Configuración del certificado de servidor para el OCSP grapado - AWS IoT Core
¿Qué es OCSP?Cómo funciona el OCSP grapadoHabilitar el certificado de servidor en OCSP AWS IoT CoreConfigurar el certificado de servidor OCSP para puntos finales privados en AWS IoT CoreNotas importantes sobre el uso del OCSP grapado de certificados de servidor en AWS IoT CoreSolución de problemas al OCSP grapar el certificado del servidor AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del certificado de servidor para el OCSP grapado

AWS IoT Core admite el grapado del Protocolo de estado de certificados en línea (OCSP) para certificados de servidor, también conocido como grapado o OCSP grapado de certificados de servidor. OCSP Es un mecanismo de seguridad que se utiliza para comprobar el estado de revocación del certificado del servidor mediante un protocolo de enlace de Transport Layer Security (). TLS OCSPgraparlo te AWS IoT Core permite añadir un nivel adicional de verificación a la validez del certificado de servidor de tu dominio personalizado.

Puede habilitar el OCSP grapado del certificado del servidor AWS IoT Core para comprobar la validez del certificado consultando periódicamente al respondedor. OCSP La configuración de OCSP grapado forma parte del proceso de creación o actualización de una configuración de dominio con un dominio personalizado. OCSPel grapado comprueba el estado de revocación en el certificado del servidor de forma continua. Esto ayuda a comprobar que los clientes que se conectan a sus dominios personalizados ya no confíen en los certificados que hayan sido revocados por la CA. Para obtener más información, consulte Habilitar el certificado de servidor en OCSP AWS IoT Core.

El OCSP grapado de certificados de servidor permite comprobar el estado de revocación en tiempo real, reduce la latencia asociada a la comprobación del estado de revocación y mejora la privacidad y la fiabilidad de las conexiones seguras. Para obtener más información sobre las ventajas de utilizar el OCSP grapado, consulte. Ventajas de utilizar OCSP grapas en comparación con los cheques del lado del cliente OCSP

nota

Esta función no está disponible en AWS GovCloud (US) Regions.

¿Qué es OCSP?

El Protocolo de estado de certificados en línea (OCSP) ayuda a proporcionar el estado de revocación de un certificado de servidor para un apretón de manos de Transport Layer Security (TLS).

Conceptos clave

Los siguientes conceptos clave proporcionan detalles sobre el Protocolo de estado de los certificados en línea ()OCSP.

OCSP

OCSPse utiliza para comprobar el estado de revocación del certificado durante el apretón de manos de Transport Layer Security (TLS). OCSPpermite la validación de los certificados en tiempo real. Esto confirma que el certificado no se ha revocado ni ha caducado desde su emisión. OCSPtambién es más escalable en comparación con las listas de revocación de certificados tradicionales ()CRLs. OCSPlas respuestas son más pequeñas y se pueden generar de manera eficiente, lo que las hace más adecuadas para infraestructuras de clave privada a gran escala (PKIs).

OCSPrespondedor

Un OCSP respondedor (también conocido como OCSP servidor) recibe y responde a OCSP las solicitudes de los clientes que desean verificar el estado de revocación de los certificados.

Del lado del cliente OCSP

En el lado del clienteOCSP, el cliente suele ponerse en contacto con un OCSP respondedor OCSP para comprobar el estado de revocación del certificado durante el apretón de manos. TLS

Del lado del servidor OCSP

En el lado del servidor OCSP (también conocido como OCSP grapado), el servidor está habilitado (y no el cliente) para realizar la solicitud al respondedor. OCSP El servidor grapa la OCSP respuesta al certificado y la devuelve al cliente durante el apretón de manos. TLS

OCSPdiagramas

El siguiente diagrama ilustra cómo funcionan el lado del cliente OCSP y el lado del servidorOCSP.

Diagramas del lado del cliente y del lado del servidor OCSP OCSP
Del lado del cliente OCSP

  1. El cliente envía un ClientHello mensaje para iniciar el TLS apretón de manos con el servidor.

  2. El servidor recibe el mensaje y responde con un mensaje ServerHello. El servidor también envía el certificado del servidor al cliente.

  3. El cliente valida el certificado del servidor y extrae uno OCSP URI del mismo.

  4. El cliente envía una solicitud de verificación de revocación del certificado al OCSP respondedor.

  5. El OCSP respondedor envía una OCSP respuesta.

  6. El cliente valida el estado del certificado a partir de la OCSP respuesta.

  7. Se ha completado el TLS apretón de manos.

Del lado del servidor OCSP

  1. El cliente envía un ClientHello mensaje para iniciar el TLS apretón de manos con el servidor.

  2. El servidor recibe el mensaje y obtiene la última respuesta en cachéOCSP. Si falta la respuesta en caché o ha caducado, el servidor llamará al OCSP respondedor para preguntarle el estado del certificado.

