Configurazione del certificato del server per la OCSP graffatura - AWS IoT Core
Cos'è OCSP?Come funziona la OCSP pinzaturaAbilitazione del certificato del server in OCSP AWS IoT CoreConfigurazione del certificato del server OCSP per endpoint privati in AWS IoT CoreNote importanti per l'utilizzo del certificato del server in formato OCSP stapling AWS IoT CoreRisoluzione dei problemi relativi all'inserimento dei OCSP certificati del server AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del certificato del server per la OCSP graffatura

AWS IoT Core supporta la pinzatura del protocollo Online Certificate Status Protocol (OCSP) per i certificati server, nota anche come pinzatura o OCSP graffatura dei certificati server. OCSP È un meccanismo di sicurezza utilizzato per verificare lo stato di revoca sul certificato del server tramite un handshake Transport Layer Security (). TLS OCSPstapling in AWS IoT Core consente di aggiungere un ulteriore livello di verifica alla validità del certificato del server del dominio personalizzato.

Puoi abilitare OCSP lo stapling del certificato del server AWS IoT Core per verificare la validità del certificato interrogando periodicamente il OCSP risponditore. L'impostazione OCSP Stapling fa parte del processo di creazione o aggiornamento di una configurazione di dominio con un dominio personalizzato. OCSPStamping controlla continuamente lo stato di revoca sul certificato del server. Ciò consente di verificare che i certificati revocati dalla CA non siano più considerati attendibili dai client che si connettono ai domini personalizzati. Per ulteriori informazioni, consulta Abilitazione del certificato del server in OCSP AWS IoT Core.

La memorizzazione dei OCSP certificati del server consente di controllare lo stato di revoca in tempo reale, riduce la latenza associata al controllo dello stato di revoca e migliora la privacy e l'affidabilità delle connessioni sicure. Per ulteriori informazioni sui vantaggi dell'utilizzo OCSP della pinzatura, vedere. Vantaggi dell'utilizzo della OCSP pinzatura rispetto ai controlli lato client OCSP

Nota

Questa funzionalità non è disponibile in AWS GovCloud (US) Regions.

Cos'è OCSP?

L'Online Certificate Status Protocol (OCSP) aiuta a fornire lo stato di revoca di un certificato server per un handshake di Transport Layer Security (TLS).

Concetti chiave

I seguenti concetti chiave forniscono dettagli sull'Online Certificate Status Protocol ()OCSP.

OCSP

OCSPviene utilizzato per verificare lo stato di revoca del certificato durante l'handshake di Transport Layer Security (TLS). OCSPconsente la convalida in tempo reale dei certificati. Ciò conferma che il certificato non è stato revocato o scaduto da quando è stato emesso. OCSPè anche più scalabile rispetto ai tradizionali elenchi di revoca dei certificati (). CRLs OCSPle risposte sono più piccole e possono essere generate in modo efficiente, il che le rende più adatte per infrastrutture a chiave privata su larga scala (). PKIs

OCSPrisponditore

Un OCSP risponditore (noto anche come OCSP server) riceve e risponde alle OCSP richieste dei client che cercano di verificare lo stato di revoca dei certificati.

Lato client OCSP

Sul lato clientOCSP, il client contatta un OCSP risponditore OCSP per verificare lo stato di revoca del certificato durante l'handshake. TLS

Lato server OCSP

Sul lato server OCSP (noto anche come OCSP stapling), il server è abilitato (anziché il client) a inviare la richiesta al risponditore. OCSP Il server archivia la OCSP risposta al certificato e la restituisce al client durante l'handshake. TLS

OCSPdiagrammi

Il diagramma seguente illustra il funzionamento lato client OCSP e lato server. OCSP

OCSPOCSPDiagrammi lato client e lato server
Lato client OCSP

  1. Il client invia un ClientHello messaggio per avviare l'TLShandshake con il server.

  2. Il server riceve il messaggio e risponde con un messaggio. ServerHello Il server invia inoltre il certificato del server al client.

  3. Il client convalida il certificato del server ed estrae il certificato OCSP URI da esso.

  4. Il client invia una richiesta di verifica della revoca del certificato al risponditore. OCSP

  5. Il OCSP risponditore invia una risposta. OCSP

  6. Il client convalida lo stato del certificato in base alla OCSP risposta.

  7. La stretta di TLS mano è completata.

Lato server OCSP

  1. Il client invia un ClientHello messaggio per avviare l'TLShandshake con il server.

  2. Il server riceve il messaggio e riceve l'ultima risposta memorizzata nella cacheOCSP. Se la risposta memorizzata nella cache è mancante o è scaduta, il server chiamerà il OCSP risponditore per verificare lo stato del certificato.

