Konfiguration des Serverzertifikats für das OCSP Heften - AWS IoT Core
Was ist OCSP?Wie funktioniert OCSP HeftenServerzertifikat wird aktiviert in OCSP AWS IoT CoreKonfiguration des Serverzertifikats OCSP für private Endpunkte in AWS IoT CoreWichtige Hinweise zur Verwendung von OCSP Serverzertifikaten AWS IoT CoreProblembehandlung beim OCSP Einheften von Serverzertifikaten AWS IoT Core

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Serverzertifikats für das OCSP Heften

AWS IoT Core unterstützt das Heften mit dem Online Certificate Status Protocol (OCSP) für Serverzertifikate, auch bekannt als Heften von Serverzertifikaten OCSP oder Heften. OCSP Dabei handelt es sich um einen Sicherheitsmechanismus, der verwendet wird, um den Sperrstatus des Serverzertifikats in einem Transport Layer Security () TLS -Handshake zu überprüfen. OCSPDurch Stapling In AWS IoT Core können Sie die Gültigkeit des Serverzertifikats Ihrer benutzerdefinierten Domain um eine zusätzliche Überprüfungsebene erweitern.

Sie können das OCSP Einheften von Serverzertifikaten aktivieren AWS IoT Core , um die Gültigkeit des Zertifikats zu überprüfen, indem Sie den Responder OCSP regelmäßig abfragen. Die Einstellung zum OCSP Heften ist Teil des Prozesses zum Erstellen oder Aktualisieren einer Domänenkonfiguration mit einer benutzerdefinierten Domäne. OCSPStapling überprüft kontinuierlich den Sperrstatus des Serverzertifikats. Auf diese Weise können Sie überprüfen, ob alle Zertifikate, die von der Zertifizierungsstelle gesperrt wurden, von den Clients, die eine Verbindung zu Ihren benutzerdefinierten Domänen herstellen, nicht mehr als vertrauenswürdig eingestuft werden. Weitere Informationen finden Sie unter Serverzertifikat wird aktiviert in OCSP AWS IoT Core.

Das OCSP Stapling von Serverzertifikaten ermöglicht die Überprüfung des Sperrstatus in Echtzeit, reduziert die mit der Überprüfung des Sperrstatus verbundene Latenz und verbessert den Datenschutz und die Zuverlässigkeit sicherer Verbindungen. Weitere Informationen zu den Vorteilen der Verwendung von OCSP Heften finden Sie unter. Vorteile der Verwendung von OCSP Heftklammern im Vergleich zu Schecks auf Kundenseite OCSP

Anmerkung

Diese Funktion ist in AWS GovCloud (US) Regions nicht verfügbar.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) hilft bei der Bereitstellung des Sperrstatus eines Serverzertifikats für einen Transport Layer Security (TLS) -Handshake.

Die wichtigsten Konzepte

Die folgenden Schlüsselkonzepte enthalten Einzelheiten zum Online Certificate Status Protocol (OCSP).

OCSP

OCSPwird verwendet, um den Sperrstatus des Zertifikats während des Transport Layer Security (TLS) -Handshakes zu überprüfen. OCSPermöglicht die Validierung von Zertifikaten in Echtzeit. Dadurch wird bestätigt, dass das Zertifikat seit seiner Ausstellung nicht gesperrt wurde oder abgelaufen ist. OCSPist im Vergleich zu herkömmlichen Zertifikatssperrlisten (CRLs) auch besser skalierbar. OCSPDie Antworten sind kleiner und können effizient generiert werden, sodass sie sich besser für große private Schlüsselinfrastrukturen (PKIs) eignen.

OCSPResponder

Ein OCSP Responder (auch als OCSP Server bezeichnet) empfängt und beantwortet OCSP Anfragen von Clients, die versuchen, den Sperrstatus von Zertifikaten zu überprüfen.

Clientseitig OCSP

Auf der Clientseite kontaktiert der Client normalerweise einen OCSP ResponderOCSP, OCSP um den Sperrstatus des Zertifikats während des Handshakes zu überprüfen. TLS

Serverseitig OCSP

Serverseitig OCSP (auch bekannt als OCSP Stapling) ist der Server (und nicht der Client) in der Lage, die Anfrage an den Responder zu stellen. OCSP Der Server heftet die OCSP Antwort an das Zertifikat und sendet sie während des Handshakes an den Client zurück. TLS

OCSPDiagramme

Das folgende Diagramm zeigt, wie clientseitig OCSP und OCSP serverseitig funktionieren.

