Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi sertifikat server untuk stapling OCSP
AWS IoT Core mendukung stapling Online Certificate Status Protocol (OCSP)
Anda dapat mengaktifkan sertifikat server OCSP stapling in AWS IoT Core untuk memeriksa validitas sertifikat dengan menanyakan responden OCSP secara berkala. Pengaturan stapling OCSP adalah bagian dari proses untuk membuat atau memperbarui konfigurasi domain dengan domain khusus. Stapling OCSP memeriksa status pencabutan pada sertifikat server secara terus menerus. Ini membantu memverifikasi bahwa sertifikat apa pun yang telah dicabut oleh CA tidak lagi dipercaya oleh klien yang terhubung ke domain kustom Anda. Untuk informasi selengkapnya, lihat Mengaktifkan sertifikat server OCSP stapling di AWS IoT Core.
Sertifikat server OCSP stapling menyediakan pemeriksaan status pencabutan waktu nyata, mengurangi latensi yang terkait dengan memeriksa status pencabutan, dan meningkatkan privasi dan keandalan koneksi aman. Untuk informasi lebih lanjut tentang manfaat menggunakan stapling OCSP, lihat. Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien
catatan
Fitur ini tidak tersedia di AWS GovCloud (US) Regions.
Dalam topik ini:
Apa itu OCSP?
Konsep utama
Konsep berikut memberikan rincian tentang OCSP dan konsep terkait.
OCSP
OCSP
Responden OCSP
Responder OCSP (juga dikenal sebagai server OCSP) menerima dan menanggapi permintaan OCSP dari klien yang berusaha memverifikasi status pencabutan sertifikat.
OCSP sisi klien
Di OCSP sisi klien, klien menggunakan OCSP untuk menghubungi responder OCSP untuk memeriksa status pencabutan sertifikat selama jabat tangan Transport Layer Security (TLS).
OCSP sisi server
Di OCSP sisi server (juga dikenal sebagai stapling OCSP), server diaktifkan (bukan klien) untuk membuat permintaan ke responder OCSP. Server menjepit respons OCSP ke sertifikat dan mengembalikannya ke klien selama jabat tangan TLS.
Diagram OCSP
Diagram berikut menggambarkan bagaimana OCSP sisi klien dan OCSP sisi server bekerja.
OCSP sisi klien
Klien mengirim
ClientHello
pesan untuk memulai jabat tangan TLS dengan server.Server menerima pesan dan merespons dengan
ServerHello
pesan. Server juga mengirimkan sertifikat server ke klien.Klien memvalidasi sertifikat server dan mengekstrak URI OCSP darinya.
Klien mengirimkan permintaan pemeriksaan pencabutan sertifikat ke responden OCSP.
Responden OCSP mengirimkan respons OCSP.
Klien memvalidasi status sertifikat dari respons OCSP.
Jabat tangan TLS selesai.
OCSP sisi server
-
Klien mengirim
ClientHello
pesan untuk memulai jabat tangan TLS dengan server. Server menerima pesan dan mendapatkan respons OCSP cache terbaru. Jika respons cache hilang atau kedaluwarsa, server akan memanggil responder OCSP untuk status sertifikat.
Responder OCSP mengirimkan respons OCSP ke server.
Server mengirim
ServerHello
pesan. Server juga mengirimkan sertifikat server dan status sertifikat ke klien.Klien memvalidasi status sertifikat OCSP.
Jabat tangan TLS selesai.
Cara kerja stapling OCSP
Stapling OCSP digunakan selama jabat tangan Transport Layer Security (TLS) antara klien dan server untuk memeriksa status pencabutan sertifikat server. Server membuat permintaan OCSP ke responder OCSP dan staples tanggapan OCSP ke sertifikat yang dikembalikan ke klien. Dengan meminta server membuat permintaan ke responder OCSP, tanggapan dapat di-cache dan kemudian digunakan beberapa kali untuk banyak klien.
Bagaimana stapling OCSP bekerja di AWS IoT Core
Diagram berikut menunjukkan cara kerja stapling OCSP sisi server. AWS IoT Core
-
Perangkat harus terdaftar dengan domain khusus dengan stapling OCSP diaktifkan.
-
AWS IoT Core memanggil responden OCSP setiap jam untuk mendapatkan status sertifikat.
-
Responden OCSP menerima permintaan, mengirimkan respons OCSP terbaru, dan menyimpan respons OCSP yang di-cache.
-
Perangkat mengirimkan
ClientHello
pesan untuk memulai jabat tangan TLS dengan. AWS IoT Core -
AWS IoT Core mendapat respon OCSP terbaru dari cache server, yang merespons dengan respon OCSP sertifikat.
-
Server mengirim
ServerHello
pesan ke perangkat. Server juga mengirimkan sertifikat server dan status sertifikat ke klien. -
Perangkat memvalidasi status sertifikat OCSP.
-
Jabat tangan TLS selesai.
Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien
Beberapa keuntungan menggunakan sertifikat server OCSP stapling dirangkum sebagai berikut:
Privasi yang ditingkatkan
Tanpa stapling OCSP, perangkat klien dapat mengekspos informasi kepada responden OCSP pihak ketiga, yang berpotensi membahayakan privasi pengguna. Stapling OCSP mengurangi masalah ini dengan meminta server mendapatkan respons OCSP dan mengirimkannya langsung ke klien.
