Konfigurasi sertifikat server untuk stapling OCSP - AWS IoT Core
Apa itu OCSP?Cara kerja stapling OCSPMengaktifkan sertifikat server OCSP di AWS IoT CoreMengkonfigurasi sertifikat server OCSP untuk titik akhir pribadi di AWS IoT CoreCatatan penting untuk menggunakan sertifikat server OCSP stapling di AWS IoT CoreMemecahkan masalah sertifikat server OCSP stapling di AWS IoT Core

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sertifikat server untuk stapling OCSP

AWS IoT Core mendukung stapling Online Certificate Status Protocol (OCSP) untuk sertifikat server, juga dikenal sebagai stapling sertifikat server OCSP, atau stapling OCSP. Ini adalah mekanisme keamanan yang digunakan untuk memeriksa status pencabutan pada sertifikat server dalam jabat tangan Transport Layer Security (TLS). Stapling OCSP AWS IoT Core memungkinkan Anda menambahkan lapisan verifikasi tambahan ke validitas sertifikat server domain kustom Anda.

Anda dapat mengaktifkan sertifikat server OCSP stapling in AWS IoT Core untuk memeriksa validitas sertifikat dengan menanyakan responden OCSP secara berkala. Pengaturan stapling OCSP adalah bagian dari proses untuk membuat atau memperbarui konfigurasi domain dengan domain khusus. Stapling OCSP memeriksa status pencabutan pada sertifikat server secara terus menerus. Ini membantu memverifikasi bahwa sertifikat apa pun yang telah dicabut oleh CA tidak lagi dipercaya oleh klien yang terhubung ke domain kustom Anda. Untuk informasi selengkapnya, lihat Mengaktifkan sertifikat server OCSP di AWS IoT Core.

Sertifikat server OCSP stapling menyediakan pemeriksaan status pencabutan waktu nyata, mengurangi latensi yang terkait dengan memeriksa status pencabutan, dan meningkatkan privasi dan keandalan koneksi aman. Untuk informasi lebih lanjut tentang manfaat menggunakan stapling OCSP, lihat. Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien

catatan

Fitur ini tidak tersedia di AWS GovCloud (US) Regions.

Apa itu OCSP?

Online Certificate Status Protocol (OCSP) membantu dalam menyediakan status pencabutan sertifikat server untuk jabat tangan Transport Layer Security (TLS).

Konsep utama

Konsep kunci berikut memberikan rincian tentang Online Certificate Status Protocol (OCSP).

OCSP

OCSP digunakan untuk memeriksa status pencabutan sertifikat selama jabat tangan Transport Layer Security (TLS). OCSP memungkinkan validasi sertifikat secara real-time. Ini menegaskan bahwa sertifikat belum dicabut atau kedaluwarsa sejak dikeluarkan. OCSP juga lebih skalabel dibandingkan dengan Daftar Pencabutan Sertifikat tradisional (). CRLs Respons OCSP lebih kecil dan dapat dihasilkan secara efisien, membuatnya lebih cocok untuk Infrastruktur Kunci Pribadi skala besar ()PKIs.

Responden OCSP

Responder OCSP (juga dikenal sebagai server OCSP) menerima dan menanggapi permintaan OCSP dari klien yang berusaha memverifikasi status pencabutan sertifikat.

OCSP sisi klien

Di OCSP sisi klien, klien menggunakan OCSP untuk menghubungi responden OCSP untuk memeriksa status pencabutan sertifikat selama jabat tangan TLS.

OCSP sisi server

Di OCSP sisi server (juga dikenal sebagai stapling OCSP), server diaktifkan (bukan klien) untuk membuat permintaan ke responder OCSP. Server menjepit respons OCSP ke sertifikat dan mengembalikannya ke klien selama jabat tangan TLS.

Diagram OCSP

Diagram berikut menggambarkan bagaimana OCSP sisi klien dan OCSP sisi server bekerja.

