Configuration du certificat de serveur pour l'OCSPagrafage - AWS IoT Core
Qu'est-ce qu'OCSP ?Comment fonctionne OCSP l'agrafageActivation de l'OCSPagrafage des certificats de serveur AWS IoT CoreRemarques importantes concernant l'utilisation de l'OCSPagrafage de certificats de serveur dans AWS IoT CoreRésolution des problèmes liés à l'OCSPagrafage des certificats de serveur AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du certificat de serveur pour l'OCSPagrafage

AWS IoT Core prend en charge l'agrafage du protocole Online Certificate Status Protocol (OCSP) pour les certificats de serveur, également appelé agrafage ou OCSP agrafage de certificats de serveur. OCSP Il s'agit d'un mécanisme de sécurité utilisé pour vérifier l'état de révocation du certificat de serveur lors d'une poignée de main Transport Layer Security (TLS). OCSPl'agrafage vous AWS IoT Core permet d'ajouter une couche de vérification supplémentaire à la validité du certificat de serveur de votre domaine personnalisé.

Vous pouvez activer l'OCSPagrafage des certificats de serveur AWS IoT Core pour vérifier la validité du certificat en interrogeant régulièrement le OCSP répondeur. Le paramètre OCSP d'agrafage fait partie du processus de création ou de mise à jour d'une configuration de domaine avec un domaine personnalisé. OCSPl'agrafage vérifie en permanence l'état de révocation du certificat du serveur. Cela permet de vérifier que les certificats révoqués par l'autorité de certification ne sont plus approuvés par les clients qui se connectent à vos domaines personnalisés. Pour de plus amples informations, veuillez consulter Activation de l'OCSPagrafage des certificats de serveur AWS IoT Core.

L'OCSPagrafage des certificats de serveur permet de vérifier l'état de révocation en temps réel, de réduire la latence associée à la vérification de l'état de révocation et d'améliorer la confidentialité et la fiabilité des connexions sécurisées. Pour plus d'informations sur les avantages de l'OCSPagrafage, consultez. Avantages de l'OCSPagrafage par rapport aux contrôles côté client OCSP

Note

Cette fonctionnalité n'est pas disponible dans AWS GovCloud (US) Regions.

Qu'est-ce qu'OCSP ?

Le protocole d'état des certificats en ligne (OCSP) permet de fournir le statut de révocation d'un certificat de serveur pour une poignée de main avec Transport Layer Security (TLS).

Concepts clés

Les concepts clés suivants fournissent des détails sur le protocole d'état des certificats en ligne (OCSP).

OCSP

OCSPest utilisé pour vérifier l'état de révocation du certificat lors de la poignée de main Transport Layer Security (TLS). OCSPpermet la validation en temps réel des certificats. Cela confirme que le certificat n'a pas été révoqué ou n'a pas expiré depuis son émission. OCSPest également plus évolutif que les listes de révocation de certificats traditionnelles (CRLs). OCSPles réponses sont plus petites et peuvent être générées efficacement, ce qui les rend plus adaptées aux infrastructures à clé privée à grande échelle (PKIs).

OCSPrépondeur

Un OCSP répondeur (également appelé OCSP serveur) reçoit et répond aux OCSP demandes des clients qui cherchent à vérifier l'état de révocation des certificats.

Côté client OCSP

Côté clientOCSP, le client a l'habitude de contacter un OCSP répondeur OCSP pour vérifier l'état de révocation du certificat lors de la poignée de main Transport Layer Security (). TLS

Côté serveur OCSP

Côté serveur OCSP (également connu sous le nom d'OCSPagrafage), le serveur est activé (plutôt que le client) pour envoyer la demande au répondeur. OCSP Le serveur agrafe la OCSP réponse au certificat et la renvoie au client lors de la TLS poignée de main.

OCSPdiagrammes

Le schéma suivant illustre le fonctionnement côté client OCSP et côté serveurOCSP.

Diagrammes côté client OCSP et côté serveur OCSP
Côté client OCSP

  1. Le client envoie un ClientHello message pour initier la prise TLS de contact avec le serveur.

  2. Le serveur reçoit le message et y répond par un ServerHello message. Le serveur envoie également le certificat du serveur au client.

