OCSP 裝訂的伺服器憑證組態 - AWS IoT Core
什麼是 OCSP?OCSP 裝訂的運作方式啟用伺服器憑證 OCSP 裝訂 AWS IoT Core在中使用伺服器憑證 OCSP 裝訂的重要注意事項 AWS IoT Core疑難排解伺服器憑證 OCSP 裝訂 AWS IoT Core

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

OCSP 裝訂的伺服器憑證組態

AWS IoT Core 支援伺服器憑證的線上憑證狀態通訊協定 (OCSP) 裝訂,也稱為伺服器憑證 OCSP 裝訂或 OCSP 裝訂。這是一種安全性機制,用於在傳輸層安全性 (TLS) 交握中檢查伺服器憑證上的撤銷狀態。OCSP 裝訂功 AWS IoT Core 能可讓您在自訂網域的伺服器憑證有效性中新增額外的驗證層。

您可以透過定期查詢 OCSP 回應程式 AWS IoT Core 來啟用伺服器憑證 OCSP 裝訂,以檢查憑證的有效性。OCSP 裝訂設定是使用自訂網域建立或更新網域組態的程序的一部分。OCSP 裝訂會持續檢查伺服器憑證上的撤銷狀態。這有助於確認 CA 撤銷的任何憑證不再受連線至您自訂網域的用戶端信任。如需詳細資訊,請參閱 啟用伺服器憑證 OCSP 裝訂 AWS IoT Core

伺服器憑證 OCSP 裝訂提供即時撤銷狀態檢查,減少與檢查撤銷狀態相關的延遲,並提高安全連線的隱私權和可靠性。如需使用 OCSP 裝訂優點的詳細資訊,請參閱。與用戶端 OCSP 檢查相比,使用 OCSP 裝訂的好處

注意

在中不提供此功能 AWS GovCloud (US) Regions。

什麼是 OCSP?

重要概念

下列概念提供 OCSP 及相關概念的詳細資料。

OCSP

OCSP 用於在傳輸層安全性 (TLS) 交握期間檢查憑證撤銷狀態。OCSP 允許即時驗證憑證。這會確認憑證發行後尚未撤銷或過期。與傳統的憑證撤銷清單 (CRL) 相比,OCSP 也更具擴充性。OCSP 回應較小且可以有效率地產生,因此更適合大型私密金鑰基礎結構 (PKI)。

OCSP 回應者

OCSP 回應程式 (也稱為 OCSP 伺服器) 會從尋求驗證憑證撤銷狀態的用戶端接收並回應 OCSP 要求。

用戶端 OCSP

在用戶端 OCSP 中,用戶端會使用 OCSP 連絡 OCSP 回應程式,以在傳輸層安全性 (TLS) 交握期間檢查憑證的撤銷狀態。

伺服器端 OCSP

在伺服器端 OCSP (也稱為 OCSP 裝訂) 中,伺服器會啟用 (而非用戶端) 向 OCSP 回應程式發出要求。伺服器會將 OCSP 回應裝訂到憑證,並在 TLS 交握期間將其傳回給用戶端。

OCSP 圖表

下圖說明用戶端 OCSP 和伺服器端 OCSP 的運作方式。

用戶端 OCSP 和伺服器端 OCSP 圖表
用戶端 OCSP

  1. 用戶端會傳送ClientHello訊息以啟動與伺服器的 TLS 交涉。

  2. 服務器接收消息並以消ServerHello息進行響應。伺服器也會將伺服器憑證傳送至用戶端。

  3. 用戶端會驗證伺服器憑證,並從中擷取 OCSP URI。

  4. 用戶端會傳送憑證撤銷檢查要求給 OCSP 回應程式。

  5. OCSP 回應程式會傳送 OCSP 回應。

  6. 用戶端會驗證 OCSP 回應的憑證狀態。

  7. TLS 握手已完成。

伺服器端 OCSP

  1. 用戶端會傳送ClientHello訊息以啟動與伺服器的 TLS 交涉。

  2. 伺服器會收到訊息並取得最新的快取 OCSP 回應。如果快取回應遺失或已過期,伺服器會呼叫 OCSP 回應程式以取得憑證狀態。

  3. OCSP 回應程式會傳送 OCSP 回應至伺服器。

  4. 服務器發送一ServerHello條消息。伺服器也會將伺服器憑證和憑證狀態傳送給用戶端。

  5. 用戶端會驗證 OCSP 憑證狀態。

  6. TLS 握手已完成。

OCSP 裝訂的運作方式

用戶端與伺服器之間的傳輸層安全性 (TLS) 交涉期間會使用 OCSP 裝訂,以檢查伺服器憑證撤銷狀態。伺服器向 OCSP 回應程式發出 OCSP 要求,並將 OCSP 回應裝訂至傳回給用戶端的憑證。藉由讓伺服器向 OCSP 回應程式發出要求,可快取回應,然後針對許多用戶端多次使用。

OCSP 裝訂的運作方式 AWS IoT Core

下圖顯示伺服器端 OCSP 裝訂的運作方式。 AWS IoT Core

此圖顯示伺服器端 OCSP 裝訂的運作方式。 AWS IoT Core

  1. 裝置必須在啟用 OCSP 裝訂的情況下註冊自訂網域。

  2. AWS IoT Core 每小時呼叫 OCSP 回應程式以取得憑證狀態。

  3. OCSP 回應程式會接收要求、傳送最新的 OCSP 回應,並儲存快取的 OCSP 回應。

  4. 裝置會傳送ClientHello訊息來啟動 TLS 交握 AWS IoT Core。

  5. AWS IoT Core 從伺服器快取取得最新的 OCSP 回應,此回應會以憑證的 OCSP 回應來回應。

  6. 伺服器會傳送ServerHello訊息至裝置。伺服器也會將伺服器憑證和憑證狀態傳送給用戶端。

  7. 裝置會驗證 OCSP 憑證狀態。

  8. TLS 握手已完成。

與用戶端 OCSP 檢查相比,使用 OCSP 裝訂的好處

使用伺服器憑證 OCSP 裝訂的幾個優點總結如下:

改善隱私

如果沒有 OCSP 裝訂,用戶端的裝置可能會將資訊公開給協力廠商 OCSP 回應者,進而可能損害使用者隱私權。OCSP 裝訂可讓伺服器取得 OCSP 回應並直接傳送給用戶端,藉此緩解此問題。

提高可靠性

OCSP 裝訂可以提高安全連線的可靠性,因為它可以降低 OCSP 伺服器中斷的風險。裝訂 OCSP 回應時,伺服器會包含憑證的最新回應。如此一來,即使 OCSP 回應程式暫時無法使用,用戶端也能存取撤銷狀態。OCSP 裝訂有助於緩解這些問題,因為伺服器會定期擷取 OCSP 回應,並在 TLS 交握中包含快取的回應,進而減少對 OCSP 回應程式即時可用性的依賴。

降低伺服器負載

OCSP 裝訂可將 OCSP 要求的回應負擔從 OCSP 回應程式卸載至伺服器。這有助於更均勻地分配負載,使憑證驗證程序更有效率和可擴充性。

減少延遲

OCSP 裝訂可減少 TLS 交涉期間檢查憑證撤銷狀態的相關延遲。伺服器不必個別查詢 OCSP 伺服器,而是在交握期間傳送要求並附加 OCSP 回應與伺服器憑證。

啟用伺服器憑證 OCSP 裝訂 AWS IoT Core

若要在中啟用伺服器憑證 OCSP 裝訂 AWS IoT Core,您必須為自訂網域建立網域組態或更新現有的自訂網域組態。如需使用自訂網域建立網域組態的一般資訊,請參閱建立和設定自訂網域

使用下列指示來啟用使用或的 OCSP 伺服器 AWS Management Console 裝訂。 AWS CLI

若要使用主控台啟用伺服器憑證 OCSP 裝 AWS IoT 訂:

  1. 從左側選單中選擇「設定」,然後選擇「建立網域組態或自訂網域的現有網域組態」。

  2. 如果您選擇從上一個步驟建立新的網域組態,就會看到 [建立網域組態] 頁面。在 [網域組態內容] 區段中,選擇 [自訂網域]。輸入資訊以建立網域組態。

    如果您選擇更新自訂網域的現有網域組態,您會看到網域組態詳細資訊頁面。選擇編輯

  3. 若要啟用 OCSP 伺服器裝訂,請選擇 [伺服器憑證組態] 子區段中的 [啟用伺服憑證 OCSP 裝訂]。

  4. 選擇建立網域組態更新網域組態

若要使用以下方式啟用伺服器憑證 OCSP 裝訂: AWS CLI

  1. 如果您為自訂網域建立新的網域組態,啟用 OCSP 伺服器裝訂的命令可能如下所示:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. 如果您更新自訂網域的現有網域組態,啟用 OCSP 伺服器裝訂的命令可能如下所示:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

如需詳細資訊,請參閱「API 參考」CreateDomainConfigurationUpdateDomainConfiguration「 AWS IoT API 參考」。

在中使用伺服器憑證 OCSP 裝訂的重要注意事項 AWS IoT Core

當您在中使用伺服器憑證 OCSP 時 AWS IoT Core,請記住下列事項:

  1. AWS IoT Core 只支援那些可透過公用 IPv4 位址存取的 OCSP 回應程式。

  2. 中的 OCSP 裝訂功能 AWS IoT Core 不支援授權回應者。所有 OCSP 回應都必須由簽署憑證的 CA 簽署,而且 CA 必須是自訂網域憑證鏈結的一部分。

  3. 中的 OCSP 裝訂功能 AWS IoT Core 不支援使用自我簽署憑證建立的自訂網域。

  4. AWS IoT Core 每小時呼叫 OCSP 回應程式,並快取回應。如果對響應者的呼叫失敗, AWS IoT Core 將裝訂最新的有效響應。

  5. 如果不再nextUpdateTime有效,則 AWS IoT Core 會從快取中移除回應,而 TLS 交握將不會包含 OCSP 回應資料,直到下次成功呼叫 OCSP 回應程式為止。當伺服器從 OCSP 回應程式取得有效回應之前,快取回應已過期時,就可能會發生這種情況。的值nextUpdateTime表示 OCSP 回應在此時間之前仍然有效。如需 nextUpdateTime 的相關資訊,請參閱 伺服器憑證 OCSP 記錄項目

  6. 有時候, AWS IoT Core 無法接收 OCSP 回應或移除現有的 OCSP 回應,因為它已過期。如果發生這類情況, AWS IoT Core 將繼續使用自訂網域所提供的伺服器憑證,而不使用 OCSP 回應。

  7. OCSP 回應的大小不得超過 4 KiB。

疑難排解伺服器憑證 OCSP 裝訂 AWS IoT Core

AWS IoT Core 會發出RetrieveOCSPStapleData.Success測量結果和記RetrieveOCSPStapleData錄項目。 CloudWatch測量結果和記錄項目可協助偵測與擷取 OCSP 回應相關的問題。如需更多詳細資訊,請參閱 伺服器憑證 OCSP 裝訂測量結果伺服器憑證 OCSP 記錄項目