Diagram OCSP sisi klien dan OCSP sisi server
OCSP sisi klien

  1. Klien mengirim ClientHello pesan untuk memulai jabat tangan TLS dengan server.

  2. Server menerima pesan dan merespons dengan ServerHello pesan. Server juga mengirimkan sertifikat server ke klien.

  3. Klien memvalidasi sertifikat server dan mengekstrak URI OCSP darinya.

  4. Klien mengirimkan permintaan pemeriksaan pencabutan sertifikat ke responden OCSP.

  5. Responden OCSP mengirimkan respons OCSP.

  6. Klien memvalidasi status sertifikat dari respons OCSP.

  7. Jabat tangan TLS selesai.

OCSP sisi server

  1. Klien mengirim ClientHello pesan untuk memulai jabat tangan TLS dengan server.

  2. Server menerima pesan dan mendapatkan respons OCSP cache terbaru. Jika respons cache hilang atau kedaluwarsa, server akan memanggil responder OCSP untuk status sertifikat.

  3. Responder OCSP mengirimkan respons OCSP ke server.

  4. Server mengirim ServerHello pesan. Server juga mengirimkan sertifikat server dan status sertifikat ke klien.

  5. Klien memvalidasi status sertifikat OCSP.

  6. Jabat tangan TLS selesai.

Cara kerja stapling OCSP

Stapling OCSP digunakan selama jabat tangan TLS antara klien dan server untuk memeriksa status pencabutan sertifikat server. Server membuat permintaan OCSP ke responder OCSP dan staples tanggapan OCSP ke sertifikat yang dikembalikan ke klien. Dengan meminta server membuat permintaan ke responder OCSP, tanggapan dapat di-cache dan kemudian digunakan beberapa kali untuk banyak klien.

Bagaimana stapling OCSP bekerja di AWS IoT Core

Diagram berikut menunjukkan cara kerja stapling OCSP sisi server. AWS IoT Core

Diagram ini menunjukkan cara kerja stapling OCSP sisi server. AWS IoT Core

  1. Perangkat harus terdaftar dengan domain khusus dengan stapling OCSP diaktifkan.

  2. AWS IoT Core memanggil responden OCSP setiap jam untuk mendapatkan status sertifikat.

  3. Responden OCSP menerima permintaan, mengirimkan respons OCSP terbaru, dan menyimpan respons OCSP yang di-cache.

  4. Perangkat mengirimkan ClientHello pesan untuk memulai jabat tangan TLS dengan. AWS IoT Core

  5. AWS IoT Core mendapat respon OCSP terbaru dari cache server, yang merespons dengan respon OCSP sertifikat.

  6. Server mengirim ServerHello pesan ke perangkat. Server juga mengirimkan sertifikat server dan status sertifikat ke klien.

  7. Perangkat memvalidasi status sertifikat OCSP.

  8. Jabat tangan TLS selesai.

Manfaat menggunakan stapling OCSP dibandingkan dengan pemeriksaan OCSP sisi klien

Beberapa keuntungan menggunakan sertifikat server OCSP stapling antara lain sebagai berikut:

Privasi yang ditingkatkan

Tanpa stapling OCSP, perangkat klien dapat mengekspos informasi kepada responden OCSP pihak ketiga, yang berpotensi membahayakan privasi pengguna. Stapling OCSP mengurangi masalah ini dengan meminta server mendapatkan respons OCSP dan mengirimkannya langsung ke klien.

Keandalan yang ditingkatkan

Stapling OCSP dapat meningkatkan keandalan koneksi aman karena mengurangi risiko pemadaman server OCSP. Ketika tanggapan OCSP dijepit, server menyertakan respons terbaru dengan sertifikat. Ini agar klien memiliki akses ke status pencabutan meskipun responden OCSP sementara tidak tersedia. Stapling OCSP membantu mengurangi masalah ini karena server mengambil respons OCSP secara berkala dan menyertakan respons yang di-cache dalam jabat tangan TLS. Ini mengurangi ketergantungan pada ketersediaan real-time responden OCSP.

Mengurangi beban server

Stapling OCSP menurunkan beban menanggapi permintaan OCSP dari responden OCSP ke server. Ini dapat membantu mendistribusikan beban secara lebih merata, membuat proses validasi sertifikat lebih efisien dan terukur.

Mengurangi latensi

Stapling OCSP mengurangi latensi yang terkait dengan memeriksa status pencabutan sertifikat selama jabat tangan TLS. Alih-alih klien harus menanyakan server OCSP secara terpisah, server mengirimkan permintaan dan melampirkan respons OCSP dengan sertifikat server selama jabat tangan.

Mengaktifkan sertifikat server OCSP di AWS IoT Core

Untuk mengaktifkan sertifikat server OCSP AWS IoT Core, buat konfigurasi domain untuk domain kustom atau perbarui konfigurasi domain kustom yang ada. Untuk informasi umum tentang membuat konfigurasi domain dengan domain kustom, lihatMembuat dan mengonfigurasi domain terkelola pelanggan.