  3. Il OCSP risponditore invia una OCSP risposta al server.

  4. Il server invia un ServerHello messaggio. Il server invia inoltre il certificato del server e lo stato del certificato al client.

  5. Il client convalida lo stato del OCSP certificato.

  6. La stretta di TLS mano è completata.

Come funziona la OCSP pinzatura

OCSPlo stapling viene utilizzato durante l'TLShandshake tra il client e il server per verificare lo stato di revoca del certificato del server. Il server invia la OCSP richiesta al OCSP risponditore e archivia le OCSP risposte ai certificati restituiti al client. Facendo in modo che il server effettui la richiesta al OCSP risponditore, le risposte possono essere memorizzate nella cache e quindi utilizzate più volte per molti client.

Come funziona la OCSP pinzatura in AWS IoT Core

Il diagramma seguente mostra come funziona la pinzatura lato serverOCSP. AWS IoT Core

Questo diagramma mostra come funziona la cucitura lato server. OCSP AWS IoT Core

  1. Il dispositivo deve essere registrato con domini personalizzati con la pinzatura abilitata. OCSP

  2. AWS IoT Core chiama il OCSP risponditore ogni ora per ottenere lo stato del certificato.

  3. Il OCSP risponditore riceve la richiesta, invia la OCSP risposta più recente e archivia la risposta nella cacheOCSP.

  4. Il dispositivo invia un ClientHello messaggio con cui avviare la TLS stretta di mano. AWS IoT Core

  5. AWS IoT Core ottiene la OCSP risposta più recente dalla cache del server, che risponde con una OCSP risposta del certificato.

  6. Il server invia un ServerHello messaggio al dispositivo. Il server invia inoltre il certificato del server e lo stato del certificato al client.

  7. Il dispositivo convalida lo stato del OCSP certificato.

  8. La stretta di TLS mano è completata.

Vantaggi dell'utilizzo della OCSP pinzatura rispetto ai controlli lato client OCSP

Alcuni vantaggi dell'utilizzo della OCSP pinzatura dei certificati del server includono quanto segue:

Privacy migliorata

Senza OCSP graffatura, il dispositivo del cliente può esporre le informazioni a OCSP soccorritori di terze parti, compromettendo potenzialmente la privacy degli utenti. OCSPstapling mitiga questo problema facendo in modo che il server ottenga la OCSP risposta e la invii direttamente al client.

Affidabilità migliorata

OCSPla pinzatura può migliorare l'affidabilità delle connessioni sicure perché riduce il rischio di interruzioni del OCSP server. Quando OCSP le risposte vengono pinzate, il server include la risposta più recente con il certificato. In questo modo i client hanno accesso allo stato di revoca anche se il OCSP risponditore è temporaneamente non disponibile. OCSPlo stapling aiuta a mitigare questi problemi perché il server recupera periodicamente OCSP le risposte e include le risposte memorizzate nella cache nell'handshake. TLS Ciò riduce la dipendenza dalla disponibilità in tempo reale dei soccorritori. OCSP

Carico ridotto del server

OCSPlo stapling alleggerisce al server l'onere di rispondere alle OCSP richieste dei OCSP risponditori. Questo può aiutare a distribuire il carico in modo più uniforme, rendendo il processo di convalida dei certificati più efficiente e scalabile.

Latenza ridotta

OCSPlo stapling riduce la latenza associata al controllo dello stato di revoca di un certificato durante l'handshake. TLS Invece di dover interrogare un OCSP server separatamente, il client invia la richiesta e allega la OCSP risposta al certificato del server durante l'handshake.

Abilitazione del certificato del server in OCSP AWS IoT Core

Per abilitare l'inserimento del OCSP certificato del server AWS IoT Core, crea una configurazione di dominio per un dominio personalizzato o aggiorna una configurazione di dominio personalizzata esistente. Per informazioni generali sulla creazione di una configurazione di dominio con un dominio personalizzato, consultaCreazione e configurazione di domini gestiti dai clienti.

Utilizza le seguenti istruzioni per abilitare la pinzatura OCSP del server utilizzando AWS Management Console o AWS CLI.

