本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 規劃您的 AWS 私有 CA 憑證撤銷方法
當您使用 規劃私有 PKI 時 AWS 私有 CA,應考慮如何處理您不再希望端點信任已發行憑證的情況,例如當端點的私有金鑰公開時。此問題的常見方法是使用短期憑證或設定憑證撤銷。短期憑證會在短時間內過期,以小時或天為單位,撤銷並不合理,因為憑證在 中會變成無效,大約與通知撤銷端點相同。本節說明 AWS 私有 CA 客戶的撤銷選項,包括組態和最佳實務。
尋找撤銷方法的客戶可以選擇線上憑證狀態通訊協定 (OCSP)、憑證撤銷清單 CRLs) 或兩者。
**注意**
如果您在未設定撤銷的情況下建立 CA,您可以隨時稍後進行設定。如需詳細資訊,請參閱[在 中更新私有 CA AWS 私有憑證授權單位](PCAUpdateCA.md)。
+ **線上憑證狀態通訊協定 (OCSP)**
AWS 私有 CA 提供全受管 OCSP 解決方案,通知端點憑證已撤銷,而客戶不需要自行操作基礎設施。客戶可以使用 AWS 私有 CA 主控台、API、CLI 或透過 在新的或現有的 CAs 上啟用 OCSP CloudFormation。雖然 CRLs會在端點上儲存和處理,並可能過時,但 OCSP 儲存和處理需求會在回應者後端同步處理。
當您為 CA 啟用 OCSP 時, 會將 OCSP 回應程式的 URL AWS 私有 CA 包含在發行的每個新憑證的 *Authority Information Access* (AIA) 延伸中。延伸可讓 Web 瀏覽器等用戶端查詢回應者,並判斷是否可以信任終端實體或次級 CA 憑證。回應者傳回以密碼編譯方式簽署的狀態訊息,以確保其真實性。
OCSP AWS 私有 CA 回應程式符合 [RFC 5019](https://datatracker.ietf.org/doc/html/rfc5019)。
**OCSP 考量事項**
+ OCSP 狀態訊息是使用與發行 CA 設定為使用的相同簽署演算法來簽署。在主控台中建立的 AWS 私有 CA CAs 預設會使用 SHA256WITHRSA 簽章演算法。您可以在 [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html) API 文件中找到其他支援的演算法。
+ 如果啟用 OCSP 回應程式,[APIPassthrough 和 CSRPassthrough](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#template-varieties) 憑證範本將無法與 AIA 延伸模組搭配使用。
+ 受管 OCSP 服務的端點可在公有網際網路上存取。想要 OCSP 但不想擁有公有端點的客戶,將需要操作自己的 OCSP 基礎設施。
+ **憑證撤銷清單 (CRLs)**
憑證撤銷清單 (CRL) 是一個檔案,其中包含在其排定的過期日期之前撤銷的憑證清單。CRL 包含不應再受信任的憑證清單、撤銷原因和其他相關資訊。
當您設定憑證授權機構 (CA) 時,您可以選擇 AWS 私有 CA 是否建立完整或分割的 CRL。您的選擇決定憑證授權單位可以發行和撤銷的憑證數量上限。如需詳細資訊,請參閱 [AWS 私有 CA 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。
**CRL 考量事項**
+ 記憶體和頻寬考量:由於本機下載和處理需求,CRLs 需要比 OCSP 更多的記憶體。不過,相較於 OCSP,CRLs 可能會透過快取撤銷清單來減少網路頻寬,而不是檢查每個連線的狀態。對於記憶體受限的裝置,例如特定 IoT 裝置,請考慮使用分割CRLs。
+ 變更 CRL 類型:從完整變更為分割的 CRL 時, AWS 私有 CA 會視需要建立新的分割區,並將 IDP 延伸新增至所有 CRLs,包括原始分割區。從分割變更為僅完成單一 CRL 更新,並防止日後撤銷與先前分割區相關聯的憑證。
**注意**
OCSP 和 CRLs撤銷和狀態變更的可用性之間都顯示一些延遲。
當您撤銷憑證時,OCSP 回應最多可能需要 60 分鐘才能反映新狀態。一般而言,OCSP 傾向於支援更快速的撤銷資訊分發,因為與用戶端可以快取數天CRLs 不同,用戶端通常不會快取 OCSP 回應。
CRL 通常在憑證撤銷後約 30 分鐘更新。如果 CRL 更新因任何原因失敗, AWS 私有 CA 會每 15 分鐘進一步嘗試一次。
## 撤銷組態的一般要求
下列要求適用於所有撤銷組態。
+ 停用 CRL 或 OCSP 的組態必須只包含 `Enabled=False` 參數,如果包含其他參數 (例如 `CustomCname` 或 `ExpirationInDays`),則會失敗。
+ 在 CRL 組態中, `S3BucketName` 參數必須符合 [Amazon Simple Storage Service 儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。
+ 包含 CRLs或 OCSP 自訂正式名稱 (CNAME) 參數的組態必須符合在 CNAME 中使用特殊字元的 [RFC7230](https://www.ietf.org/rfc/rfc7230.txt) 限制。
