Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración del certificado de servidor para el grapado OCSP
AWS IoT Core admite el grapado OCSP (Online Certificate Status Protocol)
Puede habilitar el grapado OCSP del certificado de servidor AWS IoT Core para comprobar la validez del certificado consultando periódicamente al respondedor OCSP. La configuración de grapado OCSP forma parte del proceso de creación o actualización de una configuración de dominio con un dominio personalizado. El grapado OCSP comprueba continuamente el estado de revocación en el certificado del servidor. Esto ayuda a comprobar que los clientes que se conectan a sus dominios personalizados ya no confían en los certificados que hayan sido revocados por la CA. Para obtener más información, consulte Habilitar el grapado OCSP del certificado de servidor AWS IoT Core.
El grapado OCSP de los certificados de servidor permite comprobar el estado de la revocación en tiempo real, reduce la latencia asociada a la comprobación del estado de la revocación y mejora la privacidad y la fiabilidad de las conexiones seguras. Para obtener más información sobre las ventajas del uso del grapado OCSP, consulte. Ventajas de utilizar el grapado OCSP en comparación con las comprobaciones OCSP del lado del cliente
nota
Esta función no está disponible en. AWS GovCloud (US) Regions
En este tema:
¿Qué es el OCSP?
Conceptos clave
Los siguientes conceptos proporcionan detalles sobre el OCSP y los conceptos relacionados.
OCSP
El OCSP
Respondedor OCSP
Un respondedor OCSP (también conocido como servidor OCSP) recibe y responde a las solicitudes OCSP de los clientes que desean verificar el estado de revocación de los certificados.
OCSP del lado del cliente
En el OCSP del lado del cliente, el cliente utiliza el OCSP para ponerse en contacto con un respondedor de OCSP y comprobar el estado de revocación del certificado durante el protocolo de protocolo de seguridad de la capa de transporte (TLS).
OCSP del lado del servidor
En el OCSP del lado del servidor (también conocido como grapado de OCSP), el servidor está habilitado (y no el cliente) para realizar la solicitud al respondedor de OCSP. El servidor grapa la respuesta de OCSP al certificado y la devuelve al cliente durante el protocolo de enlace TLS.
Diagramas OCSP
El siguiente diagrama ilustra cómo funcionan el OCSP del lado del cliente y el OCSP del lado del servidor.
OCSP del lado del cliente
El cliente envía un
ClientHello
mensaje para iniciar el protocolo de enlace TLS con el servidor.El servidor recibe el mensaje y responde con un
ServerHello
mensaje. El servidor también envía el certificado del servidor al cliente.El cliente valida el certificado del servidor y extrae un URI de OCSP del mismo.
El cliente envía una solicitud de verificación de revocación del certificado al respondedor OCSP.
El respondedor OCSP envía una respuesta OCSP.
El cliente valida el estado del certificado a partir de la respuesta del OCSP.
Se ha completado el protocolo de enlace TLS.
OCSP del lado del servidor
-
El cliente envía un
ClientHello
mensaje para iniciar el protocolo de enlace TLS con el servidor. El servidor recibe el mensaje y obtiene la última respuesta de OCSP almacenada en caché. Si falta la respuesta en caché o ha caducado, el servidor llamará al respondedor OCSP para obtener el estado del certificado.
El respondedor OCSP envía una respuesta OCSP al servidor.
El servidor envía un
ServerHello
mensaje. El servidor también envía el certificado del servidor y el estado del certificado al cliente.El cliente valida el estado del certificado OCSP.
Se ha completado el protocolo de enlace TLS.
Cómo funciona el grapado OCSP
El grapado OCSP se utiliza durante el protocolo de enlace de Transport Layer Security (TLS) entre el cliente y el servidor para comprobar el estado de revocación del certificado del servidor. El servidor realiza la solicitud de OCSP al respondedor de OCSP y grapa las respuestas de OCSP a los certificados devueltos al cliente. Al hacer que el servidor haga la solicitud al respondedor OCSP, las respuestas se pueden almacenar en caché y, a continuación, se pueden utilizar varias veces para muchos clientes.
Cómo funciona el grapado OCSP en AWS IoT Core
El siguiente diagrama muestra cómo funciona el grapado OCSP del lado del servidor. AWS IoT Core
-
El dispositivo debe estar registrado en dominios personalizados con el grapado OCSP activado.
-
AWS IoT Core llama al respondedor OCSP cada hora para obtener el estado del certificado.
-
El respondedor de OCSP recibe la solicitud, envía la última respuesta de OCSP y almacena la respuesta de OCSP en caché.
-
El dispositivo envía un
ClientHello
mensaje para iniciar el protocolo de enlace TLS. AWS IoT Core -
AWS IoT Core obtiene la última respuesta de OCSP de la memoria caché del servidor, que responde con una respuesta de OCSP del certificado.
-
El servidor envía un
ServerHello
mensaje al dispositivo. El servidor también envía el certificado del servidor y el estado del certificado al cliente. -
El dispositivo valida el estado del certificado OCSP.
-
Se ha completado el protocolo de enlace TLS.
Ventajas de utilizar el grapado OCSP en comparación con las comprobaciones OCSP del lado del cliente
A continuación se resumen algunas de las ventajas de utilizar el grapado OCSP de certificados de servidor:
Privacidad mejorada
Sin el cifrado OCSP, el dispositivo del cliente puede exponer la información a los respondedores OCSP de terceros, lo que podría comprometer la privacidad del usuario. El grapado OCSP mitiga este problema al hacer que el servidor obtenga la respuesta OCSP y la entregue directamente al cliente.
