Configuración del certificado de servidor para la asociación de OCSP

AWS IoT Core admite el grapado del Protocolo de estado de certificados en línea (OCSP) para el certificado de servidor, también conocido como grapado OCSP de certificado de servidor o grapado OCSP. Es un mecanismo de seguridad que se utiliza para comprobar el estado de revocación del certificado de servidor mediante un protocolo de enlace de seguridad de la capa de transporte (TLS). El grapado OCSP AWS IoT Core le permite añadir un nivel adicional de verificación a la validez del certificado de servidor de su dominio personalizado.

Puede habilitar el grapado OCSP del certificado de servidor AWS IoT Core para comprobar la validez del certificado consultando periódicamente al respondedor OCSP. La configuración de la asociación de OCSP forma parte del proceso de creación o actualización de una configuración de dominio con un dominio personalizado. La asociación de OCSP comprueba continuamente el estado de revocación en el certificado del servidor. Esto ayuda a comprobar que los clientes que se conectan a sus dominios personalizados ya no confíen en los certificados que hayan sido revocados por la CA. Para obtener más información, consulte Habilitar el certificado OCSP de servidor en AWS IoT Core.

La asociación de OCSP de los certificados de servidor permite comprobar el estado de la revocación en tiempo real, reduce la latencia asociada a la comprobación del estado de la revocación y mejora la privacidad y la fiabilidad de las conexiones seguras. Para obtener más información sobre las ventajas de utilizar la asociación de OCSP, consulte Ventajas de utilizar la asociación de OCSP en comparación con las comprobaciones de OCSP del cliente.

nota

Esta función no está disponible en. AWS GovCloud (US) Regions

¿Qué es el OCSP?

El Protocolo de estado de certificado en línea (OCSP, por sus siglas en inglés) ayuda a proporcionar el estado de revocación de un certificado de servidor para un protocolo de enlace de seguridad de la capa de transporte (TLS).

Conceptos clave

Los siguientes conceptos clave proporcionan detalles sobre el Protocolo de estado de certificado en línea (OCSP).

OCSP

El OCSP se utiliza para comprobar el estado de revocación del certificado durante el protocolo de enlace de seguridad de la capa de transporte (TLS). El OCSP permite validar los certificados en tiempo real. De este modo, se confirma que el certificado no se ha revocado ni ha caducado desde que se emitió. El OCSP también es más escalable en comparación con las listas de revocación de certificados tradicionales ()CRLs. Las respuestas de OCSP son más pequeñas y se pueden generar de manera eficiente, lo que las hace más adecuadas para infraestructuras de clave privada a gran escala (). PKIs

Respondedor de OCSP

Un respondedor de OCSP (también conocido como servidor de OCSP) recibe y responde a las solicitudes de OCSP de los clientes que quieren verificar el estado de revocación de los certificados.

OCSP del cliente

En el caso del OCSP del lado del cliente, el cliente utiliza el OCSP para ponerse en contacto con un respondedor del OCSP y comprobar el estado de revocación del certificado durante el protocolo de enlace TLS.

OCSP del servidor

En el OCSP del servidor (también conocido como asociación de OCSP), el servidor está activado (y no el cliente) para realizar la solicitud al respondedor de OCSP. El servidor asocia la respuesta de OCSP al certificado y la devuelve al cliente durante el protocolo de enlace TLS.

Diagramas del OSCP

En el siguiente diagrama se muestra cómo funcionan el OCSP del cliente y el OCSP del servidor.

OCSP del cliente

1. El cliente envía un mensaje ClientHello para iniciar el protocolo de enlace TLS con el servidor.

2. El servidor recibe el mensaje y responde con un mensaje ServerHello. El servidor también envía el certificado del servidor al cliente.

3. El cliente valida el certificado del servidor y extrae un URI de OCSP.

4. El cliente envía una solicitud de verificación de revocación del certificado al respondedor de OCSP.

5. El respondedor de OCSP envía una respuesta de OCSP.

6. El cliente valida el estado del certificado a partir de la respuesta de OCSP.

7. El protocolo de enlace TLS se completa.

OCSP del servidor

1. El cliente envía un mensaje ClientHello para iniciar el protocolo de enlace TLS con el servidor.

2. El servidor recibe el mensaje y obtiene la última respuesta de OCSP almacenada en caché. Si falta la respuesta en caché o ha caducado, el servidor llamará al respondedor de OCSP para obtener el estado del certificado.

