OCSP 스테이플링을 위한 서버 인증서 구성 - AWS IoT Core
OCSP란 무엇입니까?OCSP 스테이플링 작동 방식서버 인증서 OCSP 스테이플링 활성화 AWS IoT Core서버 인증서 OCSP 스테이플링 사용에 대한 중요 참고 사항 AWS IoT Core서버 인증서 OCSP 스테이플링 문제 해결 AWS IoT Core

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

OCSP 스테이플링을 위한 서버 인증서 구성

AWS IoT Core 서버 인증서에 대한 OCSP (온라인 인증서 상태 프로토콜) 스테이플링을 지원하며, 서버 인증서 OCSP 스테이플링 또는 OCSP 스테이플링이라고도 합니다. TLS (전송 계층 보안) 핸드셰이크에서 서버 인증서의 해지 상태를 확인하는 데 사용되는 보안 메커니즘입니다. OCSP 스테이플링을 AWS IoT Core 사용하면 사용자 지정 도메인의 서버 인증서 유효성에 추가 확인 계층을 추가할 수 있습니다.

OCSP 응답자를 정기적으로 AWS IoT Core 쿼리하여 서버 인증서 OCSP 스테이플링을 활성화하여 인증서의 유효성을 확인할 수 있습니다. OCSP 스테이플링 설정은 사용자 지정 도메인으로 도메인 구성을 만들거나 업데이트하는 프로세스의 일부입니다. OCSP 스테이플링은 서버 인증서의 해지 상태를 지속적으로 확인합니다. 이렇게 하면 사용자 지정 도메인에 연결하는 클라이언트가 CA에서 해지한 인증서를 더 이상 신뢰하지 않는지 확인할 수 있습니다. 자세한 정보는 서버 인증서 OCSP 스테이플링 활성화 AWS IoT Core을 참조하세요.

서버 인증서 OCSP 스테이플링은 실시간 해지 상태 검사를 제공하고, 해지 상태 확인과 관련된 대기 시간을 줄이고, 보안 연결의 개인 정보 보호 및 안정성을 개선합니다. OCSP 스테이플링 사용의 이점에 대한 자세한 내용은 을 참조하십시오. 클라이언트측 OCSP 검사와 비교한 OCSP 스테이플링 사용의 이점

참고

에서는 이 기능을 사용할 수 없습니다. AWS GovCloud (US) Regions

OCSP란 무엇입니까?

주요 개념

다음 개념은 OCSP 및 관련 개념에 대한 세부 정보를 제공합니다.

OCSP

OCSP는 TLS (전송 계층 보안) 핸드셰이크 중에 인증서 해지 상태를 확인하는 데 사용됩니다. OCSP를 사용하면 인증서를 실시간으로 검증할 수 있습니다. 이를 통해 인증서가 발급된 이후 해지되거나 만료되지 않았음을 확인할 수 있습니다. 또한 OCSP는 기존 인증서 취소 목록 (CRL) 에 비해 확장성이 뛰어납니다. OCSP 응답은 더 작고 효율적으로 생성할 수 있으므로 대규모 개인 키 인프라 (PKI) 에 더 적합합니다.

OCSP 응답자

OCSP 응답자 (OCSP 서버라고도 함) 는 인증서의 해지 상태를 확인하려는 클라이언트로부터 OCSP 요청을 수신하고 이에 응답합니다.

클라이언트측 OCSP

클라이언트측 OCSP에서 클라이언트는 OCSP를 사용하여 OCSP 응답자에게 연락하여 TLS (전송 계층 보안) 핸드셰이크 중에 인증서의 해지 상태를 확인합니다.

서버측 OCSP

서버측 OCSP (OCSP 스테이플링이라고도 함) 에서는 클라이언트가 아닌 서버가 OCSP 응답자에게 요청할 수 있도록 설정되어 있습니다. 서버는 인증서에 대한 OCSP 응답을 스테이플링하고 TLS 핸드셰이크 중에 클라이언트에 반환합니다.

OCSP 다이어그램

다음 다이어그램은 클라이언트측 OCSP 및 서버측 OCSP의 작동 방식을 보여줍니다.

클라이언트측 OCSP 및 서버측 OCSP 다이어그램
클라이언트측 OCSP

  1. 클라이언트는 ClientHello 메시지를 보내 서버와 TLS 핸드셰이크를 시작합니다.

  2. 서버가 메시지를 수신하고 메시지로 응답합니다. ServerHello 또한 서버는 서버 인증서를 클라이언트에 보냅니다.

  3. 클라이언트는 서버 인증서를 검증하고 이 인증서에서 OCSP URI를 추출합니다.

  4. 클라이언트는 OCSP 응답자에게 인증서 취소 확인 요청을 보냅니다.

  5. OCSP 응답자가 OCSP 응답을 보냅니다.

  6. 클라이언트는 OCSP 응답에서 인증서 상태를 확인합니다.

