Personalizza l'URL OCSP per AWS Private CA

Nota

Questo argomento è destinato ai clienti che desiderano personalizzare l'URL pubblico dell'endpoint di risposta OCSP (Online Certificate Status Protocol) per scopi di branding o altri scopi. Se prevedi di utilizzare la configurazione predefinita dell'OCSP CA privata AWS gestito, puoi saltare questo argomento e seguire le istruzioni di configurazione in Configurare la revoca.

Per impostazione predefinita, quando abiliti OCSP per CA privata AWS, ogni certificato emesso contiene l'URL del risponditore OCSP. AWS Ciò consente ai client che richiedono una connessione crittograficamente sicura di inviare direttamente le query di convalida OCSP a. AWS Tuttavia, in alcuni casi potrebbe essere preferibile indicare un URL diverso nei certificati e comunque inviare le query OCSP a. AWS

Nota

Per informazioni sull'utilizzo di un elenco di revoca dei certificati (CRL) come alternativa o supplemento a OCSP, vedere Configurazione della revoca e Pianificazione di un elenco di revoca dei certificati (CRL).

Nella configurazione di un URL personalizzato per OCSP sono coinvolti tre elementi.

Configurazione CA: specifica un URL OCSP personalizzato RevocationConfiguration per la tua CA, come descritto in. Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato Crea una CA privata in AWS Private CA
DNS: aggiungi un record CNAME alla configurazione del tuo dominio per mappare l'URL che appare nei certificati a un URL del server proxy. Per ulteriori informazioni, consulta Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato in Crea una CA privata in AWS Private CA.
Server proxy di inoltro: configura un server proxy in grado di inoltrare in modo trasparente il traffico OCSP ricevuto al risponditore OCSP. AWS

Il diagramma seguente illustra come questi elementi interagiscono.

Come illustrato nel diagramma, il processo di convalida OCSP personalizzato prevede i seguenti passaggi:

Il client richiede il DNS per il dominio di destinazione.
Il client riceve l'IP di destinazione.
Il client apre una connessione TCP con target.
Il client riceve il certificato TLS di destinazione.
Il client richiede il DNS per il dominio OCSP elencato nel certificato.
Il client riceve l'IP proxy.
Il client invia una query OCSP al proxy.
Il proxy inoltra la richiesta al risponditore OCSP.
Il risponditore restituisce lo stato del certificato al proxy.
Il proxy inoltra lo stato del certificato al client.
Se il certificato è valido, il client avvia l'handshake TLS.

Suggerimento

Questo esempio può essere implementato utilizzando Amazon CloudFront e Amazon Route 53 dopo aver configurato una CA come descritto sopra.

In CloudFront, crea una distribuzione e configurala come segue:
- Crea un nome alternativo che corrisponda al tuo CNAME personalizzato.
- Associa il tuo certificato ad esso.
- Imposta ocsp.acm-pca. <region>.amazonaws.com come origine.
- Applica la politica. Managed-CachingDisabled
- Imposta la politica del protocollo Viewer su HTTP e HTTPS.
- Imposta i metodi HTTP consentiti su GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.
In Route 53, crea un record DNS che mappa il tuo CNAME personalizzato all'URL della CloudFront distribuzione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurare un CRL

modalità CA