Configuration du certificat de serveur pour l'OCSPagrafage - AWS IoT Core
Qu’est-ce qu’OCSP ?Comment fonctionne OCSP l'agrafageActivation du certificat de serveur OCSP dans AWS IoT CoreConfiguration du certificat de serveur OCSP pour les points de terminaison privés dans AWS IoT CoreRemarques importantes concernant l'utilisation de l'OCSPagrafage de certificats de serveur dans AWS IoT CoreRésolution des problèmes liés à l'OCSPagrafage des certificats de serveur AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du certificat de serveur pour l'OCSPagrafage

AWS IoT Core prend en charge l'agrafage du protocole Online Certificate Status Protocol (OCSP) pour les certificats de serveur, également appelé agrafage ou OCSP agrafage de certificats de serveur. OCSP Il s'agit d'un mécanisme de sécurité utilisé pour vérifier l'état de révocation du certificat de serveur lors d'une poignée de main Transport Layer Security (TLS). OCSPl'agrafage vous AWS IoT Core permet d'ajouter une couche de vérification supplémentaire à la validité du certificat de serveur de votre domaine personnalisé.

Vous pouvez activer l'OCSPagrafage des certificats de serveur AWS IoT Core pour vérifier la validité du certificat en interrogeant régulièrement le OCSP répondeur. Le paramètre OCSP d'agrafage fait partie du processus de création ou de mise à jour d'une configuration de domaine avec un domaine personnalisé. OCSPl'agrafage vérifie en permanence l'état de révocation du certificat du serveur. Cela permet de vérifier que les certificats révoqués par l'autorité de certification ne sont plus approuvés par les clients qui se connectent à vos domaines personnalisés. Pour de plus amples informations, veuillez consulter Activation du certificat de serveur OCSP dans AWS IoT Core.

L'OCSPagrafage des certificats de serveur permet de vérifier l'état de révocation en temps réel, de réduire la latence associée à la vérification de l'état de révocation et d'améliorer la confidentialité et la fiabilité des connexions sécurisées. Pour plus d'informations sur les avantages de l'OCSPagrafage, consultez. Avantages de l'OCSPagrafage par rapport aux contrôles côté client OCSP

Note

Cette fonctionnalité n'est pas disponible dans AWS GovCloud (US) Regions.

Qu’est-ce qu’OCSP ?

Le protocole d'état des certificats en ligne (OCSP) permet de fournir le statut de révocation d'un certificat de serveur pour une poignée de main avec Transport Layer Security (TLS).

Concepts clés

Les concepts clés suivants fournissent des détails sur le protocole d'état des certificats en ligne (OCSP).

OCSP

OCSPest utilisé pour vérifier l'état de révocation du certificat lors de la poignée de main Transport Layer Security (TLS). OCSPpermet la validation en temps réel des certificats. Cela confirme que le certificat n'a pas été révoqué ou n'a pas expiré depuis son émission. OCSPest également plus évolutif que les listes de révocation de certificats traditionnelles (CRLs). OCSPles réponses sont plus petites et peuvent être générées efficacement, ce qui les rend plus adaptées aux infrastructures à clé privée à grande échelle (PKIs).

OCSPrépondeur

Un OCSP répondeur (également appelé OCSP serveur) reçoit et répond aux OCSP demandes des clients qui cherchent à vérifier l'état de révocation des certificats.

Côté client OCSP

Côté clientOCSP, le client a l'habitude de contacter un OCSP répondeur OCSP pour vérifier l'état de révocation du certificat lors de la poignée de main. TLS

Côté serveur OCSP

Côté serveur OCSP (également connu sous le nom d'OCSPagrafage), le serveur est activé (plutôt que le client) pour envoyer la demande au répondeur. OCSP Le serveur agrafe la OCSP réponse au certificat et la renvoie au client lors de la TLS poignée de main.

OCSPdiagrammes

Le schéma suivant illustre le fonctionnement côté client OCSP et côté serveurOCSP.

Diagrammes côté client OCSP et côté serveur OCSP
Côté client OCSP

  1. Le client envoie un ClientHello message pour initier la prise TLS de contact avec le serveur.

  2. Le serveur reçoit le message et y répond par un ServerHello message. Le serveur envoie également le certificat du serveur au client.