Per abilitare la OCSP graffatura dei certificati del server tramite la AWS IoT console:

  1. Nel menu di navigazione, scegli Impostazioni, quindi scegli Crea configurazione di dominio o scegli una configurazione di dominio esistente per un dominio personalizzato.

  2. Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.

    Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.

  3. Per abilitare lo stampaggio dei certificati OCSP del server, scegli Abilita lo OCSP stampaggio dei certificati del server nella sottosezione Configurazioni dei certificati del server.

  4. Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.

Per abilitare la memorizzazione dei certificati OCSP del server utilizzando AWS CLI:

  1. Se crei una nuova configurazione di dominio per un dominio personalizzato, il comando per abilitare la graffatura del OCSP server può essere simile al seguente:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Se si aggiorna una configurazione di dominio esistente per un dominio personalizzato, il comando per abilitare lo stapling del OCSP server può essere simile al seguente:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Per ulteriori informazioni, vedere CreateDomainConfiguratione UpdateDomainConfigurationdal AWS IoT API Reference.

Configurazione del certificato del server OCSP per endpoint privati in AWS IoT Core

OCSPfor private endpoint ti consente di utilizzare le tue OCSP risorse private all'interno del tuo Amazon Virtual Private Cloud (AmazonVPC) per AWS IoT Core le operazioni. Il processo prevede l'impostazione di una funzione Lambda che funge da risponditore. OCSP La funzione Lambda potrebbe utilizzare le tue OCSP risorse private per creare OCSP risposte che AWS IoT Core utilizzerai.

Funzione Lambda

Prima di configurare il server OCSP per un endpoint privato, create una funzione Lambda che funga da risponditore Online Certificate Status Protocol RFC OCSP () conforme a Request for Comments () 6960, che supporta le risposte di base. OCSP La funzione Lambda accetta una codifica base64 della OCSP richiesta nel formato Distinguished Encoding Rules (). DER La risposta della funzione Lambda è anche una risposta con codifica base64 OCSP nel formato. DER La dimensione della risposta non deve superare i 4 kilobyte (KB). La funzione Lambda deve essere nella stessa configurazione Account AWS e nella stessa Regione AWS configurazione del dominio. Di seguito sono riportati alcuni esempi di funzioni Lambda.

Esempi di funzioni Lambda

JavaScript
import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "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";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}
Java
package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorizzazione AWS IoT a richiamare la funzione Lambda

Nel processo di creazione della configurazione del dominio con un OCSP risponditore Lambda, è necessario concedere l' AWS IoT autorizzazione a richiamare la funzione Lambda dopo la creazione della funzione. Per concedere l'autorizzazione, è possibile utilizzare il comando add-permission. CLI

Concedi l'autorizzazione alla tua funzione Lambda utilizzando il AWS CLI

  1. Una volta inseriti i valori, inserisci il comando seguente. Attenzione: il valore statement-id deve essere univoco. Sostituisci Id-1234 con il valore esatto che hai, altrimenti potresti ricevere un ResourceConflictException errore.

    aws lambda add-permission  \
--function-name "ocsp-function" \
--principal "iot.amazonaws.com" \
--action "lambda:InvokeFunction" \
--statement-id "Id-1234" \
--source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
--source-account 123456789012

    La configurazione del dominio IoT ARNs seguirà lo schema seguente. Il suffisso generato dal servizio non sarà noto prima della creazione, pertanto è necessario sostituire il suffisso con un. * È possibile aggiornare l'autorizzazione una volta che la configurazione del dominio è stata creata e l'esatta è nota. ARN

    arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

  2. Se il comando viene completato correttamente, restituisce un'istruzione di autorizzazione come questa. Puoi passare alla sezione successiva per configurare OCSP lo stapling per gli endpoint privati.

    {
    "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
}

    Se il comando non ha esito positivo, restituisce un errore come questo. Dovrai esaminare e correggere l'errore prima di continuare.

    An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Configurazione OCSP dello stapling del server per endpoint privati

Per configurare la OCSP graffatura dei certificati del server utilizzando la console: AWS IoT

  1. Dal menu di navigazione, scegli Impostazioni, quindi scegli Crea configurazione di dominio oppure scegli una configurazione di dominio esistente per un dominio personalizzato.

  2. Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.

    Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.

  3. Per abilitare lo stampaggio dei certificati OCSP del server, scegli Abilita lo OCSP stampaggio dei certificati del server nella sottosezione Configurazioni dei certificati del server.