  3. Le client valide le certificat du serveur et en OCSP URI extrait un.

  4. Le client envoie une demande de vérification de révocation de certificat au OCSP répondeur.

  5. Le OCSP répondeur envoie une OCSP réponse.

  6. Le client valide le statut du certificat à partir de la OCSP réponse.

  7. La TLS poignée de main est terminée.

Côté serveur OCSP

  1. Le client envoie un ClientHello message pour initier la prise TLS de contact avec le serveur.

  2. Le serveur reçoit le message et obtient la dernière OCSP réponse mise en cache. Si la réponse mise en cache est manquante ou a expiré, le serveur appellera le OCSP répondeur pour connaître l'état du certificat.

  3. Le OCSP répondeur envoie une OCSP réponse au serveur.

  4. Le serveur envoie un ServerHello message. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  5. Le client valide le statut du OCSP certificat.

  6. La TLS poignée de main est terminée.

Comment fonctionne OCSP l'agrafage

OCSPl'agrafage est utilisé lors de la poignée de main Transport Layer Security (TLS) entre le client et le serveur pour vérifier l'état de révocation du certificat du serveur. Le serveur fait la OCSP demande au OCSP répondeur et agrafe les OCSP réponses aux certificats renvoyés au client. En demandant au serveur de faire la demande au OCSP répondeur, les réponses peuvent être mises en cache puis utilisées plusieurs fois pour de nombreux clients.

Comment fonctionne OCSP l'agrafage dans AWS IoT Core

Le schéma suivant montre le fonctionnement de l'OCSPagrafage côté serveur. AWS IoT Core

Ce schéma montre le fonctionnement de l'OCSPagrafage côté serveur. AWS IoT Core

  1. L'appareil doit être enregistré avec des domaines personnalisés avec l'OCSPagrafage activé.

  2. AWS IoT Core appelle le OCSP répondeur toutes les heures pour connaître l'état du certificat.

  3. Le OCSP répondeur reçoit la demande, envoie la dernière OCSP réponse et stocke la réponse mise en cacheOCSP.

  4. L'appareil envoie un ClientHello message pour initier la TLS poignée de main AWS IoT Core.

  5. AWS IoT Core obtient la dernière OCSP réponse du cache du serveur, qui répond par une OCSP réponse du certificat.

  6. Le serveur envoie un ServerHello message à l'appareil. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  7. L'appareil valide le statut du OCSP certificat.

  8. La TLS poignée de main est terminée.

Avantages de l'OCSPagrafage par rapport aux contrôles côté client OCSP

Quelques avantages de l'OCSPagrafage de certificats de serveur sont résumés comme suit :

Confidentialité améliorée

Sans OCSP agrafage, l'appareil du client peut exposer des informations à des OCSP intervenants tiers, ce qui peut compromettre la confidentialité des utilisateurs. OCSPl'agrafage atténue ce problème en permettant au serveur d'obtenir la OCSP réponse et de la transmettre directement au client.

Fiabilité améliorée

OCSPl'agrafage peut améliorer la fiabilité des connexions sécurisées car il réduit le risque de panne des OCSP serveurs. Lorsque OCSP les réponses sont agrafées, le serveur inclut la réponse la plus récente avec le certificat. Cela permet aux clients d'accéder au statut de révocation même si le OCSP répondeur est temporairement indisponible. OCSPl'agrafage permet d'atténuer ces problèmes car le serveur récupère les OCSP réponses périodiquement et inclut les réponses mises en cache dans la TLS poignée de main, réduisant ainsi le recours à la disponibilité en temps réel des intervenants. OCSP

Charge de serveur réduite

OCSPl'agrafage décharge le serveur de la charge de répondre aux OCSP demandes des OCSP répondeurs. Cela permet de répartir la charge de manière plus uniforme, ce qui rend le processus de validation des certificats plus efficace et évolutif.

Latence réduite

OCSPl'agrafage réduit le temps de latence associé à la vérification de l'état de révocation d'un certificat lors de la poignée de main. TLS Au lieu que le client doive interroger un OCSP serveur séparément, le serveur envoie la demande et joint la OCSP réponse au certificat du serveur lors de la prise de contact.

Activation de l'OCSPagrafage des certificats de serveur AWS IoT Core

Pour activer l'OCSPagrafage des certificats de serveur AWS IoT Core, vous devez créer une configuration de domaine pour un domaine personnalisé ou mettre à jour une configuration de domaine personnalisée existante. Pour obtenir des informations générales sur la création d'une configuration de domaine avec un domaine personnalisé, consultezCréation et configuration de domaines gérés par le client.

