Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del certificato del server per la graffatura di OCSP
AWS IoT Core supporta la cucitura OCSP (Online Certificate Status Protocol)
È possibile abilitare lo stapling OCSP del certificato del server AWS IoT Core per verificare la validità del certificato interrogando periodicamente il risponditore OCSP. L'impostazione di graffatura OCSP fa parte del processo di creazione o aggiornamento di una configurazione di dominio con un dominio personalizzato. OCSP Stapling verifica continuamente lo stato di revoca sul certificato del server. Questo aiuta a verificare che i certificati che sono stati revocati dalla CA non siano più considerati attendibili dai client che si connettono ai domini personalizzati. Per ulteriori informazioni, consulta Attivazione della memorizzazione OCSP del certificato del server AWS IoT Core.
L'archiviazione OCSP dei certificati server consente di controllare lo stato di revoca in tempo reale, riduce la latenza associata al controllo dello stato di revoca e migliora la privacy e l'affidabilità delle connessioni sicure. Per ulteriori informazioni sui vantaggi dell'utilizzo della graffatura OCSP, vedere. Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client
Nota
Questa funzionalità non è disponibile in. AWS GovCloud (US) Regions
In questo argomento:
Che cos'è OCSP?
Concetti chiave
I seguenti concetti forniscono dettagli su OCSP e concetti correlati.
OCSP
OCSP
Risponditore OCSP
Un risponditore OCSP (noto anche come server OCSP) riceve e risponde alle richieste OCSP dei client che cercano di verificare lo stato di revoca dei certificati.
OCSP lato client
In OCSP lato client, il client utilizza OCSP per contattare un risponditore OCSP per verificare lo stato di revoca del certificato durante l'handshake Transport Layer Security (TLS).
OCSP lato server
In OCSP lato server (noto anche come pinzatura OCSP), il server è abilitato (anziché il client) a effettuare la richiesta al risponditore OCSP. Il server memorizza la risposta OCSP al certificato e la restituisce al client durante l'handshake TLS.
Diagrammi OCSP
Il diagramma seguente illustra il funzionamento di OCSP lato client e OCSP lato server.
OCSP lato client
Il client invia un
ClientHello
messaggio per avviare l'handshake TLS con il server.Il server riceve il messaggio e risponde con un messaggio.
ServerHello
Il server invia inoltre il certificato del server al client.Il client convalida il certificato del server e ne estrae un URI OCSP.
Il client invia una richiesta di controllo della revoca del certificato al risponditore OCSP.
Il risponditore OCSP invia una risposta OCSP.
Il client convalida lo stato del certificato dalla risposta OCSP.
L'handshake TLS è completato.
OCSP lato server
-
Il client invia un
ClientHello
messaggio per avviare l'handshake TLS con il server. Il server riceve il messaggio e riceve l'ultima risposta OCSP memorizzata nella cache. Se la risposta memorizzata nella cache è mancante o è scaduta, il server chiamerà il risponditore OCSP per verificare lo stato del certificato.
Il risponditore OCSP invia una risposta OCSP al server.
Il server invia un messaggio.
ServerHello
Il server invia inoltre il certificato del server e lo stato del certificato al client.Il client convalida lo stato del certificato OCSP.
L'handshake TLS è completato.
Come funziona la cucitura OCSP
La graffatura OCSP viene utilizzata durante l'handshake Transport Layer Security (TLS) tra il client e il server per verificare lo stato di revoca del certificato del server. Il server invia la richiesta OCSP al risponditore OCSP e memorizza le risposte OCSP ai certificati restituiti al client. Facendo in modo che il server effettui la richiesta al risponditore OCSP, le risposte possono essere memorizzate nella cache e quindi utilizzate più volte per molti client.
Come funziona la cucitura OCSP in AWS IoT Core
Il diagramma seguente mostra come funziona la graffatura OCSP sul lato server. AWS IoT Core
-
Il dispositivo deve essere registrato con domini personalizzati con la graffatura OCSP abilitata.
-
AWS IoT Core chiama il risponditore OCSP ogni ora per ottenere lo stato del certificato.
-
Il risponditore OCSP riceve la richiesta, invia la risposta OCSP più recente e archivia la risposta OCSP nella cache.
-
Il dispositivo invia un
ClientHello
messaggio con cui avviare l'handshake TLS. AWS IoT Core -
AWS IoT Core ottiene la risposta OCSP più recente dalla cache del server, che risponde con una risposta OCSP del certificato.
-
Il server invia un
ServerHello
messaggio al dispositivo. Il server invia inoltre il certificato del server e lo stato del certificato al client. -
Il dispositivo convalida lo stato del certificato OCSP.
-
L'handshake TLS è completato.
Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client
Alcuni vantaggi dell'utilizzo della graffatura OCSP dei certificati server sono riassunti come segue:
Migliore privacy
Senza l'utilizzo di caratteri OCSP, il dispositivo del client può esporre le informazioni a risponditori OCSP di terze parti, compromettendo potenzialmente la privacy degli utenti. La graffatura OCSP mitiga questo problema facendo in modo che il server ottenga la risposta OCSP e la invii direttamente al client.