Gunakan petunjuk berikut untuk mengaktifkan stapling server OCSP menggunakan AWS Management Console atau. AWS CLI

Untuk mengaktifkan stapling OCSP sertifikat server menggunakan konsol: AWS IoT

  1. Di menu navigasi, pilih Pengaturan, lalu pilih Buat konfigurasi domain, atau pilih konfigurasi domain yang ada untuk domain kustom.

  2. Jika Anda memilih untuk membuat konfigurasi domain baru pada langkah sebelumnya, Anda akan melihat halaman Buat konfigurasi domain. Di bagian Properti konfigurasi Domain, pilih Domain kustom. Masukkan informasi untuk membuat konfigurasi domain.

    Jika Anda memilih untuk memperbarui konfigurasi domain yang ada untuk domain kustom, Anda akan melihat halaman detail konfigurasi Domain. Pilih Edit.

  3. Untuk mengaktifkan stapling server OCSP, pilih Aktifkan stapling sertifikat server OCSP di subbagian konfigurasi sertifikat Server.

  4. Pilih Buat konfigurasi domain atau Perbarui konfigurasi domain.

Untuk mengaktifkan stapling OCSP sertifikat server menggunakan: AWS CLI

  1. Jika Anda membuat konfigurasi domain baru untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Jika Anda memperbarui konfigurasi domain yang ada untuk domain kustom, perintah untuk mengaktifkan stapling server OCSP dapat terlihat seperti berikut:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Untuk informasi selengkapnya, lihat CreateDomainConfigurationdan UpdateDomainConfigurationdari Referensi AWS IoT API.

Mengkonfigurasi sertifikat server OCSP untuk titik akhir pribadi di AWS IoT Core

OCSP untuk titik akhir pribadi memungkinkan Anda menggunakan sumber daya OCSP pribadi dalam Amazon Virtual Private Cloud (Amazon VPC) untuk operasi. AWS IoT Core Prosesnya melibatkan pengaturan fungsi Lambda yang bertindak sebagai responden OCSP. Fungsi Lambda mungkin menggunakan sumber daya OCSP pribadi Anda untuk membuat respons OCSP yang akan digunakan. AWS IoT Core

Fungsi Lambda

Sebelum Anda mengonfigurasi server OCSP untuk titik akhir pribadi, buat fungsi Lambda yang bertindak sebagai responder Protokol Status Sertifikat Online (OCSP) yang sesuai dengan Permintaan Komentar (RFC) 6960, yang mendukung respons OCSP dasar. Fungsi Lambda menerima pengkodean base64 dari permintaan OCSP dalam format Distinguished Encoding Rules (DER). Respons fungsi Lambda juga merupakan respons OCSP yang dikodekan base64 dalam format DER. Ukuran respons tidak boleh melebihi 4 kilobyte (KiB). Fungsi Lambda harus sama Akun AWS dan Wilayah AWS sebagai konfigurasi domain. Berikut ini adalah contoh fungsi Lambda.