  3. Le client valide le certificat du serveur et en OCSP URI extrait un.

  4. Le client envoie une demande de vérification de révocation de certificat au OCSP répondeur.

  5. Le OCSP répondeur envoie une OCSP réponse.

  6. Le client valide le statut du certificat à partir de la OCSP réponse.

  7. La TLS poignée de main est terminée.

Côté serveur OCSP

  1. Le client envoie un ClientHello message pour initier la prise TLS de contact avec le serveur.

  2. Le serveur reçoit le message et obtient la dernière OCSP réponse mise en cache. Si la réponse mise en cache est manquante ou a expiré, le serveur appellera le OCSP répondeur pour connaître l'état du certificat.

  3. Le OCSP répondeur envoie une OCSP réponse au serveur.

  4. Le serveur envoie un ServerHello message. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  5. Le client valide le statut du OCSP certificat.

  6. La TLS poignée de main est terminée.

Comment fonctionne OCSP l'agrafage

OCSPl'agrafage est utilisé lors de la prise de TLS contact entre le client et le serveur pour vérifier l'état de révocation du certificat du serveur. Le serveur fait la OCSP demande au OCSP répondeur et agrafe les OCSP réponses aux certificats renvoyés au client. En demandant au serveur de faire la demande au OCSP répondeur, les réponses peuvent être mises en cache puis utilisées plusieurs fois pour de nombreux clients.

Comment fonctionne OCSP l'agrafage dans AWS IoT Core

Le schéma suivant montre le fonctionnement de l'OCSPagrafage côté serveur. AWS IoT Core

Ce schéma montre le fonctionnement de l'OCSPagrafage côté serveur. AWS IoT Core

  1. L'appareil doit être enregistré avec des domaines personnalisés avec l'OCSPagrafage activé.

  2. AWS IoT Core appelle le OCSP répondeur toutes les heures pour connaître l'état du certificat.

  3. Le OCSP répondeur reçoit la demande, envoie la dernière OCSP réponse et stocke la réponse mise en cacheOCSP.

  4. L'appareil envoie un ClientHello message pour initier la TLS poignée de main AWS IoT Core.

  5. AWS IoT Core obtient la dernière OCSP réponse du cache du serveur, qui répond par une OCSP réponse du certificat.

  6. Le serveur envoie un ServerHello message à l'appareil. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  7. L'appareil valide le statut du OCSP certificat.

  8. La TLS poignée de main est terminée.

Avantages de l'OCSPagrafage par rapport aux contrôles côté client OCSP

Parmi les avantages de l'OCSPagrafage de certificats de serveur, citons les suivants :

Confidentialité améliorée

Sans OCSP agrafage, l'appareil du client peut exposer des informations à des OCSP intervenants tiers, ce qui peut compromettre la confidentialité des utilisateurs. OCSPl'agrafage atténue ce problème en permettant au serveur d'obtenir la OCSP réponse et de la transmettre directement au client.

Fiabilité améliorée

OCSPl'agrafage peut améliorer la fiabilité des connexions sécurisées car il réduit le risque de panne des OCSP serveurs. Lorsque OCSP les réponses sont agrafées, le serveur inclut la réponse la plus récente avec le certificat. Cela permet aux clients d'accéder au statut de révocation même si le OCSP répondeur est temporairement indisponible. OCSPl'agrafage permet d'atténuer ces problèmes car le serveur récupère les OCSP réponses périodiquement et inclut les réponses mises en cache dans la poignée de main. TLS Cela réduit la dépendance à l'égard de la disponibilité en temps réel des OCSP intervenants.

Charge de serveur réduite

OCSPl'agrafage décharge le serveur de la charge de répondre aux OCSP demandes des OCSP répondeurs. Cela permet de répartir la charge de manière plus uniforme, ce qui rend le processus de validation des certificats plus efficace et évolutif.

Latence réduite

OCSPl'agrafage réduit le temps de latence associé à la vérification de l'état de révocation d'un certificat lors de la poignée de main. TLS Au lieu que le client doive interroger un OCSP serveur séparément, le serveur envoie la demande et joint la OCSP réponse au certificat du serveur lors de la prise de contact.

Activation du certificat de serveur OCSP dans AWS IoT Core

Pour activer l'OCSPagrafage des certificats de serveur AWS IoT Core, créez une configuration de domaine pour un domaine personnalisé ou mettez à jour une configuration de domaine personnalisée existante. Pour obtenir des informations générales sur la création d'une configuration de domaine avec un domaine personnalisé, consultezCréation et configuration de domaines gérés par le client.

