Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous planifiez votre PKI privée Autorité de certification privée AWS, vous devez réfléchir à la manière de gérer les situations dans lesquelles vous ne souhaitez plus que les points de terminaison fassent confiance à un certificat émis, par exemple lorsque la clé privée d'un point de terminaison est révélée. Les approches les plus courantes pour résoudre ce problème consistent à utiliser des certificats de courte durée ou à configurer la révocation des certificats. Les certificats de courte durée expirent en si peu de temps, en heures ou en jours, que la révocation n'a aucun sens, le certificat devenant invalide à peu près au même moment qu'il faut pour informer un terminal de révocation. Cette section décrit les options de révocation pour les Autorité de certification privée AWS clients, y compris la configuration et les meilleures pratiques.
Les clients qui recherchent une méthode de révocation peuvent choisir le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (CRLs) ou les deux.
Note
Si vous créez votre autorité de certification sans configurer la révocation, vous pourrez toujours la configurer ultérieurement. Pour de plus amples informations, veuillez consulter Mettre à jour une autorité de certification privée dans AWS Private Certificate Authority.
-
Protocole d'état des certificats en ligne (OCSP)
Autorité de certification privée AWS fournit une solution OCSP entièrement gérée pour informer les points de terminaison que les certificats ont été révoqués sans que les clients aient à exploiter eux-mêmes l'infrastructure. Les clients peuvent activer OCSP sur un nouveau produit ou sur un produit existant CAs en une seule opération à l'aide de la Autorité de certification privée AWS console, de l'API, de la CLI ou via AWS CloudFormation. Alors qu' CRLs ils sont stockés et traités sur le terminal et peuvent devenir obsolètes, les exigences de stockage et de traitement OCSP sont gérées de manière synchrone sur le backend du répondeur.
Lorsque vous activez l'OCSP pour une autorité de certification, Autorité de certification privée AWS incluez l'URL du répondeur OCSP dans l'extension Authority Information Access (AIA) de chaque nouveau certificat émis. L'extension permet aux clients tels que les navigateurs Web d'interroger le répondeur et de déterminer si un certificat d'entité finale ou d'autorité de certification subordonnée est fiable. Le répondeur renvoie un message d'état signé cryptographiquement pour garantir son authenticité.
Le répondeur Autorité de certification privée AWS OCSP est conforme à la RFC
5019. Considérations relatives à l'OCSP
-
Les messages d'état OCSP sont signés à l'aide du même algorithme de signature que celui pour lequel l'autorité de certification émettrice a été configurée. CAs créés dans la Autorité de certification privée AWS console utilisent l'algorithme de signature SHA256 WITHRSA par défaut. Les autres algorithmes pris en charge sont disponibles dans la documentation de CertificateAuthorityConfigurationl'API.
-
APIPassthrough et les modèles de CSRPassthrough certificats ne fonctionneront pas avec l'extension AIA si le répondeur OCSP est activé.
-
Le point de terminaison du service OCSP géré est accessible sur l'Internet public. Les clients qui veulent un OCSP mais préfèrent ne pas avoir de point de terminaison public devront exploiter leur propre infrastructure OCSP.
-
-
Listes de révocation de certificats () CRLs
Une liste de révocation de certifications (CRL) est un fichier qui contient une liste de certificats révoqués avant leur date d'expiration prévue. La CRL contient une liste de certificats auxquels il ne faut plus faire confiance, le motif de leur révocation et d'autres informations pertinentes.
Lorsque vous configurez votre autorité de certification (CA), vous pouvez choisir de Autorité de certification privée AWS créer une CRL complète ou partitionnée. Votre choix détermine le nombre maximum de certificats que l'autorité de certification peut émettre et révoquer. Pour plus d'informations, consultez Autorité de certification privée AWS Quotas.
Considérations relatives à la CRL
-
Considérations relatives à la mémoire et à la bande passante : CRLs nécessite plus de mémoire que l'OCSP en raison des exigences de téléchargement et de traitement locales. Cependant, CRLs cela peut réduire la bande passante réseau par rapport à l'OCSP en mettant en cache les listes de révocation au lieu de vérifier l'état de chaque connexion. Pour les appareils dont la mémoire est limitée, tels que certains appareils IoT, pensez à utiliser le partitionnement. CRLs
-
Modification du type de CRL : lors du passage d'une CRL complète à une CRL partitionnée, Autorité de certification privée AWS crée de nouvelles partitions selon les besoins et ajoute l'extension IDP à toutes CRLs, y compris à l'original. Le passage de partitionné à complet ne met à jour qu'une seule CRL et empêche la révocation future des certificats associés aux partitions précédentes.
-
Note
L'OCSP et l'OCSP CRLs présentent un certain délai entre la révocation et la disponibilité du changement de statut.
-
Les réponses OCSP peuvent prendre jusqu'à 60 minutes pour refléter le nouveau statut lorsque vous révoquez un certificat. En général, l'OCSP a tendance à favoriser une distribution plus rapide des informations de révocation car, contrairement aux réponses OCSP CRLs qui peuvent être mises en cache par les clients pendant des jours, les réponses OCSP ne sont généralement pas mises en cache par les clients.
-
Une liste de révocation de certificats est généralement mise à jour environ 30 minutes après la révocation d'un certificat. Si, pour une raison quelconque, une mise à jour de la CRL échoue, Autorité de certification privée AWS effectuez de nouvelles tentatives toutes les 15 minutes.
Exigences générales relatives aux configurations de révocation
Les exigences suivantes s'appliquent à toutes les configurations de révocation.
-
Une désactivation de configuration CRLs ou un OCSP ne doit contenir que le
Enabled=Falseparamètre et échouera si d'autres paramètres tels queCustomCnameouExpirationInDayssont inclus. -
Dans une configuration CRL, le
S3BucketNameparamètre doit être conforme aux règles de dénomination des compartiments Amazon Simple Storage Service. -
Une configuration contenant un paramètre de nom canonique (CNAME) personnalisé pour CRLs ou OCSP doit être conforme à aucune restriction RFC723sur
l'utilisation de caractères spéciaux dans un CNAME. -
Dans une configuration CRL ou OCSP, la valeur d'un paramètre CNAME ne doit pas inclure de préfixe de protocole tel que « http:// » ou « https:// ».