Clientseitige OCSP und serverseitige Diagramme OCSP
Clientseitige OCSP

  1. Der Client sendet eine ClientHello Nachricht, um den TLS Handshake mit dem Server zu initiieren.

  2. Der Server empfängt die Nachricht und antwortet mit einer ServerHello Nachricht. Der Server sendet auch das Serverzertifikat an den Client.

  3. Der Client validiert das Serverzertifikat und extrahiert ein Zertifikat OCSP URI daraus.

  4. Der Client sendet eine Anfrage zur Überprüfung des Zertifikatswiderrufs an den OCSP Responder.

  5. Der OCSP Responder sendet eine OCSP Antwort.

  6. Der Client validiert den Zertifikatsstatus anhand der OCSP Antwort.

  7. Der TLS Handshake ist abgeschlossen.

Serverseitig OCSP

  1. Der Client sendet eine ClientHello Nachricht, um den TLS Handshake mit dem Server zu initiieren.

  2. Der Server empfängt die Nachricht und erhält die letzte zwischengespeicherte AntwortOCSP. Wenn die zwischengespeicherte Antwort fehlt oder abgelaufen ist, ruft der Server den OCSP Responder auf, um den Status des Zertifikats abzufragen.

  3. Der OCSP Responder sendet eine OCSP Antwort an den Server.

  4. Der Server sendet eine ServerHello Nachricht. Der Server sendet auch das Serverzertifikat und den Zertifikatsstatus an den Client.

  5. Der Client validiert den OCSP Zertifikatsstatus.

  6. Der TLS Handshake ist abgeschlossen.

Wie funktioniert OCSP Heften

OCSPDas Heften wird während des TLS Handshakes zwischen dem Client und dem Server verwendet, um den Sperrstatus des Serverzertifikats zu überprüfen. Der Server stellt die OCSP Anfrage an den OCSP Responder und heftet die OCSP Antworten auf die an den Client zurückgegebenen Zertifikate. Wenn der Server die Anfrage an den OCSP Responder stellt, können die Antworten zwischengespeichert und dann für viele Clients mehrfach verwendet werden.

So funktioniert OCSP Heften in AWS IoT Core

Das folgende Diagramm zeigt, wie serverseitiges OCSP Heften in funktioniert. AWS IoT Core

Dieses Diagramm zeigt, wie serverseitiges OCSP Heften in funktioniert. AWS IoT Core

  1. Das Gerät muss bei benutzerdefinierten Domänen registriert sein, wobei OCSP Stapling aktiviert ist.

  2. AWS IoT Core ruft jede Stunde den OCSP Responder an, um den Status des Zertifikats abzurufen.

  3. Der OCSP Responder empfängt die Anfrage, sendet die neueste OCSP Antwort und speichert die Antwort im CacheOCSP.

  4. Das Gerät sendet eine ClientHello Nachricht, mit der der TLS Handshake initiiert werden soll. AWS IoT Core

  5. AWS IoT Core ruft die neueste OCSP Antwort vom Server-Cache ab, der mit einer OCSP Antwort des Zertifikats antwortet.

  6. Der Server sendet eine ServerHello Nachricht an das Gerät. Der Server sendet auch das Serverzertifikat und den Zertifikatsstatus an den Client.

  7. Das Gerät validiert den OCSP Zertifikatsstatus.

  8. Der TLS Handshake ist abgeschlossen.

Vorteile der Verwendung von OCSP Heftklammern im Vergleich zu Schecks auf Kundenseite OCSP

Das OCSP Heften von Serverzertifikaten bietet unter anderem folgende Vorteile:

Verbesserter Datenschutz

Ohne OCSP Heften kann das Gerät des Kunden Informationen an Dritte weitergeben, wodurch möglicherweise OCSP die Privatsphäre der Benutzer gefährdet wird. OCSPStapling behebt dieses Problem, indem der Server die OCSP Antwort erhält und sie direkt an den Client weiterleitet.

Verbesserte Zuverlässigkeit

OCSPDurch Stapling kann die Zuverlässigkeit sicherer Verbindungen verbessert werden, da dadurch das Risiko von OCSP Serverausfällen verringert wird. Wenn OCSP Antworten geheftet werden, fügt der Server dem Zertifikat die neueste Antwort bei. Auf diese Weise haben Clients auch dann Zugriff auf den Sperrstatus, wenn OCSP der Responder vorübergehend nicht verfügbar ist. OCSPStapling trägt dazu bei, diese Probleme zu beheben, da der Server regelmäßig OCSP Antworten abruft und die zwischengespeicherten Antworten in den Handshake aufnimmt. TLS Dadurch wird die Abhängigkeit von der Verfügbarkeit von Respondern in Echtzeit verringert. OCSP

Geringere Serverlast

OCSPStapling entlastet den Server bei der Beantwortung von OCSP Anfragen von OCSP Respondern. Dies kann dazu beitragen, die Last gleichmäßiger zu verteilen, wodurch der Prozess der Zertifikatsvalidierung effizienter und skalierbarer wird.