Suivez les instructions ci-dessous pour activer l'agrafage OCSP du serveur à l'aide AWS Management Console de ou. AWS CLI

Pour activer l'OCSPagrafage des certificats de serveur à l'aide de la AWS IoT console :

  1. Dans le menu de navigation, choisissez Paramètres, puis choisissez Créer une configuration de domaine, ou choisissez une configuration de domaine existante pour un domaine personnalisé.

  2. Si vous avez choisi de créer une nouvelle configuration de domaine à l'étape précédente, vous verrez la page Créer une configuration de domaine. Dans la section Propriétés de configuration du domaine, sélectionnez Domaine personnalisé. Entrez les informations pour créer une configuration de domaine.

    Si vous choisissez de mettre à jour une configuration de domaine existante pour un domaine personnalisé, vous verrez la page des détails de configuration du domaine. Choisissez Modifier.

  3. Pour activer l'agrafage OCSP du serveur, choisissez Activer l'agrafage du certificat du serveur dans la OCSP sous-section Configurations des certificats du serveur.

  4. Choisissez Créer une configuration de domaine ou Mettre à jour la configuration de domaine.

Pour activer l'OCSPagrafage de certificats de serveur à l'aide de : AWS CLI

  1. Si vous créez une nouvelle configuration de domaine pour un domaine personnalisé, la commande permettant d'activer l'agrafage OCSP du serveur peut se présenter comme suit :

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Si vous mettez à jour une configuration de domaine existante pour un domaine personnalisé, la commande permettant d'activer l'agrafage OCSP du serveur peut se présenter comme suit :

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Pour plus d'informations, voir CreateDomainConfigurationet UpdateDomainConfigurationà partir de la AWS IoT API référence.

Configuration du certificat de serveur OCSP pour les points de terminaison privés dans AWS IoT Core

OCSPpour les points de terminaison privés vous permet d'utiliser vos OCSP ressources privées au sein de votre Amazon Virtual Private Cloud (AmazonVPC) pour vos AWS IoT Core opérations. Le processus implique la mise en place d'une fonction Lambda qui agit comme un OCSP répondeur. La fonction Lambda peut utiliser vos OCSP ressources privées pour élaborer des OCSP réponses qui AWS IoT Core utiliseront.

Fonction Lambda

Avant de configurer le serveur OCSP pour un point de terminaison privé, créez une fonction Lambda qui agit comme un répondeur conforme au protocole d'état du certificat en ligne (RFC) Request for Comments () 6960, prenant en charge OCSP les réponses de base. OCSP La fonction Lambda accepte un codage base64 de la OCSP demande au format Distinguished Encoding Rules (). DER La réponse de la fonction Lambda est également une réponse codée en base64 OCSP au format. DER La taille de la réponse ne doit pas dépasser 4 kilo-octets (KiB). La fonction Lambda doit être identique à la Compte AWS configuration Région AWS du domaine. Voici des exemples de fonctions Lambda.