Suivez les instructions ci-dessous pour activer l'agrafage OCSP du serveur à l'aide AWS Management Console de ou. AWS CLI

Pour activer l'OCSPagrafage de certificats de serveur à l'aide de la console AWS IoT  :

  1. Choisissez Paramètres dans le menu de navigation de gauche, puis choisissez Créer une configuration de domaine ou une configuration de domaine existante pour un domaine personnalisé.

  2. Si vous choisissez de créer une nouvelle configuration de domaine à l'étape précédente, vous verrez la page Créer une configuration de domaine. Dans la section Propriétés de configuration du domaine, sélectionnez Domaine personnalisé. Entrez les informations pour créer une configuration de domaine.

    Si vous choisissez de mettre à jour une configuration de domaine existante pour un domaine personnalisé, vous verrez la page des détails de configuration du domaine. Choisissez Modifier.

  3. Pour activer l'agrafage OCSP du serveur, choisissez Activer l'agrafage du certificat du serveur dans la OCSP sous-section Configurations des certificats du serveur.

  4. Choisissez Créer une configuration de domaine ou Mettre à jour la configuration de domaine.

Pour activer l'OCSPagrafage de certificats de serveur à l'aide de : AWS CLI

  1. Si vous créez une nouvelle configuration de domaine pour un domaine personnalisé, la commande permettant d'activer l'agrafage OCSP du serveur peut se présenter comme suit :

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Si vous mettez à jour une configuration de domaine existante pour un domaine personnalisé, la commande permettant d'activer l'agrafage OCSP du serveur peut se présenter comme suit :

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Pour plus d'informations, voir CreateDomainConfigurationet UpdateDomainConfigurationà partir de la AWS IoT API référence.

Remarques importantes concernant l'utilisation de l'OCSPagrafage de certificats de serveur dans AWS IoT Core

Lorsque vous utilisez un certificat de serveur OCSP dans AWS IoT Core, gardez à l'esprit les points suivants :

  1. AWS IoT Core ne prend en charge que OCSP les répondeurs accessibles via des IPv4 adresses publiques.

  2. La fonction d'OCSPagrafage intégrée AWS IoT Core ne prend pas en charge le répondeur autorisé. Toutes les OCSP réponses doivent être signées par l'autorité de certification qui a signé le certificat, et l'autorité de certification doit faire partie de la chaîne de certificats du domaine personnalisé.

  3. La fonction d'OCSPagrafage intégrée AWS IoT Core ne prend pas en charge les domaines personnalisés créés à l'aide de certificats auto-signés.

  4. AWS IoT Core appelle un OCSP répondeur toutes les heures et met la réponse en cache. Si l'appel au répondeur échoue, AWS IoT Core agrafera la réponse valide la plus récente.

  5. Si elle n'nextUpdateTimeest plus valide, la réponse AWS IoT Core sera supprimée du cache et la TLS poignée de mains n'inclura pas les données de OCSP réponse avant le prochain appel réussi au OCSP répondeur. Cela peut se produire lorsque la réponse mise en cache a expiré avant que le serveur ne reçoive une réponse valide du OCSP répondeur. La valeur de nextUpdateTime suggère que la OCSP réponse sera valide jusqu'à ce moment. Pour plus d'informations sur nextUpdateTime, consultez Entrées du OCSP journal des certificats de serveur.

  6. Parfois, AWS IoT Core ne reçoit pas la OCSP réponse ou supprime la OCSP réponse existante parce qu'elle a expiré. Si de telles situations se produisent, AWS IoT Core continuera à utiliser le certificat de serveur fourni par le domaine personnalisé sans OCSP réponse.

  7. La taille de la OCSP réponse ne peut pas dépasser 4 KiB.

Résolution des problèmes liés à l'OCSPagrafage des certificats de serveur AWS IoT Core

AWS IoT Core envoie la RetrieveOCSPStapleData.Success métrique et les entrées du RetrieveOCSPStapleData journal à CloudWatch. La métrique et les entrées du journal peuvent aider à détecter les problèmes liés à la récupération OCSP des réponses. Pour plus d’informations, consultez Mesures d'OCSPagrafage des certificats de serveur et Entrées du OCSP journal des certificats de serveur.