本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自訂 OCSP URL 的 AWS Private CA
注意
本主題適用於想要自訂線上憑證狀態通訊協定 (OCSP) 回應者端點URL的公有功能,以建立品牌或其他用途的客戶。如果您計劃使用 AWS 私有 CA 受管 的預設組態OCSP,您可以略過此主題,並遵循設定撤銷 中的組態指示。
根據預設,當您OCSP為 啟用 時 AWS 私有 CA,您發行的每個憑證URL都會 AWS OCSP包含回應者的 。這允許請求密碼編譯安全連線的用戶端將OCSP驗證查詢直接傳送至 AWS。不過,在某些情況下,可能最好在憑證URL中陳述不同的 ,同時最終還是向 提交OCSP查詢 AWS。
注意
如需使用憑證撤銷清單 (CRL) 作為 的替代方案或補充,OCSP請參閱設定撤銷和規劃憑證撤銷清單 (CRL)。
設定 URL 的自訂涉及三個元素OCSP。
-
CA 組態 – 在 OCSPURL中
RevocationConfiguration為 CA 指定自訂,如 範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA中所述在 中建立私有 CA AWS Private CA。 -
DNS – 將CNAME記錄新增至您的網域組態,將憑證中URL出現的 映射至代理伺服器 URL。如需詳細資訊,請參閱 在 中建立私有 CA AWS Private CA 中的 範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA。
-
轉送代理伺服器 – 設定代理伺服器,以透明方式將接收的OCSP流量轉送給 AWS OCSP回應者。
下圖說明這些元素如何一起運作。
如圖表所示,自訂OCSP驗證程序涉及下列步驟:
-
目標網域DNS的用戶端查詢。
-
用戶端會收到目標 IP。
-
用戶端會開啟與目標的TCP連線。
-
用戶端會收到目標TLS憑證。
-
憑證中所列DNSOCSP網域的用戶端查詢。
-
用戶端接收代理 IP。
-
用戶端將OCSP查詢傳送至代理。
-
Proxy 會將查詢轉送給OCSP回應者。
-
回應者將憑證狀態傳回代理。
-
Proxy 會將憑證狀態轉送至用戶端。
-
如果憑證有效,用戶端會開始TLS交握。
提示
如上述設定 CA 後,可以使用 Amazon CloudFront 和 Amazon Route 53 實作此範例。
-
在 中 CloudFront,建立分佈並將其設定如下:
-
建立符合您自訂 的替代名稱CNAME。
-
繫結憑證。
-
設定 ocsp.acm-pca。
<region>.amazonaws.com 作為原始伺服器。 -
套用
Managed-CachingDisabled政策。 -
將檢視器通訊協定政策設定為 HTTP和 HTTPS。
-
將允許HTTP的方法設定為 GET、HEAD、OPTIONS、PUT、POST、PATCH、。 DELETE
-
-
在 Route 53 中,建立將自訂映射CNAME至 CloudFront 分佈URL之 DNS的記錄。