Exemples de fonctions Lambda

JavaScript
import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "MIIC/woBAKCCAvgwggL0BgkrBgEFBQcwAQEEggLlMIIC4TCByqFkMGIxJzAlBgNVBAoMHlJpY2hhcmQncyBEaXNjb3VudCBMYW1iZGEgT0NTUDEZMBcGA1UEAwwQcm91bmRhYm91dE5hdGlvbjEPMA0GA1UEBwwGQ2FybWVsMQswCQYDVQQGEwJJThgPMjAyNDA0MjMxODUzMjVaMFEwTzA6MAkGBSsOAwIaBQAEFD2L7Ol/6ieNMaJbwRbxFWFweXGPBBSzSThwzTc3/p5w7WOtPjp3otNtVgIBAYAAGA8yMDI0MDQyMzE4NTMyNVowDQYJKoZIhvcNAQELBQADggIBAJFRyjDAHfazNejo704Ra3FOsGq/+s82R1spDarr3k7Pzkod9jJhwsZ2YgushlS4Npfe4lHCdwFyZR75WXrW55aXFddy03KLz01ZLNYyxkleW3f5dgrUcRU3PMW9TU2gZ0VOV8L5pmxKBoBRFt6EKtyh4CbiuqkTpLdLIMZmTyanhl5GVyU5MBHdbH8YWZoT/DEBiyS7ZsyhKo6igWU/SY7YMSKgwBvFsqSDcOa/hRYQkxWKWJ19gcz8CIkWN7NvfIxCs6VrAdzEJwmE7y3v+jdfhxW9JmI4xStE4K0tAR9vVOOfKs7NvxXj7oc9pCSG60xl96kaEE6PaY1YsfNTsKQ7pyCJ0s7/2q+ieZ4AtNyzw1XBadPzPJNv6E0LvI24yQZqN5wACvtut5prMMRxAHbOy+abLZR58wloFSELtGJ7UD96LFv1GgtC5s+2QlzPc4bEEof7Lo1EISt3j2ibNch8LxhqTQ4ufrbhsMkpSOTFYEJVMJF6aKj/OGXBUUqgc0Jx6jjJXNQd+l5KCY9pQFeb/wVUYC6mYqZOkNNMMJxPbHHbFnqb68yO+g5BE9011N44YXoPVJYoXxBLFX+OpRu9cqPkT9/vlkKd+SYXQknwZ81agKzhf1HsBKabtJwNVMlBKaI8g5UGa7Bxi6ewH3ezdWiERRUK7F56OM53wto/";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}
Java
package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorisation d' AWS IoT invoquer votre fonction Lambda

Lors de la création de la configuration du domaine avec un OCSP répondeur Lambda, vous devez AWS IoT autoriser l'appel de la fonction Lambda une fois celle-ci créée. Pour accorder l'autorisation, vous pouvez utiliser la CLI commande add permission.

Accordez l'autorisation à votre fonction Lambda à l'aide du AWS CLI

  1. Après avoir inséré vos valeurs, entrez la commande suivante. Notez que la valeur statement-id doit être unique. Remplacez Id-1234 par la valeur exacte que vous avez, sinon vous risquez de recevoir une ResourceConflictException erreur.

    aws lambda add-permission  \
--function-name "ocsp-function" \
--principal "iot.amazonaws.com" \
--action "lambda:InvokeFunction" \
--statement-id "Id-1234" \
--source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
--source-account 123456789012

    La configuration du domaine IoT ARNs suivra le schéma suivant. Le suffixe généré par le service ne sera pas connu avant la création, vous devez donc le remplacer par un. * Vous pouvez mettre à jour l'autorisation une fois que la configuration du domaine a été créée et que l'exactitude ARN est connue.

    arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

  2. Si la commande aboutit, elle renvoie une instruction d'autorisation, comme dans cet exemple. Vous pouvez passer à la section suivante pour configurer l'OCSPagrafage pour les points de terminaison privés.

    {
    "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
}

    Si la commande échoue, elle renvoie une erreur, comme dans cet exemple. Vous devez vérifier et corriger l'erreur avant de continuer.

    An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Configuration de l'OCSPagrafage du serveur pour les points de terminaison privés

Pour configurer l'OCSPagrafage des certificats de serveur à l'aide de la AWS IoT console :

  1. Dans le menu de navigation, choisissez Paramètres, puis choisissez Créer une configuration de domaine, ou choisissez une configuration de domaine existante pour un domaine personnalisé.

  2. Si vous avez choisi de créer une nouvelle configuration de domaine à l'étape précédente, vous verrez la page Créer une configuration de domaine. Dans la section Propriétés de configuration du domaine, sélectionnez Domaine personnalisé. Entrez les informations pour créer une configuration de domaine.

    Si vous choisissez de mettre à jour une configuration de domaine existante pour un domaine personnalisé, vous verrez la page des détails de configuration du domaine. Choisissez Modifier.

  3. Pour activer l'agrafage OCSP du serveur, choisissez Activer l'agrafage du certificat du serveur dans la OCSP sous-section Configurations des certificats du serveur.