Reduzierte Latenz

OCSPStapling reduziert die Latenz, die mit der Überprüfung des Sperrstatus eines Zertifikats während des TLS Handshakes verbunden ist. Anstatt dass der Client einen OCSP Server separat abfragen muss, sendet der Server die Anfrage und hängt die OCSP Antwort während des Handshakes mit dem Serverzertifikat an.

Serverzertifikat wird aktiviert in OCSP AWS IoT Core

Um das OCSP Einheften von Serverzertifikaten zu aktivieren AWS IoT Core, erstellen Sie eine Domänenkonfiguration für eine benutzerdefinierte Domäne oder aktualisieren Sie eine bestehende benutzerdefinierte Domänenkonfiguration. Allgemeine Informationen zum Erstellen einer Domänenkonfiguration mit einer benutzerdefinierten Domäne finden Sie unterVom Kunden verwaltete Domains erstellen und konfigurieren.

Verwenden Sie die folgenden Anweisungen, um das OCSP Serverheften mithilfe von AWS Management Console oder AWS CLI zu aktivieren.

So aktivieren Sie das OCSP Heften von Serverzertifikaten mithilfe der AWS IoT Konsole:

  1. Wählen Sie im Navigationsmenü Einstellungen und dann Domainkonfiguration erstellen aus, oder wählen Sie eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aus.

  2. Wenn Sie sich im vorherigen Schritt dafür entschieden haben, eine neue Domain-Konfiguration zu erstellen, wird die Seite Domain-Konfiguration erstellen angezeigt. Wählen Sie im Abschnitt Eigenschaften der Domänenkonfiguration die Option Benutzerdefinierte Domäne aus. Geben Sie die Informationen ein, um eine Domänenkonfiguration zu erstellen.

    Wenn Sie eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aktualisieren möchten, wird die Seite mit den Details zur Domain-Konfiguration angezeigt. Wählen Sie Edit (Bearbeiten) aus.

  3. Um das OCSP Serverstapling zu aktivieren, wählen Sie im Unterabschnitt Serverzertifikatkonfigurationen die Option OCSP Serverzertifikatstapling aktivieren aus.

  4. Wählen Sie Domänenkonfiguration erstellen oder Domänenkonfiguration aktualisieren aus.

Um das OCSP Heften von Serverzertifikaten zu aktivieren, verwenden Sie AWS CLI:

  1. Wenn Sie eine neue Domänenkonfiguration für eine benutzerdefinierte Domäne erstellen, kann der Befehl zum Aktivieren der OCSP Serverstapelung wie folgt aussehen:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Wenn Sie eine bestehende Domänenkonfiguration für eine benutzerdefinierte Domain aktualisieren, kann der Befehl zum Aktivieren des OCSP Serverstaplings wie folgt aussehen:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Weitere Informationen finden Sie in CreateDomainConfigurationund UpdateDomainConfigurationaus der AWS IoT API Referenz.

Konfiguration des Serverzertifikats OCSP für private Endpunkte in AWS IoT Core

OCSPMit for private Endpoints können Sie Ihre privaten OCSP Ressourcen innerhalb Ihrer Amazon Virtual Private Cloud (AmazonVPC) für den AWS IoT Core Betrieb nutzen. Der Prozess beinhaltet die Einrichtung einer Lambda-Funktion, die als OCSP Responder fungiert. Die Lambda-Funktion verwendet möglicherweise Ihre privaten OCSP Ressourcen, um OCSP Antworten zu erstellen, die verwendet AWS IoT Core werden.

Lambda-Funktion

Bevor Sie einen Server OCSP für einen privaten Endpunkt konfigurieren, erstellen Sie eine Lambda-Funktion, die als Request for Comments (RFC) -kompatibler 6960-kompatibler Online Certificate Status Protocol (OCSP) -Responder fungiert und grundlegende Antworten unterstützt. OCSP Die Lambda-Funktion akzeptiert eine Base64-Kodierung der OCSP Anfrage im Format Distinguished Encoding Rules ()DER. Die Antwort der Lambda-Funktion ist ebenfalls eine Base64-kodierte OCSP Antwort im Format. DER Die Antwortgröße darf 4 Kilobyte (KiB) nicht überschreiten. Die Lambda-Funktion muss sich in derselben AWS-Konto und AWS-Region wie die Domänenkonfiguration befinden. Im Folgenden finden Sie Beispiele für Lambda-Funktionen.