+ 在 CRL 或 OCSP 組態中,CNAME 參數的值不得包含通訊協定字首,例如 "http://" 或 "https://"。
**Topics**
+ [撤銷組態的一般要求](#revocation-requirements)
+ [設定 的 CRL AWS 私有 CA](crl-planning.md)
+ [自訂 的 OCSP URL AWS 私有 CA](ocsp-customize.md)
# 設定 的 CRL AWS 私有 CA
在您將憑證撤銷清單 (CRL) 設定為 [CA 建立程序](create-CA.md)的一部分之前,可能需要一些先前的設定。本節說明在建立已連接 CRL 的 CA 之前,您應該了解的先決條件和選項。
如需使用線上憑證狀態通訊協定 (OCSP) 做為 CRL 的替代方案或補充,請參閱 [](create-CA.md#PcaCreateRevocation)和 [自訂 的 OCSP URL AWS 私有 CA](ocsp-customize.md)。
**Topics**
+ [CRL 類型](#crl-type)
+ [CRL 結構](#crl-structure)
+ [Amazon S3 中 CRLs存取政策](#s3-policies)
+ [使用 CloudFront 啟用 S3 封鎖公開存取 (BPA)](#s3-bpa)
+ [判斷 CRL 分佈點 (CDP) URI](#crl-url)
+ [](#crl-ipv6)
## CRL 類型
+ **完成** - 預設設定。 會為 CA 發行且已撤銷的所有未過期憑證 AWS 私有 CA 維護單一、未分割的 CRL 檔案。 AWS 私有 CA 問題的每個憑證都會透過其 CRL 分佈點 (CDP) 延伸繫結至特定 CRL,如 [ RFC 5280 ](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9)中所定義。對於每個已啟用完整 CRL 的 CA,您最多可以擁有 100 萬個私有憑證。如需詳細資訊,請參閱[AWS 私有 CA 配額](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)。
+ **分割** - 與完成 CRLs相比,分割的 CRLs可大幅增加私有 CA 可以發行的憑證數量,並讓您免於頻繁輪換 CAs。
**重要**
使用分割CRLs 時,您必須驗證 CRL 相關聯的發行分佈點 (IDP) URI 符合憑證的 CDP URI,以確保已擷取正確的 CRL。 會將 IDP 延伸 AWS 私有 CA 項目標記為關鍵,您的用戶端必須能夠處理。
## CRL 結構
每個 CRL 皆為 DER 編碼檔案。若要下載檔案並使用 [OpenSSL](https://www.openssl.org/) 進行檢視,請使用類似以下的命令:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRL 具有下列格式:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**注意**
只有在發出參考 CRL 的憑證之後,CRL 才會存放在 Amazon S3 中。在此之前,Amazon S3 儲存貯體中只會顯示 `acm-pca-permission-test-key` 檔案。
## Amazon S3 中 CRLs存取政策
如果您打算建立 CRL,則需要準備 Amazon S3 儲存貯體以將其存放在 中。 AWS 私有 CA 會自動將 CRL 存放在您指定的 Amazon S3 儲存貯體中,並定期更新。如需詳細資訊,請參閱[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)。
您的 S3 儲存貯體必須受到連接的 IAM 許可政策保護。授權使用者和服務主體需要`Put`允許 AWS 私有 CA 將物件放入儲存貯體的許可,以及擷取物件的`Get`許可。
**注意**
IAM 政策組態取決於所 AWS 區域 涉及的 。區域分為兩個類別:
**預設啟用區域** – 預設為所有*啟用*的區域 AWS 帳戶。
**預設停用區域** – 預設*停用*但可由客戶手動啟用的區域。
如需詳細資訊和預設停用區域的清單,請參閱[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。如需 IAM 內容中服務主體的討論,請參閱[AWS 選擇加入區域中的服務主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions)。
當您將 CRLs設定為憑證撤銷方法時, AWS 私有 CA 會建立 CRL 並將其發佈至 S3 儲存貯體。S3 儲存貯體需要 IAM 政策,允許 AWS 私有 CA 服務主體寫入儲存貯體。服務主體的名稱會根據所使用的區域而有所不同,但並非所有可能性都受到支援。
****
| PCA | S3 | 服務主體 |
| --- | --- | --- |
| 位於相同 區域中的兩者 | `acm-pca.amazonaws.com` |
| 已啟用 | 已啟用 | `acm-pca.amazonaws.com` |
| Disabled | 已啟用 | `acm-pca.Region.amazonaws.com` |
| 已啟用 | Disabled | 不支援 |