  4. Choisissez Créer une configuration de domaine ou Mettre à jour la configuration de domaine.

Pour configurer l'OCSPagrafage des certificats de serveur à l'aide de : AWS CLI

  1. Si vous créez une nouvelle configuration de domaine pour un domaine personnalisé, la commande permettant de configurer le certificat de serveur OCSP pour les points de terminaison privés peut se présenter comme suit :

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

  2. Si vous mettez à jour une configuration de domaine existante pour un domaine personnalisé, la commande permettant de configurer le certificat de serveur OCSP pour les points de terminaison privés peut se présenter comme suit :

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"
enableOCSPCheck

Il s'agit d'une valeur booléenne qui indique si le contrôle d'OCSPagrafage du serveur est activé ou non. Pour activer l'OCSPagrafage des certificats de serveur, cette valeur doit être vraie.

ocspAuthorizedResponderArn

Il s'agit d'une valeur de chaîne du nom de ressource Amazon (ARN) pour un certificat X.509 stocké dans AWS Certificate Manager (ACM). S'il est fourni, AWS IoT Core il utilisera ce certificat pour valider la signature de la OCSP réponse reçue. S'il n'est pas fourni, AWS IoT Core il utilisera le certificat émetteur pour valider les réponses. Le certificat doit être identique Compte AWS à la configuration du domaine. Région AWS Pour plus d'informations sur l'enregistrement de votre certificat de répondeur autorisé, voir Importer des certificats dans AWS Certificate Manager.

ocspLambdaArn

Il s'agit d'une valeur de chaîne de l'Amazon Resource Name (ARN) pour une fonction Lambda qui agit comme un répondeur conforme à la norme Request for Comments (RFC) 6960 () et prend en charge OCSP les réponses de base. OCSP La fonction Lambda accepte un codage base64 de la OCSP demande qui est codé selon le format. DER La réponse de la fonction Lambda est également une réponse codée en base64 OCSP au format. DER La taille de la réponse ne doit pas dépasser 4 kilo-octets (KiB). La fonction Lambda doit être identique à la Compte AWS configuration Région AWS du domaine.

Pour plus d'informations, voir CreateDomainConfigurationet UpdateDomainConfigurationà partir de la AWS IoT API référence.

Remarques importantes concernant l'utilisation de l'OCSPagrafage de certificats de serveur dans AWS IoT Core

Lorsque vous utilisez un certificat de serveur OCSP dans AWS IoT Core, gardez à l'esprit les points suivants :

  1. AWS IoT Core ne prend en charge que OCSP les répondeurs accessibles via des IPv4 adresses publiques.

  2. La fonction d'OCSPagrafage intégrée AWS IoT Core ne prend pas en charge le répondeur autorisé. Toutes les OCSP réponses doivent être signées par l'autorité de certification qui a signé le certificat, et l'autorité de certification doit faire partie de la chaîne de certificats du domaine personnalisé.

  3. La fonction d'OCSPagrafage intégrée AWS IoT Core ne prend pas en charge les domaines personnalisés créés à l'aide de certificats auto-signés.

  4. AWS IoT Core appelle un OCSP répondeur toutes les heures et met la réponse en cache. Si l'appel au répondeur échoue, AWS IoT Core agrafera la réponse valide la plus récente.

  5. Si elle n'nextUpdateTimeest plus valide, la réponse AWS IoT Core sera supprimée du cache et la TLS poignée de mains n'inclura pas les données de OCSP réponse avant le prochain appel réussi au OCSP répondeur. Cela peut se produire lorsque la réponse mise en cache a expiré avant que le serveur ne reçoive une réponse valide du OCSP répondeur. La valeur de nextUpdateTime suggère que la OCSP réponse sera valide jusqu'à ce moment. Pour plus d'informations sur nextUpdateTime, consultez Entrées du OCSP journal des certificats de serveur.

  6. Parfois, AWS IoT Core ne reçoit pas la OCSP réponse ou supprime la OCSP réponse existante parce qu'elle a expiré. Si de telles situations se produisent, AWS IoT Core continuera à utiliser le certificat de serveur fourni par le domaine personnalisé sans OCSP réponse.

  7. La taille de la OCSP réponse ne peut pas dépasser 4 KiB.

Résolution des problèmes liés à l'OCSPagrafage des certificats de serveur AWS IoT Core

AWS IoT Core envoie la RetrieveOCSPStapleData.Success métrique et les entrées du RetrieveOCSPStapleData journal à CloudWatch. La métrique et les entrées du journal peuvent aider à détecter les problèmes liés à la récupération OCSP des réponses. Pour plus d’informations, consultez Métriques d'OCSPagrafage des certificats de serveur et Entrées du OCSP journal des certificats de serveur.