3. El respondedor de OCSP envía una respuesta de OCSP al servidor.

4. El servidor envía un mensaje ServerHello. El servidor también envía el certificado de servidor y el estado del certificado al cliente.

5. El cliente valida el estado del certificado de OCSP.

6. El protocolo de enlace TLS se completa.

Funcionamiento de la asociación de OCSP

El grapado OCSP se utiliza durante el protocolo de enlace TLS entre el cliente y el servidor para comprobar el estado de revocación del certificado del servidor. El servidor realiza la solicitud de OCSP al respondedor de OCSP y asocia las respuestas del OCSP a los certificados devueltos al cliente. Al hacer que el servidor haga la solicitud al respondedor de OCSP, las respuestas se pueden almacenar en caché y, a continuación, se pueden utilizar varias veces para muchos clientes.

Cómo funciona el grapado OCSP en AWS IoT Core

El siguiente diagrama muestra cómo funciona la asociación de OCSP del servidor en AWS IoT Core.

1. El dispositivo debe estar registrado en dominios personalizados con la asociación de OCSP activada.

2. AWS IoT Core llama al respondedor OCSP cada hora para obtener el estado del certificado.

3. El respondedor de OCSP recibe la solicitud, envía la última respuesta de OCSP y almacena la respuesta de OCSP en caché.

4. El dispositivo envía un ClientHello mensaje para iniciar el protocolo de enlace TLS. AWS IoT Core

5. AWS IoT Core obtiene la última respuesta de OCSP de la memoria caché del servidor, que responde con una respuesta de OCSP del certificado.

6. El servidor envía un mensaje ServerHello al dispositivo. El servidor también envía el certificado de servidor y el estado del certificado al cliente.

7. El dispositivo valida el estado del certificado de OCSP.

8. El protocolo de enlace TLS se completa.

Ventajas de utilizar la asociación de OCSP en comparación con las comprobaciones de OCSP del cliente

Algunas de las ventajas de utilizar el grapado OCSP de certificados de servidor son las siguientes:

Mejora de la privacidad

Sin la asociación de OCSP, el dispositivo del cliente puede exponer la información a los respondedores de OCSP externos, lo que podría comprometer la privacidad del usuario. La asociación de OCSP mitiga este problema al hacer que el servidor obtenga la respuesta de OCSP y la entregue directamente al cliente.

Mejora de la fiabilidad

La asociación de OCSP puede mejorar la fiabilidad de las conexiones seguras porque reduce el riesgo de interrupciones del servidor OCSP. Cuando se asocian las respuestas de OCSP, el servidor incluye la respuesta más reciente en el certificado. Esto permite a los clientes acceder al estado de revocación incluso si el respondedor de OCSP no está disponible temporalmente. El grapado OCSP ayuda a mitigar estos problemas porque el servidor obtiene las respuestas OCSP periódicamente e incluye las respuestas almacenadas en caché en el protocolo de enlace TLS. Esto reduce la dependencia de la disponibilidad en tiempo real de los respondedores OCSP.

Reducción de la carga del servidor

La asociación de OCSP reduce la carga de responder a las solicitudes de OCSP de los respondedores de OCSP al servidor. Esto puede ayudarle a distribuir la carga de manera más uniforme, lo que hace que el proceso de validación de certificados sea más eficiente y escalable.

Reducción de la latencia

La asociación de OCSP reduce la latencia asociada a la comprobación del estado de revocación de un certificado durante el protocolo de enlace TLS. En lugar de que el cliente tenga que consultar un servidor OCSP distinto, el servidor envía la solicitud y asocia la respuesta de OCSP al certificado del servidor durante el protocolo de enlace.

Habilitar el certificado OCSP de servidor en AWS IoT Core

Para habilitar el engrapado OCSP del certificado de servidor AWS IoT Core, cree una configuración de dominio para un dominio personalizado o actualice una configuración de dominio personalizada existente. Para obtener más información general sobre cómo crear una configuración de dominio con un dominio personalizado, consulte Creación y configuración de dominios administrados por el cliente.

Siga las instrucciones siguientes para habilitar el grapado del servidor OCSP mediante o. AWS Management Console AWS CLI

Consola

Para habilitar el grapado OCSP de certificados de servidor mediante la consola: AWS IoT

1. En el menú de navegación, elija Configuración y, a continuación, elija Crear configuración de dominio o elija una configuración de dominio existente para un dominio personalizado.

2. Si decides crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración de dominio, seleccione Dominio personalizado. Introduzca la información para crear una configuración de dominio.

   Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página Detalles de configuración del dominio. Seleccione Editar.

3. Para activar la asociación de servidores OCSP, seleccione Habilitar el grapado OCSP del certificado del servidor en la subsección Configuraciones de certificados de servidor.

4. Seleccione Crear configuración de dominio o Actualizar la configuración del dominio.

AWS CLI

Para activar la asociación de OCSP de certificado de servidor mediante la AWS CLI:

1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para activar la asociación del servidor OCSP puede tener el siguiente aspecto:

   aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true|false"

2. Si actualiza una configuración de dominio existente para un dominio personalizado, el comando para activar la asociación del servidor OCSP puede tener el siguiente aspecto:

   aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true|false"                                 

Para obtener más información, consulta CreateDomainConfigurationy consulta la referencia UpdateDomainConfigurationde la AWS IoT API.

Configurar el certificado de servidor OCSP para puntos finales privados en AWS IoT Core

OCSP para puntos de enlace privados le permite utilizar sus recursos OCSP privados dentro de su Amazon Virtual Private Cloud (Amazon VPC) para las operaciones. AWS IoT Core El proceso implica configurar una función Lambda que actúa como un respondedor OCSP. La función Lambda puede usar sus recursos privados de OCSP para crear las respuestas de OCSP que utilizará. AWS IoT Core

Función de Lambda

Antes de configurar el OCSP del servidor para un punto final privado, cree una función Lambda que actúe como un respondedor del Protocolo de estado de certificados en línea (OCSP) compatible con la RFC 6960 y que admita respuestas OCSP básicas. La función Lambda acepta una codificación en base64 de la solicitud OCSP en el formato de reglas de codificación distinguidas (DER). La respuesta de la función Lambda también es una respuesta OCSP codificada en base64 en formato DER. El tamaño de la respuesta no debe superar los 4 kilobytes (KiB). La función Lambda debe estar en la misma configuración del dominio Cuenta de AWS y Región de AWS igual que ella. A continuación se muestran ejemplos de funciones Lambda.

Ejemplo de función de Lambda

JavaScript

import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "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";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}

Java

package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorizar la invocación AWS IoT de la función Lambda

En el proceso de creación de la configuración del dominio con un respondedor OCSP de Lambda, debe conceder AWS IoT permiso para invocar la función Lambda una vez creada la función. Para conceder el permiso, puede utilizar el comando de la CLI add-permission.

Conceda permiso a su función Lambda mediante el AWS CLI

1. Después de insertar sus valores, introduzca el siguiente comando. Tenga en cuenta que el valor statement-id debe ser único. Reemplace Id-1234 por el valor exacto que tiene; de lo contrario, podría producirse un error ResourceConflictException.

   aws lambda add-permission  \
   --function-name "ocsp-function" \
   --principal "iot.amazonaws.com" \
   --action "lambda:InvokeFunction" \
   --statement-id "Id-1234" \
   --source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
   --source-account 123456789012

   La configuración del dominio de IoT ARNs seguirá el siguiente patrón. El sufijo generado por el servicio no se conocerá antes del momento de la creación, por lo que debe reemplazar el sufijo por un. * Puede actualizar el permiso una vez que se haya creado la configuración del dominio y se conozca el ARN exacto.

   arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

2. Si el comando tiene éxito, devuelve una declaración de permiso, como la de este ejemplo. Puede continuar con la siguiente sección para configurar el grapado OCSP para puntos finales privados.

   {
       "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
   }

   Si el comando no tiene éxito, devuelve un error, como en este ejemplo. Tendrá que revisar y corregir el error antes de continuar.

   An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
   mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Configuración del grapado OCSP del servidor para puntos finales privados

Consola

Para configurar el grapado OCSP de certificados de servidor mediante la consola: AWS IoT

1. En el menú de navegación, elija Configuración y, a continuación, elija Crear configuración de dominio o elija una configuración de dominio existente para un dominio personalizado.

2. Si decides crear una nueva configuración de dominio en el paso anterior, verás la página Crear configuración de dominio. En la sección Propiedades de configuración de dominio, seleccione Dominio personalizado. Introduzca la información para crear una configuración de dominio.

   Si decide actualizar una configuración de dominio existente para un dominio personalizado, verá la página Detalles de configuración del dominio. Seleccione Editar.

3. Para activar la asociación de servidores OCSP, seleccione Habilitar el grapado OCSP del certificado del servidor en la subsección Configuraciones de certificados de servidor.

