Configuración de un método de revocación de certificados - AWS Private Certificate Authority
Requisitos generales para las configuraciones de revocación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un método de revocación de certificados

Al planificar su PKI privada Autoridad de certificación privada de AWS, debe tener en cuenta cómo gestionar las situaciones en las que desee que los puntos finales dejen de confiar en un certificado emitido, como cuando se expone la clave privada de un punto final. Los enfoques habituales para solucionar este problema son utilizar certificados de corta duración o configurar la revocación de certificados. Los certificados de corta duración caducan en un período de tiempo tan breve, en horas o días, que la revocación no tiene sentido, ya que el certificado deja de ser válido aproximadamente al mismo tiempo que tarda en notificarse la revocación a un punto de conexión. En esta sección se describen las opciones de revocación para los clientes de Autoridad de certificación privada de AWS , incluida la configuración y las prácticas recomendadas.

Los clientes que buscan un método de revocación pueden elegir el Protocolo de estado de certificados en línea (OCSP), las listas de revocación de certificados (CRL) o ambos.

nota

Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte Actualización de su entidad de certificación privada.

  • Protocolo de estado de certificados en línea (OCSP)

    Autoridad de certificación privada de AWS proporciona una solución OCSP totalmente gestionada para notificar a los puntos finales la revocación de los certificados sin necesidad de que los clientes operen la infraestructura ellos mismos. Los clientes pueden habilitar OCSP en las CA nuevas o existentes con una sola operación mediante la Autoridad de certificación privada de AWS consola, la API, la CLI o mediante AWS CloudFormation. Mientras que las CRL se almacenan y procesan en el punto de conexión y pueden quedar obsoletas, los requisitos de almacenamiento y procesamiento del OCSP se gestionan de forma sincrónica en el backend del sistema de respuesta.

    Al habilitar el OCSP para una CA, Autoridad de certificación privada de AWS incluye la URL del respondedor del OCSP en la extensión Authority Information Access (AIA) de cada nuevo certificado emitido. Los clientes, como los navegadores web, consultan las CRL para determinar si se puede confiar en un certificado de entidad final o CA subordinada. El sistema de respuesta devuelve un mensaje de estado firmado criptográficamente para garantizar su autenticidad.

    El respondedor Autoridad de certificación privada de AWS OCSP cumple con la RFC 5019.

    Consideraciones sobre OCSP

    • Los mensajes de estado del OCSP se firman mediante el mismo algoritmo de firma para el que se configuró la CA emisora. Las CA creadas en la consola de Autoridad de certificación privada de AWS utilizan el algoritmo de firma SHA256WITHRSA de forma predeterminada. Puede encontrar otros algoritmos compatibles en la documentación de la CertificateAuthorityConfigurationAPI.

    • Las plantillas de certificados APIPassthrough y CSRPassthrough no funcionarán con la extensión AIA si el sistema de respuesta de OCSP está activado.

    • Se puede acceder al punto de conexión del servicio OCSP administrado en la Internet pública. Los clientes que deseen utilizar el OCSP, pero prefieran no tener un punto de conexión público deberán utilizar su propia infraestructura de OCSP.

  • Lista de revocación de certificados (CRL)

    La CRL contiene una lista de certificados revocados. Al configurar una CA para generar CRL, Autoridad de certificación privada de AWS incluye la extensión CRL Distribution Points en cada nuevo certificado emitido. Esta extensión proporciona la URL de la CRL. Las extensiones permiten a los clientes, como los navegadores web, consultar las CRL para determinar si se puede confiar en un certificado de entidad final o CA subordinada.

Como un cliente debe descargar las CRL y procesarlas localmente, su uso consume más memoria que el OCSP. Las CRL pueden consumir menos ancho de banda de la red porque la lista de CRL se descarga y se almacena en caché, en comparación con el OCSP, que comprueba el estado de revocación para cada nuevo intento de conexión.

nota

Tanto el OCSP como las CRL presentan cierto retraso entre la revocación y la disponibilidad del cambio de estado.

  • Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de las CRL, que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas del OCSP.

  • Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si por alguna razón se produce un error en la actualización de la CRL, Autoridad de certificación privada de AWS vuelve a intentarlo cada 15 minutos.

Requisitos generales para las configuraciones de revocación

Los siguientes requisitos se aplican a todas las configuraciones de revocación.

  • Una configuración que deshabilite las CRL o el OCSP debe contener solo el parámetro Enabled=False y fallará si se incluyen otros parámetros, como CustomCname o ExpirationInDays.

  • En la configuración de una CRL, el parámetro S3BucketName debe cumplir las reglas de nomenclatura de los bucket de Amazon Simple Storage Service.

  • Una configuración que contiene un parámetro de nombre canónico (CNAME) personalizado para CRL o OCSP debe cumplir con las restricciones RFC7230 sobre el uso de caracteres especiales en un CNAME.

  • En la configuración de una CRL o un OCSP, el valor de un parámetro de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.

Temas