Configuration d'une URL personnalisée pour Autorité de certification privée AWS OCSP

Note

Cette rubrique s'adresse aux clients qui souhaitent personnaliser l'URL publique du point de terminaison du répondeur OCSP à des fins de marque ou à d'autres fins. Si vous envisagez d'utiliser la configuration par défaut de l'OCSP Autorité de certification privée AWS géré, vous pouvez ignorer cette rubrique et suivre les instructions de configuration de la section Configurer la révocation.

Par défaut, lorsque vous activez OCSP pour Autorité de certification privée AWS, chaque certificat que vous émettez contient l'URL du répondeur AWS OCSP. Cela permet aux clients demandant une connexion sécurisée par chiffrement d'envoyer directement des requêtes de validation OCSP à. AWS Cependant, dans certains cas, il peut être préférable d'indiquer une URL différente dans vos certificats tout en soumettant des requêtes OCSP à AWS.

Note

Pour plus d'informations sur l'utilisation d'une liste de révocation de certificats (CRL) comme alternative ou complément à l'OCSP, voir Configurer la révocation et Planifier une liste de révocation de certificats (CRL).

Trois éléments sont impliqués dans la configuration d'une URL personnalisée pour OCSP.

Configuration de l'autorité de certification — Spécifiez une URL OCSP personnalisée dans le RevocationConfiguration pour votre autorité de certification, comme décrit Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés dansProcédure de création d'une autorité de certification (CLI) .
DNS — Ajoutez un enregistrement CNAME à la configuration de votre domaine pour mapper l'URL figurant dans les certificats à l'URL d'un serveur proxy. Pour plus d'informations, consultez Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés dans Procédure de création d'une autorité de certification (CLI) .
Transfert de serveur proxy : configurez un serveur proxy capable de transférer de manière transparente le trafic OCSP qu'il reçoit au répondeur AWS OCSP.

Le schéma suivant illustre la façon dont ces éléments fonctionnent ensemble.

Comme le montre le schéma, le processus de validation OCSP personnalisé comprend les étapes suivantes :

Le client interroge le DNS pour le domaine cible.
Le client reçoit l'adresse IP cible.
Le client ouvre une connexion TCP avec la cible.
Le client reçoit le certificat TLS cible.
Le client interroge le DNS pour le domaine OCSP répertorié dans le certificat.
Le client reçoit l'adresse IP du proxy.
Le client envoie une requête OCSP au proxy.
Le proxy transmet la requête au répondeur OCSP.
Le répondeur renvoie l'état du certificat au proxy.
Le proxy transmet l'état du certificat au client.
Si le certificat est valide, le client lance le handshake TLS.

Astuce

Cet exemple peut être implémenté à l'aide d'Amazon CloudFront et d'Amazon Route 53 une fois que vous avez configuré une autorité de certification comme décrit ci-dessus.

Dans CloudFront, créez une distribution et configurez-la comme suit :
- Créez un autre nom correspondant à votre CNAME personnalisé.
- Liez votre certificat à celui-ci.
- Définissez ocsp.acm-pca. <region>.amazonaws.com comme origine.
- Appliquez la Managed-CachingDisabled politique.
- Définissez la politique du protocole Viewer sur HTTP et HTTPS.
- Définissez les méthodes HTTP autorisées sur GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.
Dans Route 53, créez un enregistrement DNS qui fait correspondre votre CNAME personnalisé à l'URL de la CloudFront distribution.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration de la CRL

Modes CA