  3. El OCSP respondedor envía una OCSP respuesta al servidor.

  4. El servidor envía un mensaje ServerHello. El servidor también envía el certificado de servidor y el estado del certificado al cliente.

  5. El cliente valida el estado del OCSP certificado.

  6. Se ha completado el TLS apretón de manos.

Cómo funciona el OCSP grapado

OCSPEl grapado se utiliza durante el TLS apretón de manos entre el cliente y el servidor para comprobar el estado de revocación del certificado del servidor. El servidor hace la OCSP solicitud al OCSP respondedor y grapa OCSP las respuestas a los certificados devueltos al cliente. Al hacer que el servidor haga la solicitud al OCSP respondedor, las respuestas se pueden almacenar en caché y, a continuación, se pueden utilizar varias veces para muchos clientes.

Cómo funciona el OCSP grapado en AWS IoT Core

El siguiente diagrama muestra cómo funciona el OCSP grapado del lado del servidor. AWS IoT Core

Este diagrama muestra cómo funciona el grapado en el lado del servidorOCSP. AWS IoT Core

  1. El dispositivo debe estar registrado con dominios personalizados con el grapado activado. OCSP

  2. AWS IoT Core llama OCSP al personal de emergencias cada hora para obtener el estado del certificado.

  3. El OCSP respondedor recibe la solicitud, envía la última OCSP respuesta y almacena la OCSP respuesta en caché.

  4. El dispositivo envía un ClientHello mensaje para iniciar el TLS apretón de manos. AWS IoT Core

  5. AWS IoT Core obtiene la última OCSP respuesta de la memoria caché del servidor, que responde con una OCSP respuesta del certificado.

  6. El servidor envía un mensaje ServerHello al dispositivo. El servidor también envía el certificado de servidor y el estado del certificado al cliente.

  7. El dispositivo valida el estado del OCSP certificado.

  8. Se ha completado el TLS apretón de manos.

Ventajas de utilizar OCSP grapas en comparación con los cheques del lado del cliente OCSP

Algunas de las ventajas de utilizar el OCSP grapado de certificados de servidor son las siguientes:

Mejora de la privacidad

Sin OCSP grapar, el dispositivo del cliente puede exponer la información a terceros, lo que podría comprometer OCSP la privacidad del usuario. OCSPEl grapado mitiga este problema al hacer que el servidor obtenga la OCSP respuesta y la entregue directamente al cliente.

Mejora de la fiabilidad

OCSPel grapado puede mejorar la confiabilidad de las conexiones seguras porque reduce el riesgo de OCSP interrupciones del servidor. Cuando se grapan OCSP las respuestas, el servidor incluye la respuesta más reciente con el certificado. Esto permite a los clientes acceder al estado de revocación incluso si el OCSP respondedor no está disponible temporalmente. OCSPEl grapado ayuda a mitigar estos problemas, ya que el servidor busca OCSP las respuestas periódicamente e incluye las respuestas almacenadas en caché en el protocolo de enlace. TLS Esto reduce la dependencia de la disponibilidad en tiempo real de los socorristas. OCSP

Reducción de la carga del servidor

OCSPel engrapado reduce la carga de responder a las OCSP solicitudes de los OCSP respondedores al servidor. Esto puede ayudarle a distribuir la carga de manera más uniforme, lo que hace que el proceso de validación de certificados sea más eficiente y escalable.

Reducción de la latencia

OCSPel grapado reduce la latencia asociada a la comprobación del estado de revocación de un certificado durante el apretón de manos. TLS En lugar de que el cliente tenga que consultar un OCSP servidor por separado, el servidor envía la solicitud y adjunta la OCSP respuesta al certificado del servidor durante el apretón de manos.

Habilitar el certificado de servidor en OCSP AWS IoT Core

Para habilitar el OCSP engrapado de certificados de servidor AWS IoT Core, cree una configuración de dominio para un dominio personalizado o actualice una configuración de dominio personalizada existente. Para obtener más información general sobre cómo crear una configuración de dominio con un dominio personalizado, consulte Creación y configuración de dominios administrados por el cliente.