Contoh fungsi Lambda

JavaScript
import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "MIIC/woBAKCCAvgwggL0BgkrBgEFBQcwAQEEggLlMIIC4TCByqFkMGIxJzAlBgNVBAoMHlJpY2hhcmQncyBEaXNjb3VudCBMYW1iZGEgT0NTUDEZMBcGA1UEAwwQcm91bmRhYm91dE5hdGlvbjEPMA0GA1UEBwwGQ2FybWVsMQswCQYDVQQGEwJJThgPMjAyNDA0MjMxODUzMjVaMFEwTzA6MAkGBSsOAwIaBQAEFD2L7Ol/6ieNMaJbwRbxFWFweXGPBBSzSThwzTc3/p5w7WOtPjp3otNtVgIBAYAAGA8yMDI0MDQyMzE4NTMyNVowDQYJKoZIhvcNAQELBQADggIBAJFRyjDAHfazNejo704Ra3FOsGq/+s82R1spDarr3k7Pzkod9jJhwsZ2YgushlS4Npfe4lHCdwFyZR75WXrW55aXFddy03KLz01ZLNYyxkleW3f5dgrUcRU3PMW9TU2gZ0VOV8L5pmxKBoBRFt6EKtyh4CbiuqkTpLdLIMZmTyanhl5GVyU5MBHdbH8YWZoT/DEBiyS7ZsyhKo6igWU/SY7YMSKgwBvFsqSDcOa/hRYQkxWKWJ19gcz8CIkWN7NvfIxCs6VrAdzEJwmE7y3v+jdfhxW9JmI4xStE4K0tAR9vVOOfKs7NvxXj7oc9pCSG60xl96kaEE6PaY1YsfNTsKQ7pyCJ0s7/2q+ieZ4AtNyzw1XBadPzPJNv6E0LvI24yQZqN5wACvtut5prMMRxAHbOy+abLZR58wloFSELtGJ7UD96LFv1GgtC5s+2QlzPc4bEEof7Lo1EISt3j2ibNch8LxhqTQ4ufrbhsMkpSOTFYEJVMJF6aKj/OGXBUUqgc0Jx6jjJXNQd+l5KCY9pQFeb/wVUYC6mYqZOkNNMMJxPbHHbFnqb68yO+g5BE9011N44YXoPVJYoXxBLFX+OpRu9cqPkT9/vlkKd+SYXQknwZ81agKzhf1HsBKabtJwNVMlBKaI8g5UGa7Bxi6ewH3ezdWiERRUK7F56OM53wto/";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}
Java
package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Otorisasi AWS IoT untuk menjalankan fungsi Lambda Anda

Dalam proses membuat konfigurasi domain dengan responder Lambda OCSP, Anda harus memberikan AWS IoT izin untuk memanggil fungsi Lambda setelah fungsi dibuat. Untuk memberikan izin, Anda dapat menggunakan perintah CLI izin tambahan.

Berikan izin ke fungsi Lambda Anda menggunakan AWS CLI

  1. Setelah memasukkan nilai Anda, masukkan perintah berikut. Perhatikan bahwa statement-id nilainya harus unik. Ganti Id-1234 dengan nilai persis yang Anda miliki, jika tidak, Anda mungkin mendapatkan ResourceConflictException kesalahan.

    aws lambda add-permission  \
--function-name "ocsp-function" \
--principal "iot.amazonaws.com" \
--action "lambda:InvokeFunction" \
--statement-id "Id-1234" \
--source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
--source-account 123456789012

    Konfigurasi domain IoT ARNs akan mengikuti pola berikut. Sufiks yang dihasilkan layanan tidak akan diketahui sebelum waktu pembuatan, sehingga Anda harus mengganti sufiks dengan. * Anda dapat memperbarui izin setelah konfigurasi domain dibuat dan ARN yang tepat diketahui.

    arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

  2. Jika perintah berhasil, ia mengembalikan pernyataan izin, seperti contoh ini. Anda dapat melanjutkan ke bagian berikutnya untuk mengonfigurasi stapling OCSP untuk titik akhir pribadi.

    {
    "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
}

    Jika perintah tidak berhasil, ia mengembalikan kesalahan, seperti contoh ini. Anda harus meninjau dan memperbaiki kesalahan sebelum melanjutkan.

    An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Mengkonfigurasi stapling OCSP server untuk titik akhir pribadi

Untuk mengkonfigurasi sertifikat server OCSP stapling menggunakan konsol: AWS IoT

  1. Dari menu navigasi, pilih Pengaturan, lalu pilih Buat konfigurasi domain, atau pilih konfigurasi domain yang ada untuk domain kustom.

  2. Jika Anda memilih untuk membuat konfigurasi domain baru pada langkah sebelumnya, Anda akan melihat halaman Buat konfigurasi domain. Di bagian Properti konfigurasi Domain, pilih Domain kustom. Masukkan informasi untuk membuat konfigurasi domain.

    Jika Anda memilih untuk memperbarui konfigurasi domain yang ada untuk domain kustom, Anda akan melihat halaman detail konfigurasi Domain. Pilih Edit.

  3. Untuk mengaktifkan stapling server OCSP, pilih Aktifkan stapling sertifikat server OCSP di subbagian konfigurasi sertifikat Server.

