Einrichtung einer Methode zum Widerruf von Zertifikaten - AWS Private Certificate Authority
Allgemeine Anforderungen für Sperrkonfigurationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung einer Methode zum Widerruf von Zertifikaten

Bei der Planung Ihrer privaten PKI sollten Sie überlegen AWS Private CA, wie Sie mit Situationen umgehen, in denen Endgeräte einem ausgestellten Zertifikat nicht mehr vertrauen sollen, z. B. wenn der private Schlüssel eines Endpunkts offengelegt wird. Die gängigen Lösungsansätze für dieses Problem bestehen darin, kurzlebige Zertifikate zu verwenden oder den Widerruf von Zertifikaten zu konfigurieren. Kurzlebige Zertifikate laufen in einem so kurzen Zeitraum (in Stunden oder Tagen) ab, dass ein Widerruf keinen Sinn macht. Das Zertifikat wird in etwa der gleichen Zeit ungültig, die benötigt wird, um einen Endpunkt über den Widerruf zu benachrichtigen. In diesem Abschnitt werden die Widerrufsoptionen für AWS Private CA Kunden beschrieben, einschließlich Konfiguration und bewährten Methoden.

Kunden, die nach einer Sperrmethode suchen, können das Online Certificate Status Protocol (OCSP), Certificate Revocation Lists (CRLs) oder beides wählen.

Anmerkung

Wenn Sie Ihre Zertifizierungsstelle erstellen, ohne den Widerruf zu konfigurieren, können Sie sie jederzeit später konfigurieren. Weitere Informationen finden Sie unter Aktualisierung Ihrer privaten CA.

  • Online Certificate Status Protocol (OCSP)

    AWS Private CA bietet eine vollständig verwaltete OCSP-Lösung, mit der Endgeräte darüber informiert werden, dass Zertifikate gesperrt wurden, ohne dass Kunden die Infrastruktur selbst betreiben müssen. Kunden können OCSP auf neuen oder vorhandenen Zertifizierungsstellen mit einem einzigen Vorgang über die AWS Private CA Konsole, die API, die CLI oder über AWS CloudFormation die Konsole aktivieren. Während CRLs auf dem Endpunkt gespeichert und verarbeitet werden und veralten können, werden OCSP-Speicher- und Verarbeitungsanforderungen synchron im Responder-Backend behandelt.

    Wenn Sie OCSP für eine Zertifizierungsstelle aktivieren, AWS Private CA wird die URL des OCSP-Responders in die AIA-Erweiterung (Authority Information Access) jedes neu ausgestellten Zertifikats aufgenommen. Die Erweiterung ermöglicht es Clients wie Webbrowsern, den Responder abzufragen und festzustellen, ob ein Zertifikat der Endeinheit oder einer untergeordneten Zertifizierungsstelle vertrauenswürdig ist. Der Responder gibt eine Statusmeldung zurück, die kryptografisch signiert ist, um ihre Authentizität sicherzustellen.

    Der AWS Private CA OCSP-Responder entspricht RFC 5019.

    Überlegungen zu OCSP

    • OCSP-Statusmeldungen werden mit demselben Signaturalgorithmus signiert, für den die ausstellende Zertifizierungsstelle konfiguriert wurde. In der AWS Private CA Konsole erstellte Zertifizierungsstellen verwenden standardmäßig den SHA256WITHRSA-Signaturalgorithmus. Andere unterstützte Algorithmen finden Sie in der API-Dokumentation. CertificateAuthorityConfiguration

    • APIPassThrough- und CSRPassThrough-Zertifikatsvorlagen funktionieren nicht mit der AIA-Erweiterung, wenn der OCSP-Responder aktiviert ist.

    • Der Endpunkt des verwalteten OCSP-Dienstes ist über das öffentliche Internet zugänglich. Kunden, die OCSP nutzen, aber keinen öffentlichen Endpunkt bevorzugen, müssen ihre eigene OCSP-Infrastruktur betreiben.

  • Sperrlisten für Zertifikate (CRLs)

    Eine CRL enthält eine Liste von gesperrten Zertifikaten. Wenn Sie eine Zertifizierungsstelle für die Generierung von CRLs konfigurieren, AWS Private CA schließt sie die Erweiterung CRL Distribution Points in jedes neu ausgestellte Zertifikat ein. Diese Erweiterung stellt die URL für die CRL bereit. Die Erweiterung ermöglicht es Clients wie Webbrowsern, die CRL abzufragen und festzustellen, ob einem Zertifikat der Endeinheit oder einer untergeordneten Zertifizierungsstelle vertraut werden kann.

Da ein Client CRLs herunterladen und lokal verarbeiten muss, ist ihre Verwendung speicherintensiver als bei OCSP. CRLs verbrauchen möglicherweise weniger Netzwerkbandbreite, da die Liste der CRLs heruntergeladen und zwischengespeichert wird, verglichen mit OCSP, das den Sperrstatus bei jedem neuen Verbindungsversuch überprüft.

Anmerkung

Sowohl bei OCSP als auch bei CRLs kommt es zu einer gewissen Verzögerung zwischen dem Widerruf und der Verfügbarkeit der Statusänderung.

  • Bei OCSP-Antworten kann es bis zu 60 Minuten dauern, bis der neue Status angezeigt wird, wenn Sie ein Zertifikat widerrufen. Im Allgemeinen unterstützt OCSP tendenziell eine schnellere Verteilung von Sperrinformationen, da OCSP-Antworten im Gegensatz zu CRLs, die von Clients tagelang zwischengespeichert werden können, normalerweise nicht von Clients zwischengespeichert werden.

  • Eine Zertifikatssperrliste wird in der Regel etwa 30 Minuten nach Widerrufen eines Zertifikats aktualisiert. Falls eine CRL-Aktualisierung aus irgendeinem Grund fehlschlägt, werden alle 15 Minuten weitere Versuche unternommen AWS Private CA .

Allgemeine Anforderungen für Sperrkonfigurationen

Die folgenden Anforderungen gelten für alle Sperrkonfigurationen.

  • Eine Konfiguration, die CRLs oder OCSP deaktiviert, darf nur den Enabled=False-Parameter enthalten und schlägt fehl, wenn andere Parameter wie CustomCname oder ExpirationInDays enthalten sind.

  • In einer CRL-Konfiguration muss der S3BucketName Parameter den Benennungsregeln von Amazon Simple Storage Service für Buckets entsprechen.

  • Eine Konfiguration, die einen benutzerdefinierten Canonical Name (CNAME) -Parameter für CRLs oder OCSP enthält, muss den RFC7230-Beschränkungen für die Verwendung von Sonderzeichen in einem CNAME entsprechen.

  • In einer CRL- oder OCSP-Konfiguration darf der Wert von CNAME kein Protokollpräfix wie „http://“ oder „https://“ enthalten.

Themen