Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten

PDF
RSS
Fokusmodus
Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten - AWS Private Certificate Authority
Voraussetzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bei der Planung Ihrer privaten PKI sollten Sie überlegen AWS Private CA, wie Sie mit Situationen umgehen sollen, in denen Endgeräte einem ausgestellten Zertifikat nicht mehr vertrauen sollen, z. B. wenn der private Schlüssel eines Endpunkts offengelegt wird. Die gängigen Lösungsansätze für dieses Problem bestehen darin, kurzlebige Zertifikate zu verwenden oder den Widerruf von Zertifikaten zu konfigurieren. Kurzlebige Zertifikate laufen in einem so kurzen Zeitraum (in Stunden oder Tagen) ab, dass ein Widerruf keinen Sinn macht. Das Zertifikat wird in etwa der gleichen Zeit ungültig, die benötigt wird, um einen Endpunkt über den Widerruf zu benachrichtigen. In diesem Abschnitt werden die Widerrufsoptionen für AWS Private CA Kunden beschrieben, einschließlich Konfiguration und bewährten Methoden.

Kunden, die nach einer Sperrmethode suchen, können zwischen Online Certificate Status Protocol (OCSP), Zertifikatssperrlisten (CRLs) oder beidem wählen.

Anmerkung

Wenn Sie Ihre Zertifizierungsstelle erstellen, ohne den Widerruf zu konfigurieren, können Sie sie jederzeit später konfigurieren. Weitere Informationen finden Sie unter Aktualisieren Sie eine private CA in AWS Private Certificate Authority.

  • Online Certificate Status Protocol (OCSP)

    AWS Private CA bietet eine vollständig verwaltete OCSP-Lösung, mit der Endgeräte darüber informiert werden, dass Zertifikate gesperrt wurden, ohne dass Kunden die Infrastruktur selbst betreiben müssen. Kunden können OCSP für neue oder bestehende Geräte CAs mit einem einzigen Vorgang über die AWS Private CA Konsole, die API, die CLI oder über AWS CloudFormation die Konsole aktivieren. Während CRLs OCSP-Speicher- und Verarbeitungsanforderungen auf dem Endgerät gespeichert und verarbeitet werden und veralten können, werden OCSP-Speicher- und Verarbeitungsanforderungen synchron im Responder-Backend behandelt.

    Wenn Sie OCSP für eine Zertifizierungsstelle aktivieren, AWS Private CA wird die URL des OCSP-Responders in die AIA-Erweiterung (Authority Information Access) jedes neu ausgestellten Zertifikats aufgenommen. Die Erweiterung ermöglicht es Clients wie Webbrowsern, den Responder abzufragen und festzustellen, ob ein Zertifikat der Endeinheit oder einer untergeordneten Zertifizierungsstelle vertrauenswürdig ist. Der Responder gibt eine Statusmeldung zurück, die kryptografisch signiert ist, um ihre Authentizität sicherzustellen.

    Der AWS Private CA OCSP-Responder entspricht RFC 5019.

    Überlegungen zu OCSP

    • OCSP-Statusmeldungen werden mit demselben Signaturalgorithmus signiert, für den die ausstellende Zertifizierungsstelle konfiguriert wurde. CAs Die in der AWS Private CA Konsole erstellten Dateien verwenden standardmäßig den SHA256 WITRSA-Signaturalgorithmus. Andere unterstützte Algorithmen finden Sie in der CertificateAuthorityConfigurationAPI-Dokumentation.

    • APIPassthrough und CSRPassthrough Zertifikatsvorlagen funktionieren nicht mit der AIA-Erweiterung, wenn der OCSP-Responder aktiviert ist.

    • Der Endpunkt des verwalteten OCSP-Dienstes ist über das öffentliche Internet zugänglich. Kunden, die OCSP nutzen, aber keinen öffentlichen Endpunkt bevorzugen, müssen ihre eigene OCSP-Infrastruktur betreiben.