Siga las instrucciones siguientes para habilitar el grapado OCSP de servidores mediante AWS Management Console o. AWS CLI

Para habilitar el OCSP grapado de certificados de servidor mediante la AWS IoT consola:

  1. En el menú de navegación, elija Configuración y, a continuación, elija Crear configuración de dominio o elija una configuración de dominio existente para un dominio personalizado.

  2. Si optas por crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración de dominio, seleccione Dominio personalizado. Introduzca la información para crear una configuración de dominio.

    Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página Detalles de configuración del dominio. Elija Editar.

  3. Para habilitar el grapado de OCSP servidores, seleccione Habilitar el OCSP grapado de certificados de servidor en la subsección de configuraciones de certificados de servidor.

  4. Seleccione Crear configuración de dominio o Actualizar la configuración del dominio.

Para habilitar el grapado de certificados de servidor medianteOCSP: AWS CLI

  1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para habilitar el grapado OCSP del servidor puede tener el siguiente aspecto:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Si actualizas una configuración de dominio existente para un dominio personalizado, el comando para habilitar el grapado OCSP del servidor puede tener el siguiente aspecto:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Para obtener más información, consulte CreateDomainConfigurationy en UpdateDomainConfigurationla AWS IoT API Referencia.

Configurar el certificado de servidor OCSP para puntos finales privados en AWS IoT Core

OCSPpara puntos de enlace privados le permite utilizar sus OCSP recursos privados dentro de su Amazon Virtual Private Cloud (AmazonVPC) para AWS IoT Core las operaciones. El proceso implica configurar una función Lambda que actúa como respondedor. OCSP La función Lambda puede utilizar sus OCSP recursos privados para elaborar OCSP respuestas que AWS IoT Core utilizará.

Función de Lambda

Antes de configurar el servidor OCSP para un punto final privado, cree una función Lambda que actúe como un respondedor del Protocolo de estado de certificados en línea (RFC) compatible con la 6960 () de solicitud de comentarios (OCSP) y que admita respuestas básicas. OCSP La función Lambda acepta una codificación en base64 de la OCSP solicitud en el formato Distinguished Encoding Rules (). DER La respuesta de la función Lambda también es una respuesta codificada en base64 en el formatoOCSP. DER El tamaño de la respuesta no debe superar los 4 kilobytes (KiB). La función Lambda debe estar en la misma configuración del dominio Cuenta de AWS y Región de AWS igual que ella. A continuación se muestran ejemplos de funciones Lambda.

Ejemplo de función de Lambda

JavaScript
import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "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";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}
Java
package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorizar la invocación AWS IoT de la función Lambda

En el proceso de creación de la configuración del dominio con un OCSP respondedor Lambda, debe conceder AWS IoT permiso para invocar la función Lambda una vez creada la función. Para conceder el permiso, puede utilizar el comando add-permission. CLI

Conceda permiso a su función Lambda mediante el AWS CLI

  1. Después de insertar sus valores, introduzca el siguiente comando. Tenga en cuenta que el valor statement-id debe ser único. Reemplace Id-1234 por el valor exacto que tiene; de lo contrario, podría producirse un error ResourceConflictException.

    aws lambda add-permission  \
--function-name "ocsp-function" \
--principal "iot.amazonaws.com" \
--action "lambda:InvokeFunction" \
--statement-id "Id-1234" \
--source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
--source-account 123456789012

    La configuración del dominio de IoT ARNs seguirá el siguiente patrón. El sufijo generado por el servicio no se conocerá antes del momento de la creación, por lo que debe reemplazar el sufijo por un. * Puede actualizar el permiso una vez que se haya creado la configuración del dominio y se conozca la información exacta. ARN

    arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

  2. Si el comando tiene éxito, devuelve una declaración de permiso, como la de este ejemplo. Puede continuar con la siguiente sección para configurar el OCSP grapado para puntos finales privados.

    {
    "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
}

    Si el comando no tiene éxito, devuelve un error, como en este ejemplo. Tendrá que revisar y corregir el error antes de continuar.

    An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Configuración del OCSP grapado de servidores para puntos finales privados

Para configurar el OCSP grapado de certificados de servidor mediante la consola: AWS IoT

  1. En el menú de navegación, elija Configuración y, a continuación, elija Crear configuración de dominio o elija una configuración de dominio existente para un dominio personalizado.

  2. Si optas por crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración de dominio, seleccione Dominio personalizado. Introduzca la información para crear una configuración de dominio.

    Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página Detalles de configuración del dominio. Elija Editar.