Affidabilità migliorata
La pinzatura OCSP può migliorare l'affidabilità delle connessioni sicure perché riduce il rischio di interruzioni del server OCSP. Quando le risposte OCSP vengono pinzate, il server include la risposta più recente con il certificato. In questo modo i client hanno accesso allo stato di revoca anche se il risponditore OCSP è temporaneamente non disponibile. Lo stapling OCSP aiuta a mitigare questi problemi perché il server recupera periodicamente le risposte OCSP e include le risposte memorizzate nella cache nell'handshake TLS, riducendo la dipendenza dalla disponibilità in tempo reale dei risponditori OCSP.
Carico ridotto del server
Lo stapling OCSP alleggerisce al server l'onere di rispondere alle richieste OCSP dei risponditori OCSP. Questo può aiutare a distribuire il carico in modo più uniforme, rendendo il processo di convalida dei certificati più efficiente e scalabile.
Latenza ridotta
Lo stapling OCSP riduce la latenza associata al controllo dello stato di revoca di un certificato durante l'handshake TLS. Invece di dover interrogare separatamente un server OCSP, il server invia la richiesta e allega la risposta OCSP al certificato del server durante l'handshake.
Attivazione della memorizzazione OCSP del certificato del server AWS IoT Core
Per abilitare l'apposizione del certificato del server OCSP AWS IoT Core, è necessario creare una configurazione di dominio per un dominio personalizzato o aggiornare una configurazione di dominio personalizzata esistente. Per informazioni generali sulla creazione di una configurazione di dominio con un dominio personalizzato, vedere. Creazione e configurazione di domini personalizzati
Utilizzare le seguenti istruzioni per abilitare la pinzatura del server OCSP utilizzando AWS Management Console o. AWS CLI
Per abilitare la graffatura OCSP del certificato del server tramite la console: AWS IoT
Scegli Impostazioni dalla barra di navigazione a sinistra del menu, quindi scegli Crea configurazione di dominio o una configurazione di dominio esistente per un dominio personalizzato.
Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.
Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.
Per abilitare lo stampaggio OCSP del server OCSP, scegli Abilita la graffatura OCSP dei certificati del server nella sottosezione Configurazioni dei certificati del server.
-
Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.
Per abilitare la memorizzazione OCSP del certificato del server utilizzando: AWS CLI
Se si crea una nuova configurazione di dominio per un dominio personalizzato, il comando per abilitare la graffatura del server OCSP può essere simile al seguente:
aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"Se si aggiorna una configurazione di dominio esistente per un dominio personalizzato, il comando per abilitare lo stapling del server OCSP può essere simile al seguente:
aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"
Per ulteriori informazioni, consulta CreateDomainConfiguratione consulta l' AWS IoT API UpdateDomainConfigurationReference.
Note importanti per l'utilizzo del certificato del server OCSP in AWS IoT Core
Quando utilizzi il certificato del server OCSP in AWS IoT Core, tieni presente quanto segue:
-
AWS IoT Core supporta solo i risponditori OCSP raggiungibili tramite indirizzi IPv4 pubblici.
-
La funzionalità di fissaggio OCSP non supporta i risponditori autorizzati. AWS IoT Core Tutte le risposte OCSP devono essere firmate dalla CA che ha firmato il certificato e la CA deve far parte della catena di certificati del dominio personalizzato.
-
La funzionalità di base OCSP AWS IoT Core non supporta i domini personalizzati creati utilizzando certificati autofirmati.
-
AWS IoT Core chiama un risponditore OCSP ogni ora e memorizza la risposta nella cache. Se la chiamata al risponditore fallisce, AWS IoT Core memorizzerà la risposta valida più recente.
-
Se non
nextUpdateTime
è più valida, AWS IoT Core rimuoverà la risposta dalla cache e l'handshake TLS non includerà i dati di risposta OCSP fino alla successiva chiamata riuscita al risponditore OCSP. Ciò può accadere quando la risposta memorizzata nella cache è scaduta prima che il server riceva una risposta valida dal risponditore OCSP. Il valore dinextUpdateTime
suggerisce che la risposta OCSP sarà valida fino a quel momento. Per ulteriori informazioni sunextUpdateTime
, consulta Voci del OCSP registro dei certificati del server. -
A volte, AWS IoT Core non riesce a ricevere la risposta OCSP o rimuove la risposta OCSP esistente perché è scaduta. Se si verificano situazioni come queste, AWS IoT Core continuerà a utilizzare il certificato del server fornito dal dominio personalizzato senza la risposta OCSP.
-
La dimensione della risposta OCSP non può superare i 4 KiB.
Risoluzione dei problemi relativi all'inserimento del certificato OCSP del server AWS IoT Core
AWS IoT Core emette la RetrieveOCSPStapleData.Success
metrica e le voci di registro su. RetrieveOCSPStapleData
CloudWatch La metrica e le voci di registro possono aiutare a rilevare problemi relativi al recupero delle risposte OCSP. Per ulteriori informazioni, consultare Metriche di OCSP graffing dei certificati del server e Voci del OCSP registro dei certificati del server.