Konfigurasi sertifikat server untuk stapling OCSP - AWS IoT Core
Apa itu OCSP?Cara kerja stapling OCSPMengaktifkan sertifikat server OCSP stapling di AWS IoT CoreCatatan penting untuk menggunakan sertifikat server OCSP stapling di AWS IoT CoreMemecahkan masalah sertifikat server OCSP stapling di AWS IoT Core

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sertifikat server untuk stapling OCSP

AWS IoT Core mendukung stapling Online Certificate Status Protocol (OCSP) untuk sertifikat server, juga dikenal sebagai stapling sertifikat server OCSP, atau stapling OCSP. Ini adalah mekanisme keamanan yang digunakan untuk memeriksa status pencabutan pada sertifikat server dalam jabat tangan Transport Layer Security (TLS). Stapling OCSP AWS IoT Core memungkinkan Anda menambahkan lapisan verifikasi tambahan ke validitas sertifikat server domain kustom Anda.

Anda dapat mengaktifkan sertifikat server OCSP stapling in AWS IoT Core untuk memeriksa validitas sertifikat dengan menanyakan responden OCSP secara berkala. Pengaturan stapling OCSP adalah bagian dari proses untuk membuat atau memperbarui konfigurasi domain dengan domain khusus. Stapling OCSP memeriksa status pencabutan pada sertifikat server secara terus menerus. Ini membantu memverifikasi bahwa sertifikat apa pun yang telah dicabut oleh CA tidak lagi dipercaya oleh klien yang terhubung ke domain kustom Anda. Untuk informasi selengkapnya, lihat Mengaktifkan sertifikat server OCSP stapling di AWS IoT Core.

Sertifikat server OCSP stapling menyediakan pemeriksaan status pencabutan waktu nyata, mengurangi latensi yang terkait dengan memeriksa status pencabutan, dan meningkatkan privasi dan keandalan koneksi aman. Untuk informasi lebih lanjut tentang manfaat menggunakan stapling OCSP, lihat. Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien

catatan

Fitur ini tidak tersedia di AWS GovCloud (US) Regions.

Apa itu OCSP?

Konsep utama

Konsep berikut memberikan rincian tentang OCSP dan konsep terkait.

OCSP

OCSP digunakan untuk memeriksa status pencabutan sertifikat selama jabat tangan Transport Layer Security (TLS). OCSP memungkinkan validasi sertifikat secara real-time. Ini menegaskan bahwa sertifikat belum dicabut atau kedaluwarsa sejak dikeluarkan. OCSP juga lebih skalabel dibandingkan dengan Daftar Pencabutan Sertifikat (CRL) tradisional. Respons OCSP lebih kecil dan dapat dihasilkan secara efisien, membuatnya lebih cocok untuk Infrastruktur Kunci Pribadi (PKI) skala besar.

Responden OCSP

Responder OCSP (juga dikenal sebagai server OCSP) menerima dan menanggapi permintaan OCSP dari klien yang berusaha memverifikasi status pencabutan sertifikat.

OCSP sisi klien

Di OCSP sisi klien, klien menggunakan OCSP untuk menghubungi responder OCSP untuk memeriksa status pencabutan sertifikat selama jabat tangan Transport Layer Security (TLS).

OCSP sisi server

Di OCSP sisi server (juga dikenal sebagai stapling OCSP), server diaktifkan (bukan klien) untuk membuat permintaan ke responder OCSP. Server menjepit respons OCSP ke sertifikat dan mengembalikannya ke klien selama jabat tangan TLS.

Diagram OCSP

Diagram berikut menggambarkan bagaimana OCSP sisi klien dan OCSP sisi server bekerja.

Diagram OCSP sisi klien dan OCSP sisi server
OCSP sisi klien

  1. Klien mengirim ClientHello pesan untuk memulai jabat tangan TLS dengan server.

  2. Server menerima pesan dan merespons dengan ServerHello pesan. Server juga mengirimkan sertifikat server ke klien.

  3. Klien memvalidasi sertifikat server dan mengekstrak URI OCSP darinya.

  4. Klien mengirimkan permintaan pemeriksaan pencabutan sertifikat ke responden OCSP.

  5. Responden OCSP mengirimkan respons OCSP.

  6. Klien memvalidasi status sertifikat dari respons OCSP.

  7. Jabat tangan TLS selesai.

OCSP sisi server

  1. Klien mengirim ClientHello pesan untuk memulai jabat tangan TLS dengan server.

  2. Server menerima pesan dan mendapatkan respons OCSP cache terbaru. Jika respons cache hilang atau kedaluwarsa, server akan memanggil responder OCSP untuk status sertifikat.

