Personalice OCSP URL para AWS Private CA

nota

Este tema está dirigido a los clientes que desean personalizar el público del dispositivo URL de respuesta del Online Certificate Status Protocol (OCSP) con fines de marca u otros fines. Si planea usar la configuración predeterminada de Autoridad de certificación privada de AWS administradoOCSP, puede omitir este tema y seguir las instrucciones de configuración de Configurar la revocación.

De forma predeterminada, cuando habilita OCSP para Autoridad de certificación privada de AWS, cada certificado que emita contiene el certificado URL para el AWS OCSP respondedor. Esto permite a los clientes que soliciten una conexión criptográficamente segura enviar consultas OCSP de validación directamente a AWS. Sin embargo, en algunos casos, puede ser preferible indicar algo diferente URL en los certificados y, en última instancia, enviar OCSP consultas a AWS.

nota

Para obtener información sobre el uso de una lista de revocación de certificados (CRL) como alternativa o complementariaOCSP, consulte Configurar la revocación y Planear una lista de revocación de certificados (). CRL

La configuración de un formulario personalizado implica tres elementos. URL OCSP

Configuración de CA: especifique una configuración personalizada OCSP URL RevocationConfiguration para su CA, tal y como se describe Ejemplo 2: Crear una CA con OCSP y una CNAME habilitada de forma personalizada enCree una CA privada en AWS Private CA.
DNS— Añada un CNAME registro a la configuración de su dominio para asignar lo URL que aparece en los certificados a un servidor proxyURL. Para obtener más información, consulte Ejemplo 2: Crear una CA con OCSP y una CNAME habilitada de forma personalizada en Cree una CA privada en AWS Private CA.
Servidor proxy de reenvío: configure un servidor proxy que pueda reenviar de forma transparente OCSP el tráfico que reciba al AWS OCSP respondedor.

El siguiente diagrama ilustra cómo estos componentes funcionan juntos.

Como se muestra en el diagrama, el proceso de OCSP validación personalizado consta de los siguientes pasos:

Consultas del cliente DNS para el dominio de destino.
El cliente recibe la IP de destino.
El cliente abre una TCP conexión con el destino.
El cliente recibe el TLS certificado de destino.
El cliente DNS consulta el OCSP dominio que aparece en el certificado.
El cliente recibe la IP del proxy.
El cliente envía la OCSP consulta al proxy.
El proxy reenvía la consulta al OCSP respondedor.
El sistema de respuesta devuelve el estado del certificado al proxy.
El proxy reenvía el estado del certificado al cliente.
Si el certificado es válido, el cliente inicia el apretón de TLS manos.

sugerencia

Este ejemplo se puede implementar con Amazon CloudFront y Amazon Route 53 después de haber configurado una CA como se describe anteriormente.

En CloudFront, cree una distribución y configúrela de la siguiente manera:
- Cree un nombre alternativo que coincida con su nombre personalizadoCNAME.
- Enlace su certificado a él.
- Defina ocsp.acm-pca.<region>.amazonaws.com como origen.
- Implemente la política de Managed-CachingDisabled.
- Establezca la política de protocolo de Viewer en y. HTTP HTTPS
- Establezca HTTPlos métodos permitidos en GETHEAD,OPTIONS,PUT,POST,PATCH, DELETE.
En Route 53, crea un DNS registro que asigne tu personalización CNAME a la URL de la CloudFront distribución.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configurar CRL

Modo CA