Konfiguration des Serverzertifikats für OCSP-Hefting - AWS IoT Core
Was ist OCSP?Wie funktioniert OCSP StaplingAktivierung des Serverzertifikats (OCSP-Hefting in) AWS IoT CoreWichtige Hinweise zur Verwendung des Serverzertifikats OCSP (Stapling in) AWS IoT CoreProblembehandlung beim Einheften des Serverzertifikats (OCSP) AWS IoT Core

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Serverzertifikats für OCSP-Hefting

AWS IoT Core unterstützt das Online Certificate Status Protocol (OCSP) -Heften für Serverzertifikate, auch bekannt als OCSP-Heftung für Serverzertifikate oder OCSP-Heftung. Dabei handelt es sich um einen Sicherheitsmechanismus, der verwendet wird, um den Sperrstatus des Serverzertifikats in einem Transport Layer Security (TLS) -Handshake zu überprüfen. Mit OCSP-Stapling In AWS IoT Core können Sie die Gültigkeit des Serverzertifikats Ihrer benutzerdefinierten Domain um eine zusätzliche Überprüfungsebene erweitern.

Sie können das OCSP-Stapling in für Serverzertifikate aktivieren, um die Gültigkeit des Zertifikats AWS IoT Core zu überprüfen, indem Sie den OCSP-Responder regelmäßig abfragen. Die OCSP-Hefteinstellung ist Teil des Prozesses zum Erstellen oder Aktualisieren einer Domänenkonfiguration mit einer benutzerdefinierten Domäne. OCSP Stapling überprüft kontinuierlich den Sperrstatus des Serverzertifikats. Auf diese Weise können Sie überprüfen, ob alle Zertifikate, die von der Zertifizierungsstelle gesperrt wurden, von den Clients, die eine Verbindung zu Ihren benutzerdefinierten Domänen herstellen, nicht mehr als vertrauenswürdig eingestuft werden. Weitere Informationen finden Sie unter Aktivierung des Serverzertifikats (OCSP-Hefting in) AWS IoT Core.

Das OCSP-Stapling von Serverzertifikaten ermöglicht die Überprüfung des Sperrstatus in Echtzeit, reduziert die mit der Überprüfung des Sperrstatus verbundene Latenz und verbessert den Datenschutz und die Zuverlässigkeit sicherer Verbindungen. Weitere Informationen zu den Vorteilen der Verwendung von OCSP Stapling finden Sie unter. Vorteile der Verwendung von OCSP-Stapling im Vergleich zu clientseitigen OCSP-Prüfungen

Anmerkung

Diese Funktion ist in nicht verfügbar. AWS GovCloud (US) Regions

Was ist OCSP?

Die wichtigsten Konzepte

Die folgenden Konzepte enthalten Einzelheiten zu OCSP und verwandten Konzepten.

OCSP

OCSP wird verwendet, um den Zertifikatssperrstatus während des Transport Layer Security (TLS) -Handshakes zu überprüfen. OCSP ermöglicht die Validierung von Zertifikaten in Echtzeit. Dadurch wird bestätigt, dass das Zertifikat seit seiner Ausstellung nicht gesperrt wurde oder abgelaufen ist. OCSP ist im Vergleich zu herkömmlichen Certificate Revocation Lists (CRLs) auch besser skalierbar. OCSP-Antworten sind kleiner und können effizient generiert werden, wodurch sie sich besser für groß angelegte Private Key Infrastructures (PKIs) eignen.

OCSP-Responder

Ein OCSP-Responder (auch bekannt als OCSP-Server) empfängt und beantwortet OCSP-Anfragen von Clients, die versuchen, den Sperrstatus von Zertifikaten zu überprüfen.

Clientseitiges OCSP

Beim clientseitigen OCSP verwendet der Client OCSP, um einen OCSP-Responder zu kontaktieren, um den Sperrstatus des Zertifikats während des Transport Layer Security (TLS) -Handshakes zu überprüfen.