預設政策不會對 CA 套用`SourceArn`限制。我們建議您套用較不寬鬆的政策,例如下列政策,這會限制對特定 AWS 帳戶和特定私有 CA 的存取。或者,您可以使用 [aws:SourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) 條件金鑰來限制對 中特定組織的存取 AWS Organizations。如需儲存貯體政策的詳細資訊,請參閱 [Amazon Simple Storage Service 的儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。
如果您選擇允許預設政策,您稍後可以隨時[修改](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)它。
## 使用 CloudFront 啟用 S3 封鎖公開存取 (BPA)
新的 Amazon S3 儲存貯體預設為啟用封鎖公開存取 (BPA) 功能。BPA 包含在 Amazon S3 [安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)中,是一組存取控制,客戶可用來微調對 S3 儲存貯體中物件和整個儲存貯體的存取。當 BPA 處於作用中且設定正確時,只有經過授權和驗證 AWS 的使用者才能存取儲存貯體及其內容。
AWS 建議在所有 S3 儲存貯體上使用 BPA,以避免將敏感資訊暴露給潛在的對手。不過,如果您的 PKI 用戶端透過公有網際網路 (即未登入 AWS 帳戶時) 擷取 CRLs,則需要額外的規劃。本節說明如何使用內容交付網路 (CDN) Amazon CloudFront 設定私有 PKI 解決方案,以提供 CRLs而不需要對 S3 儲存貯體進行身分驗證的用戶端存取。
**注意**
使用 CloudFront 會在 AWS 您的帳戶產生額外費用。如需詳細資訊,請參閱 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)。
如果您選擇將 CRL 存放在已啟用 BPA 的 S3 儲存貯體中,而且不使用 CloudFront,則必須建置另一個 CDN 解決方案,以確保 PKI 用戶端可以存取 CRL。
### 設定 BPA 的 CloudFront
建立可存取私有 S3 儲存貯體的 CloudFront 分佈,並可為未驗證的用戶端提供 CRLs。
**設定 CRL 的 CloudFront 分佈**
1. 使用《Amazon CloudFront *開發人員指南》中 Amazon CloudFront*[建立分佈中的程序建立新的 CloudFront 分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html)。
完成程序時,請套用下列設定:
+ 在**原始伺服器網域名稱**中,選擇您的 S3 儲存貯體。
+ 針對**限制儲存貯體存取**選擇**是**。
+ 選擇**為原始存取身分建立新****身分**。
+ 選擇**是,在授予儲存貯體的讀取許可下更新儲存貯體政策**。 ****
**注意**
在此程序中,CloudFront 會修改儲存貯體政策,以允許其存取儲存貯體物件。請考慮[編輯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)此政策,僅允許存取 `crl` 資料夾下的物件。
1. 在分發初始化後,在 CloudFront 主控台中尋找其網域名稱,並將其儲存以進行下一個程序。
**注意**
如果您的 S3 儲存貯體是在 us-east-1 以外的區域中新建立的,當您透過 CloudFront 存取已發佈的應用程式時,可能會收到 HTTP 307 暫時重新導向錯誤。儲存貯體的地址可能需要數小時才能傳播。
### 設定 BPA 的 CA
設定新的 CA 時,請將別名納入 CloudFront 分佈。
**使用 CloudFront 的 CNAME 設定 CA**
+ 使用 建立您的 CA[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
當您執行程序時,撤銷檔案`revoke_config.txt`應包含下列幾行,以指定非公有 CRL 物件,並為 CloudFront 中的分發端點提供 URL:
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
之後,當您使用此 CA 發行憑證時,它們將包含如下所示的區塊:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**注意**
如果您有此 CA 發行的舊憑證,他們將無法存取 CRL。
## 判斷 CRL 分佈點 (CDP) URI
如果您需要在工作流程中使用 CRL 分佈點 (CDP) URI,您可以使用該憑證上的 CRL URI 發行憑證,或使用下列方法。這僅適用於完整的 CRLs。分割CRLs 會附加隨機的 GUID。
如果您使用 S3 儲存貯體做為 CA 的 CRL 分佈點 (CDP),CDP URI 可以是下列其中一種格式。
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
如果您已使用自訂 CNAME 設定 CA,CDP URI 將包含 CNAME,例如, `http://alternative.example.com/crl/CA-ID.crl`
