Anpassen OCSP URL für AWS Private CA

Anmerkung

Dieses Thema richtet sich an Kunden, die die Öffentlichkeit URL des Online Certificate Status Protocol (OCSP) -Responder-Endpunkts für Branding oder andere Zwecke anpassen möchten. Wenn Sie die Standardkonfiguration von AWS Private CA managed verwenden möchtenOCSP, können Sie dieses Thema überspringen und den Konfigurationsanweisungen unter Sperre konfigurieren folgen.

Wenn Sie OCSP für aktivieren, enthält jedes Zertifikat AWS Private CA, das Sie ausstellen, standardmäßig das URL für den AWS OCSP Responder. Dadurch können Clients, die eine kryptografisch sichere Verbindung anfordern, OCSP Validierungsanfragen direkt an sie senden. AWS In einigen Fällen kann es jedoch vorzuziehen sein, URL in Ihren Zertifikaten etwas anderes anzugeben und gleichzeitig OCSP Anfragen an zu richten. AWS

Anmerkung

Informationen zur Verwendung einer Zertifikatssperrliste (CRL) als Alternative oder Ergänzung dazu OCSP finden Sie unter Sperrung konfigurieren und eine Zertifikatssperrliste planen (CRL).

Bei der Konfiguration einer benutzerdefinierten URL für sind drei Elemente erforderlichOCSP.

CA-Konfiguration — Geben Sie OCSP URL in der eine benutzerdefinierte Konfiguration RevocationConfiguration für Ihre CA an, wie unter Beispiel 2: Erstellen Sie eine Zertifizierungsstelle mit CNAME aktivierter OCSP und benutzerdefinierter beschriebenErstellen Sie eine private CA in AWS Private CA.
DNS— Fügen Sie Ihrer Domain-Konfiguration einen CNAME Eintrag hinzu, um die in den Zertifikaten URL angezeigten Daten einem Proxy-Server zuzuordnenURL. Weitere Informationen finden Sie unter Beispiel 2: Erstellen Sie eine Zertifizierungsstelle mit CNAME aktivierter OCSP und benutzerdefinierter in Erstellen Sie eine private CA in AWS Private CA.
Proxyserver weiterleiten — Richten Sie einen Proxyserver ein, der den empfangenen OCSP Datenverkehr transparent an den AWS OCSP Responder weiterleiten kann.

Das folgende Diagramm zeigt, wie diese Elemente zusammenarbeiten.

Wie in der Abbildung dargestellt, umfasst der benutzerdefinierte OCSP Validierungsprozess die folgenden Schritte:

Client-Abfragen DNS für die Zieldomäne.
Der Client empfängt die Ziel-IP.
Der Client öffnet eine TCP Verbindung mit dem Ziel.
Der Client erhält das TLS Zielzertifikat.
Der Client fragt DNS nach der im Zertifikat aufgeführten OCSP Domäne ab.
Der Client erhält eine Proxy-IP.
Der Client sendet eine OCSP Anfrage an den Proxy.
Der Proxy leitet die Anfrage an den OCSP Responder weiter.
Der Responder gibt den Zertifikatsstatus an den Proxy zurück.
Der Proxy leitet den Zertifikatsstatus an den Client weiter.
Wenn das Zertifikat gültig ist, beginnt der Client mit dem TLS Handshake.

Tipp

Dieses Beispiel kann mit Amazon CloudFront und Amazon Route 53 implementiert werden, nachdem Sie eine CA wie oben beschrieben konfiguriert haben.

Erstellen Sie in CloudFront eine Distribution und konfigurieren Sie sie wie folgt:
- Erstellen Sie einen alternativen Namen, der Ihrem benutzerdefinierten Namen entsprichtCNAME.
- Binden Sie Ihr Zertifikat daran.
- Stellen Sie ocsp.acm-pca ein.<region>.amazonaws.com als Ursprung.
- Wenden Sie die Richtlinie an. Managed-CachingDisabled
- Stellen Sie die Viewer-Protokollrichtlinie auf HTTPund einHTTPS.
- Legen Sie Zulässige HTTP Methoden auf GETHEAD,OPTIONS,PUT,POST,PATCH, festDELETE.
Erstellen Sie in Route 53 einen DNS Datensatz, der Ihren benutzerdefinierten CNAME Wert URL der CloudFront Verteilung zuordnet.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Richten Sie ein CRL

CA-Modus