Fiabilidad mejorada
El grapado OCSP puede mejorar la confiabilidad de las conexiones seguras porque reduce el riesgo de interrupciones del servidor OCSP. Cuando se grapan las respuestas de OCSP, el servidor incluye la respuesta más reciente con el certificado. Esto permite a los clientes acceder al estado de revocación incluso si el respondedor OCSP no está disponible temporalmente. El grapado de OCSP ayuda a mitigar estos problemas, ya que el servidor recupera las respuestas de OCSP de forma periódica e incluye las respuestas en caché en el protocolo de enlace de TLS, lo que reduce la dependencia de la disponibilidad en tiempo real de los respondedores de OCSP.
Carga reducida del servidor
El grapado de OCSP reduce la carga de responder a las solicitudes de OCSP de los respondedores de OCSP al servidor. Esto puede ayudar a distribuir la carga de manera más uniforme, lo que hace que el proceso de validación del certificado sea más eficiente y escalable.
Latencia reducida
El grapado OCSP reduce la latencia asociada a la comprobación del estado de revocación de un certificado durante el protocolo de enlace TLS. En lugar de que el cliente tenga que consultar un servidor OCSP por separado, el servidor envía la solicitud y adjunta la respuesta del OCSP al certificado del servidor durante el protocolo de enlace.
Habilitar el grapado OCSP del certificado de servidor AWS IoT Core
Para habilitar el grapado OCSP del certificado de servidor AWS IoT Core, debe crear una configuración de dominio para un dominio personalizado o actualizar una configuración de dominio personalizada existente. Para obtener información general sobre cómo crear una configuración de dominio con un dominio personalizado, consulte. Creación y configuración de dominios personalizados
Siga las instrucciones siguientes para habilitar el grapado del servidor OCSP mediante AWS Management Console o. AWS CLI
Para habilitar el grapado OCSP de certificados de servidor mediante la consola: AWS IoT
Seleccione Configuración en el menú de navegación izquierdo y, a continuación, seleccione Crear configuración de dominio o una configuración de dominio existente para un dominio personalizado.
Si optas por crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración del dominio, selecciona Dominio personalizado. Introduzca la información para crear una configuración de dominio.
Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página de detalles de la configuración del dominio. Elija Editar.
Para habilitar el grapado de servidores OCSP, seleccione Habilitar el grapado OCSP de certificados de servidor en la subsección de configuraciones de certificados de servidor.
-
Seleccione Crear configuración de dominio o Actualizar configuración de dominio.
Para habilitar el grapado OCSP de certificados de servidor mediante: AWS CLI
Si crea una nueva configuración de dominio para un dominio personalizado, el comando para habilitar el grapado del servidor OCSP puede tener el siguiente aspecto:
aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"Si actualiza una configuración de dominio existente para un dominio personalizado, el comando para habilitar el grapado del servidor OCSP puede tener el siguiente aspecto:
aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"
Para obtener más información, consulte CreateDomainConfigurationy en la Referencia UpdateDomainConfigurationde la AWS IoT API.
Notas importantes sobre el uso del certificado de servidor (OCSP): grapado AWS IoT Core
Cuando utilice el certificado de servidor OCSP AWS IoT Core, tenga en cuenta lo siguiente:
-
AWS IoT Core solo admite los respondedores OCSP a los que se puede acceder a través de direcciones IPv4 públicas.
-
La función de grapado OCSP no admite respondedores autorizados AWS IoT Core . Todas las respuestas del OCSP deben estar firmadas por la CA que firmó el certificado y la CA debe formar parte de la cadena de certificados del dominio personalizado.
-
La función de engrapado OCSP AWS IoT Core no admite los dominios personalizados que se crean con certificados autofirmados.
-
AWS IoT Core llama a un respondedor OCSP cada hora y guarda la respuesta en caché. Si se produce un error en la llamada al respondedor, AWS IoT Core grabará la respuesta válida más reciente.
-
Si ya no
nextUpdateTime
es válido, AWS IoT Core eliminará la respuesta de la memoria caché y el protocolo de enlace TLS no incluirá los datos de respuesta del OCSP hasta la próxima llamada correcta al respondedor del OCSP. Esto puede ocurrir cuando la respuesta en caché ha caducado antes de que el servidor reciba una respuesta válida del respondedor OCSP. El valor denextUpdateTime
sugiere que la respuesta del OCSP será válida hasta ese momento. Para obtener más información acerca denextUpdateTime
, consulte Entradas de OCSP registro de certificados de servidor. -
A veces, AWS IoT Core no recibe la respuesta de OCSP o elimina la respuesta de OCSP existente porque ha caducado. Si se producen situaciones como estas, AWS IoT Core seguirá utilizando el certificado de servidor proporcionado por el dominio personalizado sin la respuesta del OCSP.
-
El tamaño de la respuesta OCSP no puede superar los 4 KiB.
Solución de problemas de grapado OCSP del certificado de servidor AWS IoT Core
AWS IoT Core Emite la RetrieveOCSPStapleData.Success
métrica y las entradas de RetrieveOCSPStapleData
registro a. CloudWatch La métrica y las entradas de registro pueden ayudar a detectar problemas relacionados con la recuperación de las respuestas del OCSP. Para obtener más información, consulte Métricas de OCSP grapado de certificados de servidor y Entradas de OCSP registro de certificados de servidor.