Sesuaikan OCSP URL untuk AWS Private CA - AWS Private Certificate Authority

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sesuaikan OCSP URL untuk AWS Private CA

catatan

Topik ini ditujukan untuk pelanggan yang ingin menyesuaikan publik URL titik akhir responder Online Certificate Status Protocol (OCSP) untuk branding atau tujuan lain. Jika Anda berencana untuk menggunakan konfigurasi default AWS Private CA terkelolaOCSP, Anda dapat melewati topik ini dan mengikuti petunjuk konfigurasi di Konfigurasi pencabutan.

Secara default, saat Anda mengaktifkan OCSP untuk AWS Private CA, setiap sertifikat yang Anda terbitkan berisi URL untuk AWS OCSP responden. Ini memungkinkan klien yang meminta koneksi yang aman secara kriptografis untuk mengirim kueri OCSP validasi langsung ke. AWS Namun, dalam beberapa kasus mungkin lebih baik untuk menyatakan yang berbeda URL dalam sertifikat Anda sambil tetap mengirimkan kueri OCSP ke. AWS

catatan

Untuk informasi tentang menggunakan daftar pencabutan sertifikat (CRL) sebagai alternatif atau tambahanOCSP, lihat Mengonfigurasi pencabutan dan Merencanakan daftar pencabutan sertifikat (). CRL

Tiga elemen terlibat dalam mengkonfigurasi kustom URL untukOCSP.

Diagram berikut menggambarkan bagaimana elemen-elemen ini bekerja sama.

OCSPTopologi kustom

Seperti yang ditunjukkan pada diagram, proses OCSP validasi yang disesuaikan melibatkan langkah-langkah berikut:

  1. Kueri klien DNS untuk domain target.

  2. Klien menerima IP target.

  3. Klien membuka TCP koneksi dengan target.

  4. Klien menerima TLS sertifikat target.

  5. Kueri klien DNS untuk OCSP domain yang tercantum dalam sertifikat.

  6. Klien menerima IP proxy.

  7. Klien mengirimkan OCSP kueri ke proxy.

  8. Proxy meneruskan kueri ke OCSP responden.

  9. Responder mengembalikan status sertifikat ke proxy.

  10. Proxy meneruskan status sertifikat ke klien.

  11. Jika sertifikat valid, klien mulai TLS berjabat tangan.

Tip

Contoh ini dapat diimplementasikan menggunakan Amazon CloudFront dan Amazon Route 53 setelah Anda mengonfigurasi CA seperti yang dijelaskan di atas.

  1. Di CloudFront, buat distribusi dan konfigurasikan sebagai berikut:

    • Buat nama alternatif yang cocok dengan kustom AndaCNAME.

    • Ikat sertifikat Anda untuk itu.

    • Setel ocsp.acm-pca.<region>.amazonaws.com sebagai asal.

    • Terapkan Managed-CachingDisabled kebijakan.

    • Tetapkan kebijakan protokol Viewer ke HTTPdan HTTPS.

    • Setel HTTPmetode yang Diizinkan ke GETHEAD,OPTIONS,PUT,POST,,PATCH, DELETE.

  2. Di Route 53, buat DNS catatan yang memetakan kustom Anda CNAME ke CloudFront distribusi. URL