  4. Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.

Per configurare la memorizzazione dei certificati OCSP del server utilizzando AWS CLI:

  1. Se crei una nuova configurazione di dominio per un dominio personalizzato, il comando per configurare il certificato del server OCSP per gli endpoint privati può essere simile al seguente:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

  2. Se aggiorni una configurazione di dominio esistente per un dominio personalizzato, il comando per configurare il certificato del server OCSP per gli endpoint privati può essere simile al seguente:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"
enableOCSPCheck

Si tratta di un valore booleano che indica se il server OCSP stapling check è abilitato o meno. Per abilitare la OCSP pinzatura dei certificati del server, questo valore deve essere vero.

ocspAuthorizedResponderArn

Si tratta di un valore stringa di Amazon Resource Name (ARN) per un certificato X.509 memorizzato in AWS Certificate Manager (ACM). Se fornito, AWS IoT Core utilizzerà questo certificato per convalidare la firma della risposta ricevuta. OCSP Se non fornito, AWS IoT Core utilizzerà il certificato di emissione per convalidare le risposte. Il certificato deve essere nella Regione AWS stessa Account AWS configurazione del dominio. Per ulteriori informazioni su come registrare il certificato di risponditore autorizzato, consulta Importare certificati in AWS Certificate Manager.

ocspLambdaArn

Si tratta di un valore stringa di Amazon Resource Name (ARN) per una funzione Lambda che funge da risponditore Request for Comments (RFC) 6960-compliant (OCSP), supportando le risposte di base. OCSP La funzione Lambda accetta una codifica base64 della OCSP richiesta che viene codificata utilizzando il formato. DER La risposta della funzione Lambda è anche una risposta con codifica base64 OCSP nel formato. DER La dimensione della risposta non deve superare i 4 kilobyte (KB). La funzione Lambda deve essere nella stessa configurazione Account AWS e nella stessa Regione AWS configurazione del dominio.

Per ulteriori informazioni, vedere CreateDomainConfiguratione UpdateDomainConfigurationdal AWS IoT API Reference.

Note importanti per l'utilizzo del certificato del server in formato OCSP stapling AWS IoT Core

Quando utilizzi il certificato del server OCSP in AWS IoT Core, tieni presente quanto segue:

  1. AWS IoT Core supporta solo i OCSP risponditori raggiungibili tramite indirizzi pubbliciIPv4.

  2. La funzionalità di OCSP spillatura AWS IoT Core non supporta i risponditori autorizzati. Tutte OCSP le risposte devono essere firmate dalla CA che ha firmato il certificato e la CA deve far parte della catena di certificati del dominio personalizzato.

  3. La funzionalità OCSP di base AWS IoT Core non supporta i domini personalizzati creati utilizzando certificati autofirmati.

  4. AWS IoT Core chiama un OCSP risponditore ogni ora e memorizza la risposta nella cache. Se la chiamata al risponditore fallisce, AWS IoT Core memorizza la risposta valida più recente.

  5. Se non nextUpdateTime è più valida, AWS IoT Core rimuoverà la risposta dalla cache e TLS handshake non includerà i dati di OCSP risposta fino alla successiva chiamata riuscita al risponditore. OCSP Ciò può accadere quando la risposta memorizzata nella cache è scaduta prima che il server riceva una risposta valida dal risponditore. OCSP Il valore di nextUpdateTime suggerisce che la OCSP risposta sarà valida fino a quel momento. Per ulteriori informazioni su nextUpdateTime, consulta voci di OCSP registro dei certificati del server.

  6. A volte, AWS IoT Core non riesce a ricevere la OCSP risposta o rimuove la OCSP risposta esistente perché è scaduta. Se si verificano situazioni come queste, AWS IoT Core continuerà a utilizzare il certificato del server fornito dal dominio personalizzato senza la OCSP risposta.

  7. La dimensione della OCSP risposta non può superare i 4 KiB.

Risoluzione dei problemi relativi all'inserimento dei OCSP certificati del server AWS IoT Core

AWS IoT Core emette la RetrieveOCSPStapleData.Success metrica e le voci di RetrieveOCSPStapleData registro su. CloudWatch La metrica e le voci di registro possono aiutare a rilevare problemi relativi al recupero delle risposte. OCSP Per ulteriori informazioni, consulta Metriche di OCSP graffing dei certificati del server e voci di OCSP registro dei certificati del server.