Configuración del certificado de servidor para el OCSP grapado - AWS IoT Core
¿Qué esOCSP?Cómo funciona el OCSP grapadoHabilitar el grapado del certificado OCSP del servidor AWS IoT CoreNotas importantes sobre el uso del OCSP grapado de certificados de servidor en AWS IoT CoreSolución de problemas al OCSP grapar el certificado del servidor AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del certificado de servidor para el OCSP grapado

AWS IoT Core admite el grapado del Protocolo de estado de certificados en línea (OCSP) para certificados de servidor, también conocido como grapado o OCSP grapado de certificados de servidor. OCSP Es un mecanismo de seguridad que se utiliza para comprobar el estado de revocación del certificado del servidor mediante un protocolo de enlace de Transport Layer Security (). TLS OCSPgraparlo te AWS IoT Core permite añadir un nivel adicional de verificación a la validez del certificado de servidor de tu dominio personalizado.

Puede habilitar el OCSP grapado del certificado del servidor AWS IoT Core para comprobar la validez del certificado consultando periódicamente al respondedor. OCSP La configuración de OCSP grapado forma parte del proceso de creación o actualización de una configuración de dominio con un dominio personalizado. OCSPel grapado comprueba el estado de revocación en el certificado del servidor de forma continua. Esto ayuda a comprobar que los clientes que se conectan a sus dominios personalizados ya no confían en los certificados que hayan sido revocados por la CA. Para obtener más información, consulte Habilitar el grapado del certificado OCSP del servidor AWS IoT Core.

El OCSP grapado de certificados de servidor permite comprobar el estado de la revocación en tiempo real, reduce la latencia asociada a la comprobación del estado de la revocación y mejora la privacidad y la fiabilidad de las conexiones seguras. Para obtener más información sobre las ventajas de utilizar el OCSP grapado, consulte. Ventajas de utilizar OCSP grapas en comparación con los cheques del lado del cliente OCSP

nota

Esta función no está disponible en AWS GovCloud (US) Regions.

¿Qué esOCSP?

El Protocolo de estado de certificados en línea (OCSP) ayuda a proporcionar el estado de revocación de un certificado de servidor para un apretón de manos de Transport Layer Security (TLS).

Conceptos clave

Los siguientes conceptos clave proporcionan detalles sobre el Protocolo de estado de los certificados en línea ()OCSP.

OCSP

OCSPse utiliza para comprobar el estado de revocación del certificado durante el apretón de manos de Transport Layer Security (TLS). OCSPpermite la validación de los certificados en tiempo real. Esto confirma que el certificado no se ha revocado ni ha caducado desde su emisión. OCSPtambién es más escalable en comparación con las listas de revocación de certificados tradicionales ()CRLs. OCSPlas respuestas son más pequeñas y se pueden generar de manera eficiente, lo que las hace más adecuadas para infraestructuras de clave privada a gran escala (PKIs).

OCSPrespondedor

Un OCSP respondedor (también conocido como OCSP servidor) recibe y responde a OCSP las solicitudes de los clientes que desean verificar el estado de revocación de los certificados.

Del lado del cliente OCSP

En el lado del clienteOCSP, el cliente suele ponerse en contacto con un OCSP respondedor OCSP para comprobar el estado de revocación del certificado durante el apretón de manos de Transport Layer Security (). TLS

Del lado del servidor OCSP

En el lado del servidor OCSP (también conocido como OCSP grapado), el servidor está habilitado (y no el cliente) para realizar la solicitud al respondedor. OCSP El servidor grapa la OCSP respuesta al certificado y la devuelve al cliente durante el apretón de manos. TLS

OCSPdiagramas

El siguiente diagrama ilustra cómo funcionan el lado del cliente OCSP y el lado del servidorOCSP.

Diagramas del lado del cliente y del lado del servidor OCSP OCSP
Del lado del cliente OCSP

  1. El cliente envía un ClientHello mensaje para iniciar el TLS apretón de manos con el servidor.

  2. El servidor recibe el mensaje y responde con un ServerHello mensaje. El servidor también envía el certificado del servidor al cliente.

