Anak atau bawahan CAs disertifikasi oleh orang tua mereka CAs, membuat rantai sertifikat. CA di bagian atas hierarki disebut sebagai CA akar, dan sertifikatnya disebut sertifikat akar. Sertifikat ini biasanya ditandatangani sendiri.
## Secure Sockets Layer (SSL)
Lapisan Soket Aman (SSL) dan Keamanan Lapisan Pengangkutan (TLS) adalah protokol kriptografi yang menyediakan keamanan komunikasi melalui jaringan komputer. TLS adalah penerus SSL. Keduanya menggunakan sertifikat X.509 untuk mengautentikasi server. Kedua protokol menegosiasikan kunci simetris antara klien dan server yang digunakan untuk mengenkripsi data yang mengalir antara dua entitas.
## HTTPS aman
HTTPS adalah singkatan dari HTTP melalui SSL/TLS, bentuk aman dari HTTP yang didukung oleh semua peramban dan server utama. Semua permintaan dan tanggapan HTTP dienkripsi sebelum dikirim melalui jaringan. HTTPS menggabungkan protokol HTTP dengan teknik kriptografi berbasis sertifikat simetris, asimetris, dan X.509. HTTPS bekerja dengan menyisipkan lapisan keamanan kriptografi di bawah lapisan aplikasi HTTP dan di atas lapisan transport TCP dalam model Open Systems Interconnection (OSI). Lapisan keamanan menggunakan protokol Lapisan Soket Aman (SSL) atau protokol Keamanan Lapisan Pengangkutan (TLS).
## Sertifikat Server SSL
Transaksi HTTPS memerlukan sertifikat server untuk mengautentikasi server. Sertifikat server adalah struktur data X.509 v3 yang mengikat kunci publik dalam sertifikat ke subjek sertifikat. SSL/TLS Sertifikat ditandatangani oleh otoritas sertifikat (CA) dan berisi nama server, masa berlaku, kunci publik, algoritma tanda tangan, dan banyak lagi.
## Kriptografi Kunci Simetris
Kriptografi kunci simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data digital. Lihat juga [Kriptografi Kunci Asimetris](#concept-asymmetric).
## Keamanan Lapisan Pengangkutan (TLS)
Lihat [Secure Sockets Layer (SSL)](#concept-ssl).
## Percaya
Agar peramban web mempercayai identitas situs web, peramban harus dapat memverifikasi sertifikat situs web. Namun, peramban hanya mempercayai sejumlah kecil sertifikat yang dikenal sebagai sertifikat akar CA. Pihak ketiga tepercaya, yang dikenal sebagai otoritas sertifikasi (CA), memvalidasi identitas situs web dan menerbitkan sertifikat digital yang ditandatangani ke operator situs web. Peramban kemudian dapat memeriksa tanda tangan digital untuk memvalidasi identitas situs web. Jika validasi berhasil, peramban menampilkan ikon kunci di bilah alamat.