Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Planifique su AWS Private CA método de revocación de certificados
Al planificar su PKI privada Autoridad de certificación privada de AWS, debe tener en cuenta cómo gestionar las situaciones en las que desee que los puntos finales dejen de confiar en un certificado emitido, por ejemplo, cuando se expone la clave privada de un punto final. Los enfoques habituales para solucionar este problema son utilizar certificados de corta duración o configurar la revocación de certificados. Short-livedlos certificados caducan en un período de tiempo tan breve, en horas o días, que la revocación no tiene sentido, ya que el certificado deja de ser válido aproximadamente al mismo tiempo que tarda en notificarse la revocación a un punto final. En esta sección se describen las opciones de revocación para los clientes de Autoridad de certificación privada de AWS , incluida la configuración y las prácticas recomendadas.
Los clientes que buscan un método de revocación pueden elegir el Protocolo de estado de certificados en línea (OCSP), las listas de revocación de certificados (CRL) o ambos.
nota
Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte Actualiza una CA privada en AWS Private Certificate Authority.
-
Protocolo de estado de certificados en línea (OCSP)
Autoridad de certificación privada de AWS proporciona una solución OCSP totalmente gestionada para notificar a los puntos finales la revocación de los certificados sin necesidad de que los clientes operen la infraestructura ellos mismos. Los clientes pueden habilitar OCSP en las CA nuevas o existentes con una sola operación mediante la Autoridad de certificación privada de AWS consola, la API, la CLI o mediante CloudFormation. Mientras que las CRL se almacenan y procesan en el punto de conexión y pueden quedar obsoletas, los requisitos de almacenamiento y procesamiento del OCSP se gestionan de forma sincrónica en el backend del sistema de respuesta.
Al habilitar el OCSP para una CA, Autoridad de certificación privada de AWS incluye la URL del respondedor del OCSP en la extensión Authority Information Access (AIA) de cada nuevo certificado emitido. Los clientes, como los navegadores web, consultan las CRL para determinar si se puede confiar en un certificado de entidad final o CA subordinada. El sistema de respuesta devuelve un mensaje de estado firmado criptográficamente para garantizar su autenticidad.
El respondedor Autoridad de certificación privada de AWS OCSP cumple con la RFC 5019.
Consideraciones sobre OCSP
-
Los mensajes de estado del OCSP se firman mediante el mismo algoritmo de firma para el que se configuró la CA emisora. Las CA creadas en la consola de Autoridad de certificación privada de AWS utilizan el algoritmo de firma SHA256WITHRSA de forma predeterminada. Puede encontrar otros algoritmos compatibles en la documentación de la CertificateAuthorityConfigurationAPI.
-
Las plantillas de certificados APIPassthrough y CSRPassthrough no funcionarán con la extensión AIA si el sistema de respuesta de OCSP está activado.
-
Se puede acceder al punto de conexión del servicio OCSP administrado en la Internet pública. Los clientes que deseen utilizar el OCSP, pero prefieran no tener un punto de conexión público deberán utilizar su propia infraestructura de OCSP.
-
-
Lista de revocación de certificados (CRL)
Una lista de certificados revocados (CRL) es un archivo que contiene una lista de certificados revocados antes de su fecha de caducidad programada. La CRL contiene una lista de certificados en los que ya no se debe confiar, el motivo de la revocación y otra información relevante.
Al configurar la autoridad de certificación (CA), puede elegir si Autoridad de certificación privada de AWS crea una CRL completa o particionada. Su elección determina el número máximo de certificados que la autoridad de certificación puede emitir y revocar. Para obtener más información, consulte Cuotas de Autoridad de certificación privada de AWS.
Consideraciones sobre la CRL
-
Consideraciones sobre la memoria y el ancho de banda: las CRL requieren más memoria que el OCSP debido a los requisitos locales de descarga y procesamiento. Sin embargo, las CRL pueden reducir el ancho de banda de la red en comparación con el OCSP al almacenar en caché las listas de revocación en lugar de comprobar el estado de cada conexión. En el caso de los dispositivos con limitaciones de memoria, como algunos dispositivos de IoT, considere la posibilidad de utilizar CRL particionadas.
-
Cambiar el tipo de CRL: al cambiar de una CRL completa a una con particiones, Autoridad de certificación privada de AWS crea nuevas particiones según sea necesario y añade la extensión IDP a todas las CRL, incluida la original. Al cambiar de particionada a completa, solo se actualiza una única CRL y se evita la revocación futura de los certificados asociados a las particiones anteriores.
-
nota
Tanto el OCSP como las CRL presentan cierto retraso entre la revocación y la disponibilidad del cambio de estado.
-
Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de las CRL, que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas del OCSP.
-
Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si por alguna razón se produce un error en la actualización de la CRL, Autoridad de certificación privada de AWS vuelve a intentarlo cada 15 minutos.
Requisitos generales para las configuraciones de revocación
Los siguientes requisitos se aplican a todas las configuraciones de revocación.
-
Una configuración que deshabilite las CRL o el OCSP debe contener solo el parámetro
Enabled=Falsey fallará si se incluyen otros parámetros, comoCustomCnameoExpirationInDays. -
En la configuración de una CRL, el parámetro
S3BucketNamedebe cumplir las reglas de nomenclatura de los bucket de Amazon Simple Storage Service. -
Una configuración que contiene un parámetro de nombre canónico (CNAME) personalizado para CRL o OCSP debe cumplir con las restricciones RFC7230
sobre el uso de caracteres especiales en un CNAME. -
En la configuración de una CRL o un OCSP, el valor de un parámetro de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.