  3. El cliente valida el certificado del servidor y extrae uno OCSP URI del mismo.

  4. El cliente envía una solicitud de verificación de revocación del certificado al OCSP respondedor.

  5. El OCSP respondedor envía una OCSP respuesta.

  6. El cliente valida el estado del certificado a partir de la OCSP respuesta.

  7. Se ha completado el TLS apretón de manos.

Del lado del servidor OCSP

  1. El cliente envía un ClientHello mensaje para iniciar el TLS apretón de manos con el servidor.

  2. El servidor recibe el mensaje y obtiene la última respuesta en cachéOCSP. Si falta la respuesta en caché o ha caducado, el servidor llamará al OCSP respondedor para preguntarle el estado del certificado.

  3. El OCSP respondedor envía una OCSP respuesta al servidor.

  4. El servidor envía un ServerHello mensaje. El servidor también envía el certificado del servidor y el estado del certificado al cliente.

  5. El cliente valida el estado del OCSP certificado.

  6. Se ha completado el TLS apretón de manos.

Cómo funciona el OCSP grapado

OCSPEl grapado se utiliza durante el apretón de manos de Transport Layer Security (TLS) entre el cliente y el servidor para comprobar el estado de revocación del certificado del servidor. El servidor hace la OCSP solicitud al OCSP respondedor y grapa OCSP las respuestas a los certificados devueltos al cliente. Al hacer que el servidor haga la solicitud al OCSP respondedor, las respuestas se pueden almacenar en caché y, a continuación, se pueden utilizar varias veces para muchos clientes.

Cómo funciona el OCSP grapado en AWS IoT Core

El siguiente diagrama muestra cómo funciona el OCSP grapado del lado del servidor. AWS IoT Core

Este diagrama muestra cómo funciona el grapado del lado del servidorOCSP. AWS IoT Core

  1. El dispositivo debe estar registrado con dominios personalizados con el grapado activado. OCSP

  2. AWS IoT Core llama OCSP al personal de emergencias cada hora para obtener el estado del certificado.

  3. El OCSP respondedor recibe la solicitud, envía la última OCSP respuesta y almacena la OCSP respuesta en caché.

  4. El dispositivo envía un ClientHello mensaje para iniciar el TLS apretón de manos. AWS IoT Core

  5. AWS IoT Core obtiene la última OCSP respuesta de la memoria caché del servidor, que responde con una OCSP respuesta del certificado.

  6. El servidor envía un ServerHello mensaje al dispositivo. El servidor también envía el certificado del servidor y el estado del certificado al cliente.

  7. El dispositivo valida el estado del OCSP certificado.

  8. Se ha completado el TLS apretón de manos.

Ventajas de utilizar OCSP grapas en comparación con los cheques del lado del cliente OCSP

A continuación se resumen algunas ventajas de utilizar el OCSP grapado de certificados de servidor:

Privacidad mejorada

Sin OCSP grapar, el dispositivo del cliente puede exponer la información a tercerosOCSP, lo que podría comprometer la privacidad del usuario. OCSPEl grapado mitiga este problema al hacer que el servidor obtenga la OCSP respuesta y la entregue directamente al cliente.

Fiabilidad mejorada

OCSPel grapado puede mejorar la confiabilidad de las conexiones seguras porque reduce el riesgo de interrupciones del OCSP servidor. Cuando se grapan OCSP las respuestas, el servidor incluye la respuesta más reciente con el certificado. Esto permite a los clientes acceder al estado de revocación incluso si el OCSP respondedor no está disponible temporalmente. OCSPEl grapado ayuda a mitigar estos problemas, ya que el servidor busca las respuestas de forma periódica e incluye OCSP las respuestas almacenadas en caché en el protocolo de TLS enlace, lo que reduce la dependencia de la disponibilidad de los respondedores en tiempo real. OCSP

Reducción de la carga del servidor

OCSPel grapado reduce la carga de responder a las OCSP solicitudes de los OCSP respondedores al servidor. Esto puede ayudar a distribuir la carga de manera más uniforme, lo que hace que el proceso de validación del certificado sea más eficiente y escalable.

Latencia reducida

OCSPEl grapado reduce la latencia asociada a la comprobación del estado de revocación de un certificado durante el TLS apretón de manos. En lugar de que el cliente tenga que consultar un OCSP servidor por separado, el servidor envía la solicitud y adjunta la OCSP respuesta al certificado del servidor durante el apretón de manos.