  • Sperrlisten für Zertifikate () CRLs

    Eine Zertifikatssperrliste (Certificate Revocation List, CRL) ist eine Datei, die eine Liste von Zertifikaten enthält, die vor ihrem geplanten Ablaufdatum gesperrt wurden. Die CRL enthält eine Liste von Zertifikaten, denen nicht mehr vertraut werden sollte, den Grund für den Widerruf und andere relevante Informationen.

    Wenn Sie Ihre Zertifizierungsstelle (CA) konfigurieren, können Sie wählen, ob eine vollständige oder partitionierte CRL AWS Private CA erstellt werden soll. Ihre Wahl bestimmt die maximale Anzahl von Zertifikaten, die die Zertifizierungsstelle ausstellen und widerrufen kann. Weitere Informationen finden Sie unter AWS Private CA -Kontingente.

    Überlegungen zur CRL

    • Überlegungen zu Speicher und Bandbreite: Aufgrund der lokalen Download- und Verarbeitungsanforderungen ist mehr Speicher CRLs erforderlich als bei OCSP. CRLsKönnte jedoch die Netzwerkbandbreite im Vergleich zu OCSP reduzieren, indem Sperrlisten zwischengespeichert werden, anstatt den Status pro Verbindung zu überprüfen. Bei Geräten mit beschränktem Speicherplatz, wie z. B. bestimmten IoT-Geräten, sollten Sie die Verwendung partitionierter Geräte in Betracht ziehen. CRLs

    • Änderung des CRL-Typs: Wenn Sie von einer vollständigen zu einer partitionierten CRL wechseln, werden bei Bedarf neue Partitionen AWS Private CA erstellt und allen Partitionen, einschließlich der ursprünglichen, die IDP-Erweiterung hinzugefügt. CRLs Der Wechsel von partitioniert zu vollständig aktualisiert nur eine einzige CRL und verhindert den future Widerruf von Zertifikaten, die mit früheren Partitionen verknüpft sind.

Anmerkung

Sowohl bei OCSP als auch bei der CRLs Statusänderung kommt es zu einer gewissen Verzögerung zwischen dem Widerruf und der Verfügbarkeit der Statusänderung.

  • Bei OCSP-Antworten kann es bis zu 60 Minuten dauern, bis der neue Status angezeigt wird, wenn Sie ein Zertifikat widerrufen. Im Allgemeinen unterstützt OCSP tendenziell eine schnellere Verteilung von Sperrinformationen, da OCSP-Antworten, im Gegensatz zu CRLs denen, die von Clients tagelang zwischengespeichert werden können, in der Regel nicht von Clients zwischengespeichert werden.

  • Eine Zertifikatssperrliste wird in der Regel etwa 30 Minuten nach Widerrufen eines Zertifikats aktualisiert. Falls eine CRL-Aktualisierung aus irgendeinem Grund fehlschlägt, werden alle 15 Minuten weitere AWS Private CA Versuche unternommen.

Allgemeine Anforderungen für Sperrkonfigurationen

Die folgenden Anforderungen gelten für alle Sperrkonfigurationen.

  • Eine Konfiguration zur Deaktivierung CRLs oder OCSP darf nur den Enabled=False Parameter enthalten und schlägt fehl, wenn andere Parameter wie CustomCname oder enthalten ExpirationInDays sind.

  • In einer CRL-Konfiguration muss der S3BucketName Parameter den Benennungsregeln von Amazon Simple Storage Service für Buckets entsprechen.

  • Eine Konfiguration, die einen benutzerdefinierten Canonical Name (CNAME) -Parameter für CRLs oder OCSP enthält, muss den Einschränkungen von RFC7230 für die Verwendung von Sonderzeichen in einem CNAME entsprechen.

  • In einer CRL- oder OCSP-Konfiguration darf der Wert von CNAME kein Protokollpräfix wie „http://“ oder „https://“ enthalten.

Themen

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.