  3. Responder OCSP mengirimkan respons OCSP ke server.

  4. Server mengirim ServerHello pesan. Server juga mengirimkan sertifikat server dan status sertifikat ke klien.

  5. Klien memvalidasi status sertifikat OCSP.

  6. Jabat tangan TLS selesai.

Cara kerja stapling OCSP

Stapling OCSP digunakan selama jabat tangan Transport Layer Security (TLS) antara klien dan server untuk memeriksa status pencabutan sertifikat server. Server membuat permintaan OCSP ke responder OCSP dan staples tanggapan OCSP ke sertifikat yang dikembalikan ke klien. Dengan meminta server membuat permintaan ke responder OCSP, tanggapan dapat di-cache dan kemudian digunakan beberapa kali untuk banyak klien.

Bagaimana stapling OCSP bekerja di AWS IoT Core

Diagram berikut menunjukkan cara kerja stapling OCSP sisi server. AWS IoT Core

Diagram ini menunjukkan cara kerja stapling OCSP sisi server. AWS IoT Core

  1. Perangkat harus terdaftar dengan domain khusus dengan stapling OCSP diaktifkan.

  2. AWS IoT Core memanggil responden OCSP setiap jam untuk mendapatkan status sertifikat.

  3. Responden OCSP menerima permintaan, mengirimkan respons OCSP terbaru, dan menyimpan respons OCSP yang di-cache.

  4. Perangkat mengirimkan ClientHello pesan untuk memulai jabat tangan TLS dengan. AWS IoT Core

  5. AWS IoT Core mendapat respon OCSP terbaru dari cache server, yang merespons dengan respon OCSP sertifikat.

  6. Server mengirim ServerHello pesan ke perangkat. Server juga mengirimkan sertifikat server dan status sertifikat ke klien.

  7. Perangkat memvalidasi status sertifikat OCSP.

  8. Jabat tangan TLS selesai.

Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien

Beberapa keuntungan menggunakan sertifikat server OCSP stapling dirangkum sebagai berikut:

Privasi yang ditingkatkan

Tanpa stapling OCSP, perangkat klien dapat mengekspos informasi kepada responden OCSP pihak ketiga, yang berpotensi membahayakan privasi pengguna. Stapling OCSP mengurangi masalah ini dengan meminta server mendapatkan respons OCSP dan mengirimkannya langsung ke klien.

Peningkatan keandalan

Stapling OCSP dapat meningkatkan keandalan koneksi aman karena mengurangi risiko pemadaman server OCSP. Ketika tanggapan OCSP dijepit, server menyertakan respons terbaru dengan sertifikat. Ini agar klien memiliki akses ke status pencabutan meskipun responden OCSP sementara tidak tersedia. Stapling OCSP membantu mengurangi masalah ini karena server mengambil respons OCSP secara berkala dan menyertakan respons yang di-cache dalam jabat tangan TLS, mengurangi ketergantungan pada ketersediaan real-time responden OCSP.

Mengurangi beban server

Stapling OCSP menurunkan beban menanggapi permintaan OCSP dari responden OCSP ke server. Ini dapat membantu mendistribusikan beban secara lebih merata, membuat proses validasi sertifikat lebih efisien dan terukur.

Mengurangi latensi

Stapling OCSP mengurangi latensi yang terkait dengan memeriksa status pencabutan sertifikat selama jabat tangan TLS. Alih-alih klien harus menanyakan server OCSP secara terpisah, server mengirimkan permintaan dan melampirkan respons OCSP dengan sertifikat server selama jabat tangan.