Serverseitiges OCSP

Beim serverseitigen OCSP (auch bekannt als OCSP-Stapling) ist der Server (und nicht der Client) in der Lage, die Anfrage an den OCSP-Responder zu stellen. Der Server verknüpft die OCSP-Antwort mit dem Zertifikat und sendet sie während des TLS-Handshakes an den Client zurück.

OCSP-Diagramme

Das folgende Diagramm zeigt, wie clientseitiges OCSP und serverseitiges OCSP funktionieren.

Clientseitige OCSP- und serverseitige OCSP-Diagramme
Clientseitiges OCSP

  1. Der Client sendet eine ClientHello Nachricht, um den TLS-Handshake mit dem Server zu initiieren.

  2. Der Server empfängt die Nachricht und antwortet mit einer ServerHello Nachricht. Der Server sendet auch das Serverzertifikat an den Client.

  3. Der Client validiert das Serverzertifikat und extrahiert daraus einen OCSP-URI.

  4. Der Client sendet eine Anfrage zur Überprüfung des Zertifikatswiderrufs an den OCSP-Responder.

  5. Der OCSP-Responder sendet eine OCSP-Antwort.

  6. Der Client validiert den Zertifikatsstatus anhand der OCSP-Antwort.

  7. Der TLS-Handshake ist abgeschlossen.

Serverseitiges OCSP

  1. Der Client sendet eine ClientHello Nachricht, um den TLS-Handshake mit dem Server zu initiieren.

  2. Der Server empfängt die Nachricht und erhält die letzte zwischengespeicherte OCSP-Antwort. Wenn die zwischengespeicherte Antwort fehlt oder abgelaufen ist, ruft der Server den OCSP-Responder auf, um den Zertifikatsstatus abzufragen.

  3. Der OCSP-Responder sendet eine OCSP-Antwort an den Server.

  4. Der Server sendet eine Nachricht. ServerHello Der Server sendet auch das Serverzertifikat und den Zertifikatsstatus an den Client.

  5. Der Client validiert den Status des OCSP-Zertifikats.

  6. Der TLS-Handshake ist abgeschlossen.

Wie funktioniert OCSP Stapling

OCSP-Stapling wird während des Transport Layer Security (TLS) -Handshakes zwischen dem Client und dem Server verwendet, um den Sperrstatus des Serverzertifikats zu überprüfen. Der Server stellt die OCSP-Anforderung an den OCSP-Responder und verknüpft die OCSP-Antworten mit den an den Client zurückgegebenen Zertifikaten. Wenn der Server die Anfrage an den OCSP-Responder stellt, können die Antworten zwischengespeichert und dann für viele Clients mehrfach verwendet werden.

So funktioniert OCSP-Heftung in AWS IoT Core

Das folgende Diagramm zeigt, wie serverseitiges OCSP-Heften in funktioniert. AWS IoT Core

Dieses Diagramm zeigt, wie serverseitiges OCSP-Heften in funktioniert. AWS IoT Core

  1. Das Gerät muss bei benutzerdefinierten Domänen mit aktiviertem OCSP-Stapling registriert sein.

  2. AWS IoT Core ruft stündlich den OCSP-Responder auf, um den Status des Zertifikats abzurufen.

  3. Der OCSP-Responder empfängt die Anfrage, sendet die neueste OCSP-Antwort und speichert die zwischengespeicherte OCSP-Antwort.

  4. Das Gerät sendet eine ClientHello Nachricht, mit der der TLS-Handshake initiiert werden soll. AWS IoT Core

  5. AWS IoT Core ruft die neueste OCSP-Antwort aus dem Server-Cache ab, der mit einer OCSP-Antwort des Zertifikats antwortet.

  6. Der Server sendet eine ServerHello Nachricht an das Gerät. Der Server sendet auch das Serverzertifikat und den Zertifikatsstatus an den Client.

