Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sesuaikan OCSP URL untuk AWS Private CA
catatan
Topik ini ditujukan untuk pelanggan yang ingin menyesuaikan publik URL titik akhir responder Online Certificate Status Protocol (OCSP) untuk branding atau tujuan lain. Jika Anda berencana untuk menggunakan konfigurasi default AWS Private CA terkelolaOCSP, Anda dapat melewati topik ini dan mengikuti petunjuk konfigurasi di Konfigurasi pencabutan.
Secara default, saat Anda mengaktifkan OCSP untuk AWS Private CA, setiap sertifikat yang Anda terbitkan berisi URL untuk AWS OCSP responden. Ini memungkinkan klien yang meminta koneksi yang aman secara kriptografis untuk mengirim kueri OCSP validasi langsung ke. AWS Namun, dalam beberapa kasus mungkin lebih baik untuk menyatakan yang berbeda URL dalam sertifikat Anda sambil tetap mengirimkan kueri OCSP ke. AWS
catatan
Untuk informasi tentang menggunakan daftar pencabutan sertifikat (CRL) sebagai alternatif atau tambahanOCSP, lihat Mengonfigurasi pencabutan dan Merencanakan daftar pencabutan sertifikat (). CRL
Tiga elemen terlibat dalam mengkonfigurasi kustom URL untukOCSP.
-
Konfigurasi CA - Tentukan OCSP URL kustom
RevocationConfiguration
untuk CA Anda seperti yang dijelaskan Contoh 2: Buat CA dengan OCSP dan kustom CNAME diaktifkan dalamBuat CA pribadi di AWS Private CA. -
DNS— Tambahkan CNAME catatan ke konfigurasi domain Anda untuk memetakan yang URL muncul di sertifikat ke server proxyURL. Untuk informasi selengkapnya, lihat Contoh 2: Buat CA dengan OCSP dan kustom CNAME diaktifkan di Buat CA pribadi di AWS Private CA.
-
Forwarding proxy server - Siapkan server proxy yang dapat secara transparan meneruskan OCSP lalu lintas yang diterimanya ke responden. AWS OCSP
Diagram berikut menggambarkan bagaimana elemen-elemen ini bekerja sama.
Seperti yang ditunjukkan pada diagram, proses OCSP validasi yang disesuaikan melibatkan langkah-langkah berikut:
-
Kueri klien DNS untuk domain target.
-
Klien menerima IP target.
-
Klien membuka TCP koneksi dengan target.
-
Klien menerima TLS sertifikat target.
-
Kueri klien DNS untuk OCSP domain yang tercantum dalam sertifikat.
-
Klien menerima IP proxy.
-
Klien mengirimkan OCSP kueri ke proxy.
-
Proxy meneruskan kueri ke OCSP responden.
-
Responder mengembalikan status sertifikat ke proxy.
-
Proxy meneruskan status sertifikat ke klien.
-
Jika sertifikat valid, klien mulai TLS berjabat tangan.
Tip
Contoh ini dapat diimplementasikan menggunakan Amazon CloudFront dan Amazon Route 53 setelah Anda mengonfigurasi CA seperti yang dijelaskan di atas.
-
Di CloudFront, buat distribusi dan konfigurasikan sebagai berikut:
-
Buat nama alternatif yang cocok dengan kustom AndaCNAME.
-
Ikat sertifikat Anda untuk itu.
-
Setel ocsp.acm-pca.
<region>
.amazonaws.com sebagai asal. -
Terapkan
Managed-CachingDisabled
kebijakan. -
Tetapkan kebijakan protokol Viewer ke HTTPdan HTTPS.
-
Setel HTTPmetode yang Diizinkan ke GETHEAD,OPTIONS,PUT,POST,,PATCH, DELETE.
-
-
Di Route 53, buat DNS catatan yang memetakan kustom Anda CNAME ke CloudFront distribusi. URL