Mengaktifkan sertifikat server OCSP stapling di AWS IoT Core

Untuk mengaktifkan sertifikat server OCSP stapling in AWS IoT Core, Anda harus membuat konfigurasi domain untuk domain kustom atau memperbarui konfigurasi domain kustom yang ada. Untuk informasi umum tentang membuat konfigurasi domain dengan domain kustom, lihatMembuat dan mengonfigurasi domain khusus.

Gunakan petunjuk berikut untuk mengaktifkan stapling server OCSP menggunakan AWS Management Console atau. AWS CLI

Untuk mengaktifkan stapling OCSP sertifikat server menggunakan AWS IoT konsol:

  1. Pilih Pengaturan dari navigasi kiri menu, lalu pilih Buat konfigurasi domain atau konfigurasi domain yang ada untuk domain kustom.

  2. Jika Anda memilih untuk membuat konfigurasi domain baru dari langkah sebelumnya, Anda akan melihat halaman Buat konfigurasi domain. Di bagian Properti konfigurasi Domain, pilih Domain kustom. Masukkan informasi untuk membuat konfigurasi domain.

    Jika Anda memilih untuk memperbarui konfigurasi domain yang ada untuk domain kustom, Anda akan melihat halaman detail konfigurasi Domain. Pilih Edit.

  3. Untuk mengaktifkan stapling server OCSP, pilih Aktifkan stapling sertifikat server OCSP di subbagian konfigurasi sertifikat Server.

  4. Pilih Buat konfigurasi domain atau Perbarui konfigurasi domain.

Untuk mengaktifkan stapling OCSP sertifikat server menggunakan: AWS CLI

  1. Jika Anda membuat konfigurasi domain baru untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Jika Anda memperbarui konfigurasi domain yang ada untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Untuk informasi selengkapnya, lihat CreateDomainConfigurationdan UpdateDomainConfigurationdari Referensi AWS IoT API.

Catatan penting untuk menggunakan sertifikat server OCSP stapling di AWS IoT Core

Saat Anda menggunakan sertifikat server OCSP AWS IoT Core, ingatlah hal berikut:

  1. AWS IoT Core hanya mendukung responden OCSP yang dapat dijangkau melalui alamat IPv4 publik.

  2. Fitur stapling OCSP di AWS IoT Core tidak mendukung responden resmi. Semua tanggapan OCSP harus ditandatangani oleh CA yang menandatangani sertifikat, dan CA harus menjadi bagian dari rantai sertifikat domain kustom.

  3. Fitur stapling OCSP di AWS IoT Core tidak mendukung domain kustom yang dibuat menggunakan sertifikat yang ditandatangani sendiri.

  4. AWS IoT Core memanggil responden OCSP setiap jam dan menyimpan respons dalam cache. Jika panggilan ke responden gagal, AWS IoT Core akan menjepit respons valid terbaru.

  5. Jika nextUpdateTime tidak lagi valid, AWS IoT Core akan menghapus respons dari cache, dan jabat tangan TLS tidak akan menyertakan data respons OCSP sampai panggilan berhasil berikutnya ke responder OCSP. Hal ini dapat terjadi ketika respon cache telah kedaluwarsa sebelum server mendapat respon yang valid dari responder OCSP. Nilai nextUpdateTime menunjukkan bahwa respons OCSP akan valid hingga saat ini. Untuk informasi selengkapnya tentang nextUpdateTime, lihat Entri OCSP log sertifikat server.

  6. Terkadang, AWS IoT Core gagal menerima respons OCSP atau menghapus respons OCSP yang ada karena sudah kedaluwarsa. Jika situasi seperti ini terjadi, AWS IoT Core akan terus menggunakan sertifikat server yang disediakan oleh domain kustom tanpa respon OCSP.

  7. Ukuran respons OCSP tidak boleh melebihi 4 KiB.

Memecahkan masalah sertifikat server OCSP stapling di AWS IoT Core

AWS IoT Core memancarkan RetrieveOCSPStapleData.Success metrik dan entri RetrieveOCSPStapleData log ke. CloudWatch Metrik dan entri log dapat membantu mendeteksi masalah yang terkait dengan pengambilan respons OCSP. Lihat informasi yang lebih lengkap di Metrik OCSP stapling sertifikat server dan Entri OCSP log sertifikat server.