  7. Das Gerät validiert den Status des OCSP-Zertifikats.

  8. Der TLS-Handshake ist abgeschlossen.

Vorteile der Verwendung von OCSP-Stapling im Vergleich zu clientseitigen OCSP-Prüfungen

Einige Vorteile der Verwendung von OCSP Stapling für Serverzertifikate lassen sich wie folgt zusammenfassen:

Verbesserter Datenschutz

Ohne OCSP-Hefting kann das Gerät des Clients Informationen an OCSP-Responder von Drittanbietern weitergeben, wodurch möglicherweise die Privatsphäre der Benutzer gefährdet wird. Durch OCSP-Hefting wird dieses Problem dadurch behoben, dass der Server die OCSP-Antwort erhält und sie direkt an den Client weiterleitet.

Verbesserte Zuverlässigkeit

OCSP-Hefting kann die Zuverlässigkeit sicherer Verbindungen verbessern, da dadurch das Risiko von OCSP-Serverausfällen verringert wird. Wenn OCSP-Antworten geheftet werden, fügt der Server dem Zertifikat die neueste Antwort bei. Auf diese Weise haben Clients auch dann Zugriff auf den Sperrstatus, wenn der OCSP-Responder vorübergehend nicht verfügbar ist. OCSP-Stapling hilft, diese Probleme zu verringern, da der Server in regelmäßigen Abständen OCSP-Antworten abruft und die zwischengespeicherten Antworten in den TLS-Handshake aufnimmt, wodurch die Abhängigkeit von der Echtzeitverfügbarkeit von OCSP-Respondern verringert wird.

Geringere Serverlast

Mit OCSP-Hefting wird die Last, auf OCSP-Anfragen von OCSP-Respondern zu antworten, auf den Server verlagert. Dies kann dazu beitragen, die Last gleichmäßiger zu verteilen, wodurch der Prozess der Zertifikatsvalidierung effizienter und skalierbarer wird.

Geringere Latenz

OCSP-Hefting reduziert die Latenz, die mit der Überprüfung des Sperrstatus eines Zertifikats während des TLS-Handshakes verbunden ist. Anstatt dass der Client einen OCSP-Server separat abfragen muss, sendet der Server die Anfrage und hängt die OCSP-Antwort während des Handshakes an das Serverzertifikat an.

Aktivierung des Serverzertifikats (OCSP-Hefting in) AWS IoT Core

Um das Einheften von Serverzertifikaten mit OCSP zu aktivieren AWS IoT Core, müssen Sie eine Domänenkonfiguration für eine benutzerdefinierte Domäne erstellen oder eine bestehende benutzerdefinierte Domänenkonfiguration aktualisieren. Allgemeine Informationen zum Erstellen einer Domänenkonfiguration mit einer benutzerdefinierten Domäne finden Sie unter. Erstellen und Konfigurieren benutzerdefinierter Domänen

Verwenden Sie die folgenden Anweisungen, um das OCSP-Serverstapling mithilfe von AWS Management Console oder zu aktivieren. AWS CLI

So aktivieren Sie das OCSP Stapling für Serverzertifikate mithilfe der Konsole: AWS IoT

  1. Wählen Sie in der linken Menüleiste Einstellungen aus und wählen Sie dann Domainkonfiguration erstellen oder eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aus.

  2. Wenn Sie im vorherigen Schritt eine neue Domain-Konfiguration erstellen möchten, wird die Seite Domain-Konfiguration erstellen angezeigt. Wählen Sie im Abschnitt Eigenschaften der Domänenkonfiguration die Option Benutzerdefinierte Domäne aus. Geben Sie die Informationen ein, um eine Domänenkonfiguration zu erstellen.

    Wenn Sie eine bestehende Domainkonfiguration für eine benutzerdefinierte Domain aktualisieren möchten, wird die Seite mit den Details zur Domain-Konfiguration angezeigt. Wählen Sie Bearbeiten aus.