Beispiele für Lambda-Funktionen

JavaScript
import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "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";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}
Java
package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorisieren AWS IoT zum Aufrufen Ihrer Lambda-Funktion

Bei der Erstellung der Domänenkonfiguration mit einem OCSP Lambda-Responder müssen Sie die AWS IoT Erlaubnis erteilen, die Lambda-Funktion aufzurufen, nachdem die Funktion erstellt wurde. Um die Berechtigung zu erteilen, können Sie den Befehl add-permission verwenden. CLI

Erteilen Sie Ihrer Lambda-Funktion die Erlaubnis mit dem AWS CLI

  1. Geben Sie nach der Eingabe Ihrer Werte den folgenden Befehl ein. Beachten Sie, dass der Wert statement-id eindeutig sein muss. Id-1234Ersetzen Sie es durch den exakten Wert, den Sie haben, andernfalls wird möglicherweise eine ResourceConflictException Fehlermeldung angezeigt.

    aws lambda add-permission  \
--function-name "ocsp-function" \
--principal "iot.amazonaws.com" \
--action "lambda:InvokeFunction" \
--statement-id "Id-1234" \
--source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
--source-account 123456789012

    Die IoT-Domänenkonfiguration ARNs folgt dem folgenden Muster. Das vom Dienst generierte Suffix wird vor der Erstellung nicht bekannt sein, daher müssen Sie das Suffix durch ein ersetzen. * Sie können die Berechtigung aktualisieren, sobald die Domänenkonfiguration erstellt wurde und die genaue ARN Konfiguration bekannt ist.

    arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

  2. Wenn der Befehl erfolgreich ist, gibt er eine Berechtigungsanweisung zurück, wie in diesem Beispiel. Sie können mit dem nächsten Abschnitt fortfahren, um OCSP Stapling für private Endgeräte zu konfigurieren.

    {
    "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
}

    Wenn der Befehl nicht erfolgreich ist, wird ein Fehler zurückgegeben, wie in diesem Beispiel. Sie müssen den Fehler überprüfen und korrigieren, bevor Sie fortfahren können.

    An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

OCSPServerstapling für private Endgeräte konfigurieren

So konfigurieren Sie das OCSP Stapling von Serverzertifikaten mithilfe der Konsole: AWS IoT

  1. Wählen Sie im Navigationsmenü Einstellungen und dann Domainkonfiguration erstellen aus, oder wählen Sie eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aus.

  2. Wenn Sie sich im vorherigen Schritt dafür entschieden haben, eine neue Domain-Konfiguration zu erstellen, wird die Seite Domain-Konfiguration erstellen angezeigt. Wählen Sie im Abschnitt Eigenschaften der Domänenkonfiguration die Option Benutzerdefinierte Domäne aus. Geben Sie die Informationen ein, um eine Domänenkonfiguration zu erstellen.

    Wenn Sie eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aktualisieren möchten, wird die Seite mit den Details zur Domain-Konfiguration angezeigt. Wählen Sie Edit (Bearbeiten) aus.

  3. Um das OCSP Serverstapling zu aktivieren, wählen Sie im Unterabschnitt Serverzertifikatkonfigurationen die Option OCSP Serverzertifikatstapling aktivieren aus.

  4. Wählen Sie Domänenkonfiguration erstellen oder Domänenkonfiguration aktualisieren aus.

So konfigurieren Sie das OCSP Stapling von Serverzertifikaten mit AWS CLI:

  1. Wenn Sie eine neue Domänenkonfiguration für eine benutzerdefinierte Domäne erstellen, kann der Befehl zur Konfiguration des Serverzertifikats OCSP für private Endpunkte wie folgt aussehen:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

  2. Wenn Sie eine bestehende Domänenkonfiguration für eine benutzerdefinierte Domain aktualisieren, kann der Befehl zum Konfigurieren des Serverzertifikats OCSP für private Endpunkte wie folgt aussehen:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"
enableOCSPCheck

Dies ist ein boolescher Wert, der angibt, ob die OCSP Server-Stapling-Prüfung aktiviert ist oder nicht. Um das OCSP Heften von Serverzertifikaten zu aktivieren, muss dieser Wert wahr sein.

