本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂 的 OCSP URL AWS Private CA
注意
本主題適用於想要自訂線上憑證狀態協定 (OCSP) 回應者端點的公有 URL 以建立品牌或其他用途的客戶。如果您打算使用 AWS 私有 CA 受管 OCSP 的預設組態,您可以略過此主題,並遵循設定撤銷中的組態指示。
根據預設,當您為 啟用 OCSP 時 AWS 私有 CA,您發行的每個憑證都會包含 OCSP AWS 回應程式的 URL。這可讓請求密碼編譯安全連線的用戶端將 OCSP 驗證查詢直接傳送到 AWS。不過,在某些情況下,建議您在憑證中陳述不同的 URL,同時最終仍提交 OCSP 查詢 AWS。
注意
如需使用憑證撤銷清單 (CRL) 做為 OCSP 的替代方案或補充,請參閱設定撤銷和規劃憑證撤銷清單 (CRL)。
設定 OCSP 的自訂 URL 涉及三個元素。
-
CA 組態 – 在 CA
RevocationConfiguration的 中指定自訂 OCSP URL,如 範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA中所述在 中建立私有 CA AWS Private CA。 -
DNS – 將 CNAME 記錄新增至您的網域組態,將憑證中出現的 URL 映射至代理伺服器 URL。如需詳細資訊,請參閱 在 中建立私有 CA AWS Private CA 中的 範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA。
-
轉送代理伺服器 – 設定代理伺服器,以透明方式將接收的 OCSP 流量轉送至 AWS OCSP 回應者。
下圖說明這些元素如何一起運作。
如圖表所示,自訂的 OCSP 驗證程序包含下列步驟:
-
用戶端會查詢目標網域的 DNS。
-
用戶端會收到目標 IP。
-
用戶端會開啟與目標的 TCP 連線。
-
用戶端會收到目標 TLS 憑證。
-
用戶端會查詢 DNS 以取得憑證中列出的 OCSP 網域。
-
用戶端接收代理 IP。
-
用戶端將 OCSP 查詢傳送至代理。
-
Proxy 會將查詢轉送至 OCSP 回應者。
-
回應者將憑證狀態傳回代理。
-
Proxy 會將憑證狀態轉送至用戶端。
-
如果憑證有效,用戶端會開始 TLS 交握。
提示
在您設定 CA 後,可以使用 Amazon CloudFront 和 Amazon Route 53 實作此範例,如上所述。
-
在 CloudFront 中,建立分佈並將其設定如下:
-
建立符合您自訂 CNAME 的備用名稱。
-
繫結您的憑證。
-
將 ocsp.acm-pca.
<region>.amazonaws.com 設為原始伺服器。 -
套用
Managed-CachingDisabled政策。 -
將檢視器通訊協定政策設定為 HTTP 和 HTTPS。
-
將允許的 HTTP 方法設定為 GET、HEAD、OPONS、PUT、POST、PATCH、DELETE。
-
-
在 Route 53 中,建立將自訂 CNAME 映射至 CloudFront 分佈 URL 的 DNS 記錄。