  7. TLS 핸드셰이크가 완료되었습니다.

서버측 OCSP

  1. 클라이언트는 ClientHello 메시지를 보내 서버와 TLS 핸드셰이크를 시작합니다.

  2. 서버는 메시지를 수신하고 캐시된 최신 OCSP 응답을 가져옵니다. 캐시된 응답이 없거나 만료된 경우 서버는 OCSP 응답자를 호출하여 인증서 상태를 확인합니다.

  3. OCSP 응답자는 OCSP 응답을 서버에 보냅니다.

  4. 서버가 메시지를 보냅니다. ServerHello 또한 서버는 서버 인증서와 인증서 상태를 클라이언트에 보냅니다.

  5. 클라이언트는 OCSP 인증서 상태를 확인합니다.

  6. TLS 핸드셰이크가 완료되었습니다.

OCSP 스테이플링 작동 방식

OCSP 스테이플링은 클라이언트와 서버 간의 TLS (전송 계층 보안) 핸드셰이크 중에 서버 인증서 해지 상태를 확인하는 데 사용됩니다. 서버는 OCSP 응답자에게 OCSP 요청을 보내고 클라이언트에 반환된 인증서에 대한 OCSP 응답을 스테이플합니다. 서버에서 OCSP 응답자에게 요청하도록 하면 응답을 캐시한 다음 여러 클라이언트에서 여러 번 사용할 수 있습니다.

OCSP 스테이플링의 작동 방식 AWS IoT Core

다음 다이어그램은 서버측 OCSP 스테이플링이 작동하는 방식을 보여줍니다. AWS IoT Core

이 다이어그램은 서버측 OCSP 스테이플링이 작동하는 방식을 보여줍니다. AWS IoT Core

  1. OCSP 스테이플링이 활성화된 사용자 지정 도메인으로 장치를 등록해야 합니다.

  2. AWS IoT Core 1시간마다 OCSP 응답자를 호출하여 인증서 상태를 가져옵니다.

  3. OCSP 응답자는 요청을 수신하고, 최신 OCSP 응답을 보내고, 캐시된 OCSP 응답을 저장합니다.

  4. 장치가 ClientHello 메시지를 전송하여 TLS 핸드셰이크를 시작합니다. AWS IoT Core

  5. AWS IoT Core 서버 캐시에서 최신 OCSP 응답을 가져오고, 이 응답은 인증서의 OCSP 응답으로 응답합니다.

  6. 서버가 장치에 ServerHello 메시지를 보냅니다. 또한 서버는 서버 인증서와 인증서 상태를 클라이언트에 보냅니다.

  7. 장치는 OCSP 인증서 상태를 확인합니다.

  8. TLS 핸드셰이크가 완료되었습니다.

클라이언트측 OCSP 검사와 비교한 OCSP 스테이플링 사용의 이점

서버 인증서 OCSP 스테이플링을 사용할 때의 몇 가지 이점은 다음과 같이 요약됩니다.

개인 정보 보호 개선

OCSP 스테이플링이 없으면 클라이언트 장치가 타사 OCSP 응답자에게 정보를 노출하여 사용자 개인 정보를 침해할 수 있습니다. OCSP 스테이플링은 서버가 OCSP 응답을 받아 클라이언트에 직접 전달하도록 함으로써 이 문제를 완화합니다.

안정성이 향상되었습니다.

OCSP 스테이플링은 OCSP 서버 중단의 위험을 줄이므로 보안 연결의 안정성을 향상시킬 수 있습니다. OCSP 응답이 스테이플링되면 서버는 가장 최근의 응답을 인증서와 함께 포함합니다. 이는 OCSP 응답자를 일시적으로 사용할 수 없는 경우에도 클라이언트가 해지 상태에 액세스할 수 있도록 하기 위한 것입니다. OCSP 스테이플링은 서버가 OCSP 응답을 주기적으로 가져오고 캐시된 응답을 TLS 핸드셰이크에 포함시켜 OCSP 응답자의 실시간 가용성에 대한 의존도를 낮추기 때문에 이러한 문제를 완화하는 데 도움이 됩니다.

서버 부하 감소

OCSP 스테이플링은 OCSP 응답자가 서버로 보내는 OCSP 요청에 응답하는 부담을 덜어줍니다. 이렇게 하면 부하를 더 균등하게 분산하여 인증서 검증 프로세스의 효율성과 확장성을 높일 수 있습니다.

지연 시간 감소

OCSP 스테이플링은 TLS 핸드셰이크 중에 인증서의 해지 상태를 확인하는 것과 관련된 대기 시간을 줄여줍니다. 클라이언트가 OCSP 서버를 별도로 쿼리할 필요 없이 서버는 핸드셰이크 중에 요청을 보내고 서버 인증서와 함께 OCSP 응답을 연결합니다.