  3. Para habilitar el grapado de OCSP servidores, seleccione Habilitar el OCSP grapado de certificados de servidor en la subsección de configuraciones de certificados de servidor.

  4. Seleccione Crear configuración de dominio o Actualizar la configuración del dominio.

Para configurar el grapado de certificados de servidor medianteOCSP: AWS CLI

  1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para configurar el certificado de servidor OCSP para puntos finales privados puede tener el siguiente aspecto:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

  2. Si actualiza una configuración de dominio existente para un dominio personalizado, el comando para configurar el certificado de servidor OCSP para puntos finales privados puede tener el siguiente aspecto:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"
enableOCSPCheck

Se trata de un valor booleano que indica si la comprobación de OCSP grapado del servidor está habilitada o no. Para habilitar el OCSP grapado de certificados de servidor, este valor debe ser verdadero.

ocspAuthorizedResponderArn

Se trata de un valor de cadena del nombre de recurso de Amazon (ARN) para un certificado X.509 almacenado en AWS Certificate Manager (ACM). Si se proporciona, AWS IoT Core utilizará este certificado para validar la firma de la OCSP respuesta recibida. Si no se proporciona, AWS IoT Core utilizará el certificado emisor para validar las respuestas. El certificado debe estar en la misma configuración Cuenta de AWS y Región de AWS en el dominio. Para obtener más información sobre cómo registrar su certificado de respondedor autorizado, consulte Importar certificados a AWS Certificate Manager.

ocspLambdaArn

Se trata de un valor de cadena del nombre del recurso de Amazon (ARN) para una función Lambda que actúa como respondedor compatible con Request for Comments (RFC) 6960 () (OCSP) y admite respuestas básicas. OCSP La función Lambda acepta una codificación en base64 de la OCSP solicitud que se codifica con el formato. DER La respuesta de la función Lambda también es una respuesta codificada en base64 en el formatoOCSP. DER El tamaño de la respuesta no debe superar los 4 kilobytes (KiB). La función Lambda debe estar en la misma configuración del dominio Cuenta de AWS y Región de AWS igual que ella.

Para obtener más información, consulte CreateDomainConfigurationy en UpdateDomainConfigurationla AWS IoT API Referencia.

Notas importantes sobre el uso del OCSP grapado de certificados de servidor en AWS IoT Core

Cuando utilice el certificado de servidor AWS IoT Core, tenga OCSP en cuenta lo siguiente:

  1. AWS IoT Core solo admite los OCSP respondedores a los que se puede acceder a través de direcciones públicasIPv4.

  2. La función de OCSP engrapado AWS IoT Core no es compatible con los respondedores autorizados. Todas OCSP las respuestas deben estar firmadas por la CA que firmó el certificado y la CA debe formar parte de la cadena de certificados del dominio personalizado.

  3. La función de OCSP engrapado AWS IoT Core no es compatible con los dominios personalizados que se crean con certificados autofirmados.

  4. AWS IoT Core llama a un OCSP respondedor cada hora y guarda la respuesta en caché. Si se produce un error en la llamada al respondedor, AWS IoT Core se guardará la respuesta válida más reciente.

  5. Si ya no nextUpdateTime es válida, AWS IoT Core eliminará la respuesta de la memoria caché y TLS handshake no incluirá los datos de la OCSP respuesta hasta la próxima llamada exitosa al OCSP respondedor. Esto puede ocurrir cuando la respuesta en caché ha caducado antes de que el servidor reciba una respuesta válida del OCSP respondedor. El valor de nextUpdateTime sugiere que la OCSP respuesta será válida hasta ese momento. Para obtener más información acerca de nextUpdateTime, consulte Entradas de OCSP registro de certificados de servidor.

  6. A veces AWS IoT Core , no recibe la OCSP respuesta o elimina la OCSP respuesta existente porque ha caducado. Si se producen situaciones como estas, AWS IoT Core seguirá utilizando el certificado de servidor proporcionado por el dominio personalizado sin la OCSP respuesta.

  7. El tamaño de la OCSP respuesta no puede superar los 4 KiB.

Solución de problemas al OCSP grapar el certificado del servidor AWS IoT Core

AWS IoT Core emite la RetrieveOCSPStapleData.Success métrica y las entradas de RetrieveOCSPStapleData registro a. CloudWatch La métrica y las entradas de registro pueden ayudar a detectar problemas relacionados con la recuperación de las respuestasOCSP. Para obtener más información, consulte Métricas de OCSP grapado de certificados de servidor y Entradas de OCSP registro de certificados de servidor.