View a markdown version of this page

Rencanakan Anda AWS Private CA metode pencabutan sertifikat - AWS Private Certificate Authority

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Rencanakan Anda AWS Private CA metode pencabutan sertifikat

Saat Anda merencanakan PKI pribadi Anda AWS Private CA, Anda harus mempertimbangkan cara menangani situasi di mana Anda tidak lagi ingin titik akhir mempercayai sertifikat yang dikeluarkan, seperti ketika kunci pribadi dari titik akhir diekspos. Pendekatan umum untuk masalah ini adalah dengan menggunakan sertifikat berumur pendek atau untuk mengkonfigurasi pencabutan sertifikat. Short-livedsertifikat kedaluwarsa dalam waktu yang singkat, dalam jam atau hari, pencabutan itu tidak masuk akal, dengan sertifikat menjadi tidak valid dalam waktu yang hampir bersamaan yang diperlukan untuk memberi tahu titik akhir pencabutan. Bagian ini menjelaskan opsi pencabutan untuk AWS Private CA pelanggan, termasuk konfigurasi dan praktik terbaik.

Pelanggan yang mencari metode pencabutan dapat memilih Online Certificate Status Protocol (OCSP), daftar pencabutan sertifikat (CRL), atau keduanya.

catatan

Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat Perbarui CA pribadi di AWS Private Certificate Authority.

  • Protokol Status Sertifikat Online (OCSP)

    AWS Private CA menyediakan solusi OCSP yang dikelola sepenuhnya untuk memberi tahu titik akhir bahwa sertifikat telah dicabut tanpa perlu pelanggan mengoperasikan infrastruktur sendiri. Pelanggan dapat mengaktifkan OCSP pada CA baru atau yang sudah ada dengan satu operasi menggunakan AWS Private CA konsol, API, CLI, atau melalui. CloudFormation Sedangkan CRL disimpan dan diproses pada titik akhir dan dapat menjadi basi, penyimpanan OCSP dan persyaratan pemrosesan ditangani secara serempak di backend responder.

    Saat Anda mengaktifkan OCSP untuk CA, AWS Private CA sertakan URL responden OCSP dalam ekstensi Authority Information Access (AIA) dari setiap sertifikat baru yang dikeluarkan. Ekstensi ini memungkinkan klien seperti browser web untuk menanyakan responden dan menentukan apakah sertifikat CA entitas akhir atau bawahan dapat dipercaya. Responden mengembalikan pesan status yang ditandatangani secara kriptografi untuk memastikan keasliannya.

    Responden AWS Private CA OCSP sesuai dengan RFC 5019.

    Pertimbangan OCSP

    • Pesan status OCSP ditandatangani menggunakan algoritma penandatanganan yang sama dengan CA penerbit yang dikonfigurasi untuk digunakan. CA yang dibuat di AWS Private CA konsol menggunakan algoritma tanda tangan SHA256WITHRSA secara default. Algoritma lain yang didukung dapat ditemukan di dokumentasi CertificateAuthorityConfigurationAPI.

    • Templat sertifikat ApiPassThrough dan CSRPassThrough tidak akan berfungsi dengan ekstensi AIA jika responden OCSP diaktifkan.

    • Titik akhir dari layanan OCSP yang dikelola dapat diakses di internet publik. Pelanggan yang menginginkan OCSP tetapi memilih untuk tidak memiliki titik akhir publik perlu mengoperasikan infrastruktur OCSP mereka sendiri.

  • Daftar Pencabutan Sertifikat (CRL)

    Daftar pencabutan sertifikasi (CRL) adalah file yang berisi daftar sertifikat yang dicabut sebelum tanggal kedaluwarsa yang dijadwalkan. CRL berisi daftar sertifikat yang seharusnya tidak lagi dipercaya, alasan pencabutan, dan informasi relevan lainnya.

    Saat mengonfigurasi otoritas sertifikat (CA), Anda dapat memilih apakah AWS Private CA membuat CRL lengkap atau terpartisi. Pilihan Anda menentukan jumlah maksimum sertifikat yang dapat diterbitkan dan dicabut oleh otoritas sertifikat. Untuk informasi lebih lanjut, lihat AWS Private CA kuota.

    Pertimbangan CRL

    • Pertimbangan memori dan bandwidth: CRL membutuhkan lebih banyak memori daripada OCSP karena persyaratan unduhan dan pemrosesan lokal. Namun, CRL dapat mengurangi bandwidth jaringan dibandingkan dengan OCSP dengan menyimpan daftar pencabutan alih-alih memeriksa status per koneksi. Untuk perangkat yang dibatasi memori, seperti perangkat IoT tertentu, pertimbangkan untuk menggunakan CRL yang dipartisi.

    • Mengubah jenis CRL: Saat mengubah dari CRL lengkap ke partisi, AWS Private CA buat partisi baru sesuai kebutuhan dan tambahkan ekstensi IDP ke semua CRL, termasuk yang asli. Mengubah dari dipartisi untuk menyelesaikan pembaruan hanya satu CRL dan mencegah pencabutan sertifikat di masa depan yang terkait dengan partisi sebelumnya.

catatan

Baik OCSP dan CRL menunjukkan beberapa penundaan antara pencabutan dan ketersediaan perubahan status.

  • Tanggapan OCSP dapat memakan waktu hingga 60 menit untuk mencerminkan status baru saat Anda mencabut sertifikat. Secara umum, OCSP cenderung mendukung distribusi informasi pencabutan yang lebih cepat karena, tidak seperti CRL yang dapat di-cache oleh klien selama berhari-hari, respons OCSP biasanya tidak di-cache oleh klien.

  • CRL biasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun pembaruan CRL gagal, lakukan AWS Private CA upaya lebih lanjut setiap 15 menit.

Persyaratan umum untuk konfigurasi pencabutan

Persyaratan berikut berlaku untuk semua konfigurasi pencabutan.

  • Konfigurasi yang menonaktifkan CRL atau OCSP harus berisi hanya Enabled=False parameter, dan akan gagal jika parameter lain seperti CustomCname atau disertakan. ExpirationInDays

  • Dalam konfigurasi CRL, S3BucketName parameter harus sesuai dengan aturan penamaan bucket Amazon Simple Storage Service.

  • Konfigurasi yang berisi parameter Nama Canonical kustom (CNAME) untuk CRL atau OCSP harus sesuai dengan pembatasan RFC7230 pada penggunaan karakter khusus dalam CNAME.

  • Dalam konfigurasi CRL atau OCSP, nilai parameter CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.