Peningkatan keandalan
Stapling OCSP dapat meningkatkan keandalan koneksi aman karena mengurangi risiko pemadaman server OCSP. Ketika tanggapan OCSP dijepit, server menyertakan respons terbaru dengan sertifikat. Ini agar klien memiliki akses ke status pencabutan meskipun responden OCSP sementara tidak tersedia. Stapling OCSP membantu mengurangi masalah ini karena server mengambil respons OCSP secara berkala dan menyertakan respons yang di-cache dalam jabat tangan TLS, mengurangi ketergantungan pada ketersediaan real-time responden OCSP.
Mengurangi beban server
Stapling OCSP menurunkan beban menanggapi permintaan OCSP dari responden OCSP ke server. Ini dapat membantu mendistribusikan beban secara lebih merata, membuat proses validasi sertifikat lebih efisien dan terukur.
Mengurangi latensi
Stapling OCSP mengurangi latensi yang terkait dengan memeriksa status pencabutan sertifikat selama jabat tangan TLS. Alih-alih klien harus menanyakan server OCSP secara terpisah, server mengirimkan permintaan dan melampirkan respons OCSP dengan sertifikat server selama jabat tangan.
Mengaktifkan sertifikat server OCSP stapling di AWS IoT Core
Untuk mengaktifkan sertifikat server OCSP stapling in AWS IoT Core, Anda harus membuat konfigurasi domain untuk domain kustom atau memperbarui konfigurasi domain kustom yang ada. Untuk informasi umum tentang membuat konfigurasi domain dengan domain kustom, lihatMembuat dan mengonfigurasi domain khusus.
Gunakan petunjuk berikut untuk mengaktifkan stapling server OCSP menggunakan AWS Management Console atau. AWS CLI
Untuk mengaktifkan stapling OCSP sertifikat server menggunakan AWS IoT konsol:
Pilih Pengaturan dari navigasi kiri menu, lalu pilih Buat konfigurasi domain atau konfigurasi domain yang ada untuk domain kustom.
Jika Anda memilih untuk membuat konfigurasi domain baru dari langkah sebelumnya, Anda akan melihat halaman Buat konfigurasi domain. Di bagian Properti konfigurasi Domain, pilih Domain kustom. Masukkan informasi untuk membuat konfigurasi domain.
Jika Anda memilih untuk memperbarui konfigurasi domain yang ada untuk domain kustom, Anda akan melihat halaman detail konfigurasi Domain. Pilih Edit.
Untuk mengaktifkan stapling server OCSP, pilih Aktifkan stapling sertifikat server OCSP di subbagian konfigurasi sertifikat Server.
-
Pilih Buat konfigurasi domain atau Perbarui konfigurasi domain.
Untuk mengaktifkan stapling OCSP sertifikat server menggunakan: AWS CLI
Jika Anda membuat konfigurasi domain baru untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:
aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"Jika Anda memperbarui konfigurasi domain yang ada untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:
aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:
us-east-1:123456789012
:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3
\ --server-certificate-config "enableOCSPCheck=true|false"
Untuk informasi selengkapnya, lihat CreateDomainConfigurationdan UpdateDomainConfigurationdari Referensi AWS IoT API.
Catatan penting untuk menggunakan sertifikat server OCSP stapling di AWS IoT Core
Saat Anda menggunakan sertifikat server OCSP AWS IoT Core, ingatlah hal berikut:
-
AWS IoT Core hanya mendukung responden OCSP yang dapat dijangkau melalui alamat IPv4 publik.
-
Fitur stapling OCSP di AWS IoT Core tidak mendukung responden resmi. Semua tanggapan OCSP harus ditandatangani oleh CA yang menandatangani sertifikat, dan CA harus menjadi bagian dari rantai sertifikat domain kustom.
-
Fitur stapling OCSP di AWS IoT Core tidak mendukung domain kustom yang dibuat menggunakan sertifikat yang ditandatangani sendiri.
-
AWS IoT Core memanggil responden OCSP setiap jam dan menyimpan respons dalam cache. Jika panggilan ke responden gagal, AWS IoT Core akan menjepit respons valid terbaru.
-
Jika
nextUpdateTime
tidak lagi valid, AWS IoT Core akan menghapus respons dari cache, dan jabat tangan TLS tidak akan menyertakan data respons OCSP sampai panggilan berhasil berikutnya ke responder OCSP. Hal ini dapat terjadi ketika respon cache telah kedaluwarsa sebelum server mendapat respon yang valid dari responder OCSP. NilainextUpdateTime
menunjukkan bahwa respons OCSP akan valid hingga saat ini. Untuk informasi selengkapnya tentangnextUpdateTime
, lihat Entri OCSP log sertifikat server. -
Terkadang, AWS IoT Core gagal menerima respons OCSP atau menghapus respons OCSP yang ada karena sudah kedaluwarsa. Jika situasi seperti ini terjadi, AWS IoT Core akan terus menggunakan sertifikat server yang disediakan oleh domain kustom tanpa respon OCSP.
-
Ukuran respons OCSP tidak boleh melebihi 4 KiB.
Memecahkan masalah sertifikat server OCSP stapling di AWS IoT Core
AWS IoT Core memancarkan RetrieveOCSPStapleData.Success
metrik dan entri RetrieveOCSPStapleData
log ke. CloudWatch Metrik dan entri log dapat membantu mendeteksi masalah yang terkait dengan pengambilan respons OCSP. Lihat informasi yang lebih lengkap di Metrik OCSP stapling sertifikat server dan Entri OCSP log sertifikat server.