4. Seleccione Crear configuración de dominio o Actualizar la configuración del dominio.

AWS CLI

Para configurar el grapado OCSP de certificados de servidor mediante: AWS CLI

1. Si crea una nueva configuración de dominio para un dominio personalizado, el comando para configurar el certificado OCSP de servidor para puntos finales privados puede tener el siguiente aspecto:

   aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

2. Si actualiza una configuración de dominio existente para un dominio personalizado, el comando para configurar el certificado OCSP de servidor para puntos de enlace privados puede tener el siguiente aspecto:

   aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"                                

enableOCSPCheck

Se trata de un valor booleano que indica si la comprobación de grapado OCSP del servidor está habilitada o no. Para habilitar el grapado OCSP del certificado de servidor, este valor debe ser verdadero.

ocspAuthorizedResponderArn

Se trata de un valor de cadena del nombre de recurso de Amazon (ARN) de un certificado X.509 almacenado en AWS Certificate Manager (ACM). Si se proporciona, AWS IoT Core utilizará este certificado para validar la firma de la respuesta OCSP recibida. Si no se proporciona, AWS IoT Core utilizará el certificado emisor para validar las respuestas. El certificado debe estar en la misma configuración Cuenta de AWS y Región de AWS en el dominio. Para obtener más información sobre cómo registrar su certificado de respondedor autorizado, consulte Importar certificados a AWS Certificate Manager.

ocspLambdaArn

Se trata de un valor de cadena del nombre de recurso de Amazon (ARN) de una función Lambda que actúa como un respondedor compatible con la solicitud de comentarios (RFC) 6960 (OCSP) y admite respuestas OCSP básicas. La función Lambda acepta una codificación en base64 de la solicitud OCSP que se codifica con el formato DER. La respuesta de la función Lambda también es una respuesta OCSP codificada en base64 en formato DER. El tamaño de la respuesta no debe superar los 4 kilobytes (KiB). La función Lambda debe estar en la misma configuración del dominio Cuenta de AWS y Región de AWS igual que ella.

Para obtener más información, consulte CreateDomainConfigurationy UpdateDomainConfigurationdesde la referencia de la AWS IoT API.

Notas importantes sobre el uso del certificado de servidor OCSP: grapado en AWS IoT Core

Cuando utilice el certificado de servidor OCSP AWS IoT Core, tenga en cuenta lo siguiente:

1. AWS IoT Core solo admite los respondedores OCSP a los que se puede acceder a través de direcciones públicas. IPv4

2. La función de grapado OCSP AWS IoT Core no admite respondedores autorizados. Todas las respuestas del OCSP deben estar firmadas por la CA que firmó el certificado y la CA debe formar parte de la cadena de certificados del dominio personalizado.

3. La función de grapado OCSP AWS IoT Core no admite dominios personalizados que se crean con certificados autofirmados.

4. AWS IoT Core llama a un respondedor OCSP cada hora y guarda la respuesta en caché. Si la llamada al respondedor falla, AWS IoT Core grabará la respuesta válida más reciente.

5. Si ya no nextUpdateTime es válido, AWS IoT Core eliminará la respuesta de la memoria caché y el protocolo de enlace TLS no incluirá los datos de respuesta del OCSP hasta la próxima llamada correcta al respondedor del OCSP. Esto puede ocurrir cuando la respuesta en caché caduca antes de que el servidor reciba una respuesta válida del respondedor de OCSP. El valor de nextUpdateTime sugiere que la respuesta de OCSP será válida hasta ese momento. Para obtener más información acerca de nextUpdateTime, consulte Entradas de registro de OCSP de certificados de servidor.

6. A veces, AWS IoT Core no recibe la respuesta del OCSP o elimina la respuesta OCSP existente porque ha caducado. Si se producen situaciones como estas, AWS IoT Core seguirá utilizando el certificado de servidor proporcionado por el dominio personalizado sin la respuesta del OCSP.

7. El tamaño de la respuesta de OCSP no puede superar los 4 KiB.

Solución de problemas al grapar el certificado de servidor OCSP AWS IoT Core

AWS IoT Core Emite la RetrieveOCSPStapleData.Success métrica y las entradas de RetrieveOCSPStapleData registro a. CloudWatch La métrica y las entradas de registro pueden ayudar a detectar problemas relacionados con la recuperación de las respuestas del OCSP. Para obtener más información, consulte Métricas de la asociación de OCSP de certificados de servidor y Entradas de registro de OCSP de certificados de servidor.