##
根據預設, 會使用IPv4-only`amazonaws.com`端點 AWS 私有 CA 寫入 CDP 擴充功能。若要透過 IPv6 使用 CRLs,請執行下列其中一個步驟,以便使用指向 [S3 雙堆疊端點的](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html) URLs 寫入 CDPs:
+ 將您的 [CRL 自訂名稱](create-CA.md#PcaCreateRevocation)設定為 S3 dualstack 端點網域。例如 `bucketname.s3.dualstack.region-code.amazonaws.com`
+ 在相關的 S3 雙堆疊端點設定您自己的 CNAME DNS 記錄,然後將其用作 CRL 自訂名稱
# 自訂 的 OCSP URL AWS 私有 CA
**注意**
本主題適用於想要自訂線上憑證狀態協定 (OCSP) 回應者端點的公有 URL 以建立品牌或其他用途的客戶。如果您打算使用 AWS 私有 CA 受管 OCSP 的預設組態,您可以略過本主題,並遵循[設定撤銷](create-CA.md#PcaCreateRevocation)中的組態指示。
根據預設,當您為 啟用 OCSP 時 AWS 私有 CA,您發行的每個憑證都會包含 OCSP AWS 回應程式的 URL。這可讓請求密碼編譯安全連線的用戶端將 OCSP 驗證查詢直接傳送到 AWS。不過,在某些情況下,建議您在憑證中陳述不同的 URL,同時最終仍向 提交 OCSP 查詢 AWS。
**注意**
如需使用憑證撤銷清單 (CRL) 作為 OCSP 替代方案或補充的資訊,請參閱[設定撤銷](create-CA.md#PcaCreateRevocation)和[規劃憑證撤銷清單 (CRL)](crl-planning.md)。
設定 OCSP 的自訂 URL 涉及三個元素。
+ **CA 組態** – 在 CA `RevocationConfiguration`的 中指定自訂 OCSP URL,如 [範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA](create-CA.md#example_2)中所述[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
+ **DNS** – 將 CNAME 記錄新增至您的網域組態,將憑證中出現的 URL 映射至代理伺服器 URL。如需詳細資訊,請參閱 [在 中建立私有 CA AWS 私有 CA](create-CA.md) 中的 [範例 2:建立已啟用 OCSP 和自訂 CNAME 的 CA](create-CA.md#example_2)。
+ **轉送代理伺服器** – 設定代理伺服器,以透明方式將接收的 OCSP 流量轉送至 AWS OCSP 回應程式。
下圖說明這些元素如何一起運作。
![\[自訂 OCSP 拓撲\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ocsp.png)
如圖所示,自訂的 OCSP 驗證程序包含下列步驟:
1. 用戶端查詢目標網域的 DNS。
1. 用戶端會收到目標 IP。
1. 用戶端會開啟與目標的 TCP 連線。
1. 用戶端會收到目標 TLS 憑證。
1. 用戶端會查詢 DNS 以取得憑證中列出的 OCSP 網域。
1. 用戶端接收代理 IP。
1. 用戶端將 OCSP 查詢傳送至代理。
1. Proxy 會將查詢轉送至 OCSP 回應者。
1. 回應者將憑證狀態傳回代理。
1. Proxy 會將憑證狀態轉送至用戶端。
1. 如果憑證有效,用戶端會開始 TLS 交握。
**提示**
在您設定 CA 後,可以使用 [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) 和 [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) 實作此範例,如上所述。
在 CloudFront 中,建立分佈並將其設定如下:
建立符合您自訂 CNAME 的替代名稱。
繫結您的憑證。
將 `ocsp.acm-pca..amazonaws.com`設定為原始伺服器。
若要使用 IPv6 連線,請使用雙堆疊端點 `acm-pca-ocsp..api.aws`
套用`Managed-CachingDisabled`政策。
將**檢視器通訊協定政策**設定為 **HTTP 和 HTTPS**。
將**允許的 HTTP 方法**設定為 **GET、HEAD、OPONS、PUT、POST、PATCH、DELETE**。
在 Route 53 中,建立將自訂 CNAME 映射至 CloudFront 分佈 URL 的 DNS 記錄。
## 透過 IPv6 使用 OCSP
預設 OCSP AWS 私有 CA 回應程式 URL IPv4-only。若要透過 IPv6 使用 OCSP,請為您的 CA 設定自訂 OCSP URL。URL 可以是:
+ 雙堆疊 PCA OCSP 回應程式的 FQDN,採用 表單 `acm-pca-ocsp.region-name.api.aws`
+ 您已設定為指向雙堆疊 OCSP 回應程式的 CNAME 記錄,如上所述。