서버 인증서 OCSP 스테이플링 활성화 AWS IoT Core

서버 인증서 OCSP 스테이플링을 활성화하려면 사용자 지정 도메인에 AWS IoT Core대한 도메인 구성을 만들거나 기존 사용자 지정 도메인 구성을 업데이트해야 합니다. 사용자 지정 도메인을 사용하여 도메인 구성을 만드는 방법에 대한 일반 정보는 을 참조하십시오. 사용자 지정 도메인 생성 및 구성

다음 지침에 따라 또는 를 사용하여 AWS Management Console OCSP 서버 스테이플링을 활성화하십시오. AWS CLI

콘솔을 사용하여 서버 인증서 OCSP 스테이플링을 활성화하려면 AWS IoT

  1. 메뉴의 왼쪽 탐색에서 설정을 선택한 다음 도메인 구성 만들기 또는 사용자 지정 도메인의 기존 도메인 구성을 선택합니다.

  2. 이전 단계에서 새 도메인 구성을 생성하도록 선택하면 도메인 구성 생성 페이지가 표시됩니다. 도메인 구성 속성 섹션에서 사용자 지정 도메인을 선택합니다. 정보를 입력하여 도메인 구성을 생성합니다.

    사용자 지정 도메인의 기존 도메인 구성을 업데이트하기로 선택하면 도메인 구성 세부 정보 페이지가 표시됩니다. 편집을 선택합니다.

  3. OCSP 서버 스테이플링을 활성화하려면 서버 인증서 구성 하위 섹션에서 서버 인증서 OCSP 스테이플링 활성화를 선택합니다.

  4. 도메인 구성 생성 또는 도메인 구성 업데이트를 선택합니다.

다음을 사용하여 서버 인증서 OCSP 스테이플링을 활성화하려면 AWS CLI

  1. 사용자 지정 도메인에 대한 새 도메인 구성을 만드는 경우 OCSP 서버 스테이플링을 활성화하는 명령은 다음과 같을 수 있습니다.

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. 사용자 지정 도메인의 기존 도메인 구성을 업데이트하는 경우 OCSP 서버 스테이플링을 활성화하는 명령은 다음과 같을 수 있습니다.

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

자세한 내용은 AWS IoT API CreateDomainConfigurationUpdateDomainConfiguration참조를 참조하십시오.

서버 인증서 OCSP 스테이플링 사용에 대한 중요 참고 사항 AWS IoT Core

에서 AWS IoT Core서버 인증서 OCSP를 사용할 때는 다음 사항에 유의하십시오.

  1. AWS IoT Core 퍼블릭 IPv4 주소를 통해 연결할 수 있는 OCSP 응답자만 지원합니다.

  2. 의 OCSP 스테이플링 기능은 인증된 응답자를 지원하지 않습니다. AWS IoT Core 모든 OCSP 응답은 인증서를 서명한 CA가 서명해야 하며 CA는 사용자 지정 도메인의 인증서 체인에 속해야 합니다.

  3. 의 OCSP 스테이플링 기능은 자체 AWS IoT Core 서명된 인증서를 사용하여 만든 사용자 지정 도메인을 지원하지 않습니다.

  4. AWS IoT Core 1시간마다 OCSP 응답자를 호출하고 응답을 캐시합니다. 응답자에 대한 호출이 실패하면 가장 최근의 유효한 AWS IoT Core 응답을 스테이플합니다.

  5. nextUpdateTime이 (가) 더 이상 유효하지 않은 경우 캐시에서 응답을 제거하며, TLS 핸드셰이크는 다음 번 OCSP 응답자 호출에 성공할 때까지 OCSP 응답 데이터를 포함하지 않습니다. AWS IoT Core 이는 서버가 OCSP 응답자로부터 유효한 응답을 받기 전에 캐시된 응답이 만료된 경우에 발생할 수 있습니다. 의 값은 OCSP 응답이 이 시점까지 유효할 것임을 nextUpdateTime 나타냅니다. nextUpdateTime에 대한 자세한 정보는 서버 인증서 OCSP 로그 항목 섹션을 참조하십시오.

  6. OCSP 응답이 만료되어 OCSP 응답을 받지 AWS IoT Core 못하거나 기존 OCSP 응답이 제거되는 경우가 있습니다. 이와 같은 상황이 발생하는 경우 OCSP 응답 없이 사용자 지정 도메인에서 제공하는 서버 인증서를 계속 사용할 AWS IoT Core 것입니다.

  7. OCSP 응답의 크기는 4KiB를 초과할 수 없습니다.

서버 인증서 OCSP 스테이플링 문제 해결 AWS IoT Core

AWS IoT Core RetrieveOCSPStapleData.Success메트릭과 RetrieveOCSPStapleData 로그 항목을 에 내보냅니다. CloudWatch 지표와 로그 항목은 OCSP 응답 검색과 관련된 문제를 탐지하는 데 도움이 될 수 있습니다. 자세한 내용은 서버 인증서 OCSP 스테이플링 메트릭서버 인증서 OCSP 로그 항목 단원을 참조하세요.