ocspAuthorizedResponderArn

Dies ist ein Zeichenkettenwert des Amazon-Ressourcennamens (ARN) für ein in AWS Certificate Manager (ACM) gespeichertes X.509-Zertifikat. Falls angegeben, AWS IoT Core wird dieses Zertifikat verwendet, um die Signatur der erhaltenen OCSP Antwort zu validieren. Falls nicht angegeben, AWS IoT Core wird das ausstellende Zertifikat verwendet, um die Antworten zu validieren. Das Zertifikat muss sich in derselben AWS-Konto und AWS-Region wie die Domänenkonfiguration befinden. Weitere Informationen zur Registrierung Ihres autorisierten Responder-Zertifikats finden Sie unter Zertifikate importieren in AWS Certificate Manager.

ocspLambdaArn

Dies ist ein Zeichenkettenwert des Amazon-Ressourcennamens (ARN) für eine Lambda-Funktion, die als 6960-kompatibler () -Responder mit Request for Comments (RFCOCSP) fungiert und grundlegende Antworten unterstützt. OCSP Die Lambda-Funktion akzeptiert eine Base64-Kodierung der OCSP Anfrage, die mit dem Format codiert ist. DER Die Antwort der Lambda-Funktion ist ebenfalls eine Base64-kodierte OCSP Antwort im Format. DER Die Antwortgröße darf 4 Kilobyte (KiB) nicht überschreiten. Die Lambda-Funktion muss sich in derselben AWS-Konto und AWS-Region wie die Domänenkonfiguration befinden.

Weitere Informationen finden Sie in CreateDomainConfigurationund UpdateDomainConfigurationaus der AWS IoT API Referenz.

Wichtige Hinweise zur Verwendung von OCSP Serverzertifikaten AWS IoT Core

Beachten Sie bei der Verwendung von Serverzertifikaten OCSP in AWS IoT Core Folgendes:

  1. AWS IoT Core unterstützt nur die OCSP Responder, die über öffentliche IPv4 Adressen erreichbar sind.

  2. Die OCSP Heftfunktion in unterstützt AWS IoT Core keine autorisierten Responder. Alle OCSP Antworten müssen von der Zertifizierungsstelle signiert werden, die das Zertifikat signiert hat, und die Zertifizierungsstelle muss Teil der Zertifikatskette der benutzerdefinierten Domäne sein.

  3. Die OCSP Heftfunktion in unterstützt AWS IoT Core keine benutzerdefinierten Domänen, die mit selbstsignierten Zertifikaten erstellt wurden.

  4. AWS IoT Core ruft jede Stunde einen OCSP Responder an und speichert die Antwort im Cache. Schlägt der Anruf beim Responder fehl, AWS IoT Core wird die letzte gültige Antwort gespeichert.

  5. Wenn sie nicht mehr gültig nextUpdateTime ist, AWS IoT Core wird die Antwort aus dem Cache entfernt, und TLS Handshake enthält die OCSP Antwortdaten erst beim nächsten erfolgreichen Anruf an den Responder. OCSP Dies kann passieren, wenn die zwischengespeicherte Antwort abgelaufen ist, bevor der Server eine gültige Antwort vom Responder erhält. OCSP Der Wert von nextUpdateTime deutet darauf hin, dass die OCSP Antwort bis zu diesem Zeitpunkt gültig sein wird. Mehr über nextUpdateTime erfahren Sie unter OCSPProtokolleinträge für Serverzertifikate.

  6. Manchmal kann die OCSP Antwort AWS IoT Core nicht empfangen werden oder die vorhandene OCSP Antwort wird entfernt, weil sie abgelaufen ist. In solchen Situationen AWS IoT Core wird weiterhin das von der benutzerdefinierten Domäne bereitgestellte Serverzertifikat ohne OCSP Antwort verwendet.

  7. Die Größe der OCSP Antwort darf 4 KiB nicht überschreiten.

Problembehandlung beim OCSP Einheften von Serverzertifikaten AWS IoT Core

AWS IoT Core gibt die RetrieveOCSPStapleData.Success Metrik und die RetrieveOCSPStapleData Protokolleinträge an aus. CloudWatch Die Metrik und die Protokolleinträge können dabei helfen, Probleme im Zusammenhang mit dem Abrufen von OCSP Antworten zu erkennen. Weitere Informationen erhalten Sie unter Metriken zur Erfassung von OCSP Serverzertifikaten und OCSPProtokolleinträge für Serverzertifikate.