Habilitar el grapado del certificado OCSP del servidor AWS IoT Core

Para habilitar el OCSP grapado de certificados de servidor AWS IoT Core, debe crear una configuración de dominio para un dominio personalizado o actualizar una configuración de dominio personalizada existente. Para obtener información general sobre cómo crear una configuración de dominio con un dominio personalizado, consulteCreación y configuración de dominios gestionados por el cliente.

Siga las instrucciones siguientes para habilitar el grapado de OCSP servidores mediante AWS Management Console o AWS CLI.

Para habilitar el OCSP grapado de certificados de servidor mediante AWS IoT la consola:

  1. Selecciona Configuración en el menú de navegación izquierdo y, a continuación, selecciona Crear configuración de dominio o una configuración de dominio existente para un dominio personalizado.

  2. Si optas por crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración del dominio, selecciona Dominio personalizado. Introduzca la información para crear una configuración de dominio.

    Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página de detalles de la configuración del dominio. Elija Editar.

  3. Para habilitar el grapado de OCSP servidores, seleccione Habilitar el OCSP grapado de certificados de servidor en la subsección de configuraciones de certificados de servidor.

  4. Seleccione Crear configuración de dominio o Actualizar configuración de dominio.

Para habilitar el OCSP grapado de certificados de servidor mediante AWS CLI:

  1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para habilitar el grapado OCSP del servidor puede tener el siguiente aspecto:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Si actualizas una configuración de dominio existente para un dominio personalizado, el comando para habilitar el grapado OCSP del servidor puede tener el siguiente aspecto:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Para obtener más información, consulte CreateDomainConfigurationy en UpdateDomainConfigurationla AWS IoT API Referencia.

Notas importantes sobre el uso del OCSP grapado de certificados de servidor en AWS IoT Core

Cuando utilice el certificado de servidor AWS IoT Core, tenga OCSP en cuenta lo siguiente:

  1. AWS IoT Core solo admite los OCSP respondedores a los que se puede acceder a través de direcciones públicasIPv4.

  2. La función de OCSP engrapado AWS IoT Core no es compatible con los respondedores autorizados. Todas OCSP las respuestas deben estar firmadas por la CA que firmó el certificado y la CA debe formar parte de la cadena de certificados del dominio personalizado.

  3. La función de OCSP engrapado AWS IoT Core no es compatible con los dominios personalizados que se crean con certificados autofirmados.

  4. AWS IoT Core llama a un OCSP respondedor cada hora y guarda la respuesta en caché. Si se produce un error en la llamada al respondedor, AWS IoT Core se guardará la respuesta válida más reciente.

  5. Si ya no nextUpdateTime es válida, AWS IoT Core eliminará la respuesta de la memoria caché y TLS handshake no incluirá los datos de la OCSP respuesta hasta la próxima llamada exitosa al OCSP respondedor. Esto puede ocurrir cuando la respuesta en caché ha caducado antes de que el servidor reciba una respuesta válida del OCSP respondedor. El valor de nextUpdateTime sugiere que la OCSP respuesta será válida hasta ese momento. Para obtener más información acerca de nextUpdateTime, consulte Entradas de OCSP registro de certificados de servidor.

  6. A veces AWS IoT Core , no recibe la OCSP respuesta o elimina la OCSP respuesta existente porque ha caducado. Si se producen situaciones como estas, AWS IoT Core seguirá utilizando el certificado de servidor proporcionado por el dominio personalizado sin la OCSP respuesta.

  7. El tamaño de la OCSP respuesta no puede superar los 4 KiB.

Solución de problemas al OCSP grapar el certificado del servidor AWS IoT Core

AWS IoT Core emite la RetrieveOCSPStapleData.Success métrica y las entradas de RetrieveOCSPStapleData registro a. CloudWatch La métrica y las entradas de registro pueden ayudar a detectar problemas relacionados con la recuperación de las respuestasOCSP. Para obtener más información, consulte Métricas de OCSP grapado de certificados de servidor y Entradas de OCSP registro de certificados de servidor.