  4. Pilih Buat konfigurasi domain atau Perbarui konfigurasi domain.

Untuk mengkonfigurasi sertifikat server OCSP stapling menggunakan: AWS CLI

  1. Jika Anda membuat konfigurasi domain baru untuk domain kustom, perintah untuk mengkonfigurasi sertifikat server OCSP untuk titik akhir pribadi dapat terlihat seperti berikut:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

  2. Jika Anda memperbarui konfigurasi domain yang ada untuk domain kustom, perintah untuk mengkonfigurasi sertifikat server OCSP untuk titik akhir pribadi dapat terlihat seperti berikut:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"
mengaktifkan OCSPCheck

Ini adalah nilai Boolean yang menunjukkan apakah pemeriksaan stapling server OCSP diaktifkan atau tidak. Untuk mengaktifkan stapling OCSP sertifikat server, nilai ini harus benar.

ocspAuthorizedResponderArn

Ini adalah nilai string dari Amazon Resource Name (ARN) untuk sertifikat X.509 yang disimpan di (ACM). AWS Certificate Manager Jika disediakan, AWS IoT Core akan menggunakan sertifikat ini untuk memvalidasi tanda tangan tanggapan OCSP yang diterima. Jika tidak disediakan, AWS IoT Core akan menggunakan sertifikat penerbitan untuk memvalidasi tanggapan. Sertifikat harus sama Akun AWS dan Wilayah AWS sebagai konfigurasi domain. Untuk informasi selengkapnya tentang cara mendaftarkan sertifikat responden resmi Anda, lihat Mengimpor sertifikat ke dalam AWS Certificate Manager.

ocspLambdaArn

Ini adalah nilai string dari Amazon Resource Name (ARN) untuk fungsi Lambda yang bertindak sebagai responder Request for Comments (RFC) 6960 compliant (OCSP), mendukung respons OCSP dasar. Fungsi Lambda menerima pengkodean base64 dari permintaan OCSP yang dikodekan menggunakan format DER. Respons fungsi Lambda juga merupakan respons OCSP yang dikodekan base64 dalam format DER. Ukuran respons tidak boleh melebihi 4 kilobyte (KiB). Fungsi Lambda harus sama Akun AWS dan Wilayah AWS sebagai konfigurasi domain.

Untuk informasi selengkapnya, lihat CreateDomainConfigurationdan UpdateDomainConfigurationdari Referensi AWS IoT API.

Catatan penting untuk menggunakan sertifikat server OCSP stapling di AWS IoT Core

Saat Anda menggunakan sertifikat server OCSP AWS IoT Core, ingatlah hal berikut:

  1. AWS IoT Core hanya mendukung responden OCSP yang dapat dijangkau melalui alamat publik. IPv4

  2. Fitur stapling OCSP di AWS IoT Core tidak mendukung responden resmi. Semua tanggapan OCSP harus ditandatangani oleh CA yang menandatangani sertifikat, dan CA harus menjadi bagian dari rantai sertifikat domain kustom.

  3. Fitur stapling OCSP di AWS IoT Core tidak mendukung domain kustom yang dibuat menggunakan sertifikat yang ditandatangani sendiri.

  4. AWS IoT Core memanggil responden OCSP setiap jam dan menyimpan respons dalam cache. Jika panggilan ke responden gagal, AWS IoT Core akan menjepit respons valid terbaru.

  5. Jika nextUpdateTime tidak lagi valid, AWS IoT Core akan menghapus respons dari cache, dan jabat tangan TLS tidak akan menyertakan data respons OCSP sampai panggilan berhasil berikutnya ke responder OCSP. Hal ini dapat terjadi ketika respon cache telah kedaluwarsa sebelum server mendapat respon yang valid dari responder OCSP. Nilai nextUpdateTime menunjukkan bahwa respons OCSP akan valid hingga saat ini. Untuk informasi selengkapnya tentang nextUpdateTime, lihat Sertifikat server entri log OCSP.

  6. Terkadang, AWS IoT Core gagal menerima respons OCSP atau menghapus respons OCSP yang ada karena sudah kedaluwarsa. Jika situasi seperti ini terjadi, AWS IoT Core akan terus menggunakan sertifikat server yang disediakan oleh domain kustom tanpa respon OCSP.

  7. Ukuran respons OCSP tidak boleh melebihi 4 KiB.

Memecahkan masalah sertifikat server OCSP stapling di AWS IoT Core

AWS IoT Core memancarkan RetrieveOCSPStapleData.Success metrik dan entri RetrieveOCSPStapleData log ke. CloudWatch Metrik dan entri log dapat membantu mendeteksi masalah yang terkait dengan pengambilan respons OCSP. Lihat informasi yang lebih lengkap di Sertifikat server metrik stapling OCSP dan Sertifikat server entri log OCSP.