  3. Um das OCSP-Serverstapling zu aktivieren, wählen Sie im Unterabschnitt Serverzertifikatkonfigurationen die Option Serverzertifikat-OCSP-Stapling aktivieren aus.

  4. Wählen Sie Domänenkonfiguration erstellen oder Domänenkonfiguration aktualisieren aus.

Um das OCSP-Stapling von Serverzertifikaten zu aktivieren, verwenden Sie: AWS CLI

  1. Wenn Sie eine neue Domänenkonfiguration für eine benutzerdefinierte Domäne erstellen, kann der Befehl zum Aktivieren des OCSP-Serverstaplings wie folgt aussehen:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Wenn Sie eine bestehende Domänenkonfiguration für eine benutzerdefinierte Domain aktualisieren, kann der Befehl zum Aktivieren des OCSP-Serverstaplings wie folgt aussehen:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Weitere Informationen finden Sie unter CreateDomainConfigurationund in UpdateDomainConfigurationder AWS IoT API-Referenz.

Wichtige Hinweise zur Verwendung des Serverzertifikats OCSP (Stapling in) AWS IoT Core

Beachten Sie bei der Verwendung des Serverzertifikats OCSP in AWS IoT Core Folgendes:

  1. AWS IoT Core unterstützt nur die OCSP-Responder, die über öffentliche IPv4-Adressen erreichbar sind.

  2. Die OCSP-Heftfunktion unterstützt keine autorisierten Responder AWS IoT Core . Alle OCSP-Antworten müssen von der Zertifizierungsstelle signiert werden, die das Zertifikat signiert hat, und die Zertifizierungsstelle muss Teil der Zertifikatskette der benutzerdefinierten Domäne sein.

  3. Die OCSP-Heftfunktion in unterstützt AWS IoT Core keine benutzerdefinierten Domänen, die mit selbstsignierten Zertifikaten erstellt wurden.

  4. AWS IoT Core ruft jede Stunde einen OCSP-Responder auf und speichert die Antwort im Cache. Schlägt der Anruf beim Responder fehl, AWS IoT Core wird die letzte gültige Antwort gespeichert.

  5. Wenn sie nicht mehr gültig nextUpdateTime ist, AWS IoT Core wird die Antwort aus dem Cache entfernt, und der TLS-Handshake enthält die OCSP-Antwortdaten erst beim nächsten erfolgreichen Anruf an den OCSP-Responder. Dies kann passieren, wenn die zwischengespeicherte Antwort abgelaufen ist, bevor der Server eine gültige Antwort vom OCSP-Responder erhält. Der Wert von nextUpdateTime deutet darauf hin, dass die OCSP-Antwort bis zu diesem Zeitpunkt gültig sein wird. Mehr über nextUpdateTime erfahren Sie unter OCSPProtokolleinträge für Serverzertifikate.

  6. Manchmal kann die OCSP-Antwort AWS IoT Core nicht empfangen werden oder die vorhandene OCSP-Antwort wird entfernt, weil sie abgelaufen ist. In solchen Situationen AWS IoT Core wird weiterhin das von der benutzerdefinierten Domäne bereitgestellte Serverzertifikat ohne die OCSP-Antwort verwendet.

  7. Die Größe der OCSP-Antwort darf 4 KiB nicht überschreiten.

Problembehandlung beim Einheften des Serverzertifikats (OCSP) AWS IoT Core

AWS IoT Core gibt die RetrieveOCSPStapleData.Success Metrik und die RetrieveOCSPStapleData Protokolleinträge an aus. CloudWatch Die Metrik und die Protokolleinträge können dabei helfen, Probleme im Zusammenhang mit dem Abrufen von OCSP-Antworten zu erkennen. Weitere Informationen finden Sie unter Metriken zur Erfassung von OCSP Serverzertifikaten und OCSPProtokolleinträge für Serverzertifikate.