Mengkonfigurasi URL Kustom untuk AWS Private CA OCSP

catatan

Topik ini ditujukan untuk pelanggan yang ingin menyesuaikan URL publik dari endpoint responder OCSP untuk branding atau tujuan lain. Jika Anda berencana untuk menggunakan konfigurasi default OCSP AWS Private CA terkelola, Anda dapat melewati topik ini dan mengikuti petunjuk konfigurasi di Configure revocation.

Secara default, saat Anda mengaktifkan OCSP AWS Private CA, setiap sertifikat yang Anda terbitkan berisi URL untuk responden AWS OCSP. Hal ini memungkinkan klien meminta koneksi kriptografis aman untuk mengirim kueri validasi OCSP langsung ke. AWS Namun, dalam beberapa kasus, mungkin lebih baik untuk menyatakan URL yang berbeda di sertifikat Anda sambil tetap mengirimkan kueri OCSP ke. AWS

catatan

Untuk informasi tentang menggunakan daftar pencabutan sertifikat (CRL) sebagai alternatif atau tambahan untuk OCSP, lihat Mengkonfigurasi pencabutan dan Merencanakan daftar pencabutan sertifikat (CRL).

Tiga elemen yang terlibat dalam mengkonfigurasi URL kustom untuk OCSP.

• Konfigurasi CA - Tentukan URL OCSP kustom di RevocationConfiguration CA Anda seperti yang dijelaskan Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan dalamProsedur untuk membuat CA (CLI) .

• DNS — Tambahkan catatan CNAME ke konfigurasi domain Anda untuk memetakan URL yang muncul di sertifikat ke URL server proxy. Untuk informasi selengkapnya, lihat Contoh 2: Buat CA dengan OCSP dan CNAME kustom diaktifkan di Prosedur untuk membuat CA (CLI) .

• Forwarding proxy server - Siapkan server proxy yang dapat secara transparan meneruskan lalu lintas OCSP yang diterimanya ke responder OCSP. AWS

Diagram berikut menggambarkan bagaimana elemen-elemen ini bekerja sama.

Seperti yang ditunjukkan pada diagram, proses validasi OCSP yang disesuaikan melibatkan langkah-langkah berikut:

1. Klien menanyakan DNS untuk domain target.

2. Klien menerima IP target.

3. Klien membuka koneksi TCP dengan target.

4. Klien menerima sertifikat TLS target.

5. Klien menanyakan DNS untuk domain OCSP yang tercantum dalam sertifikat.

6. Klien menerima IP proxy.

7. Klien mengirimkan kueri OCSP ke proxy.

8. Proxy meneruskan kueri ke responder OCSP.

9. Responder mengembalikan status sertifikat ke proxy.

10. Proxy meneruskan status sertifikat ke klien.

11. Jika sertifikat valid, klien memulai jabat tangan TLS.

Tip

Contoh ini dapat diimplementasikan menggunakan Amazon CloudFront dan Amazon Route 53 setelah Anda mengonfigurasi CA seperti yang dijelaskan di atas.

1. Di CloudFront, buat distribusi dan konfigurasikan sebagai berikut:

   • Buat nama alternatif yang cocok dengan CNAME kustom Anda.

   • Ikat sertifikat Anda untuk itu.

   • Setel ocsp.acm-pca. <region>.amazonaws.com sebagai asal.

   • Terapkan Managed-CachingDisabled kebijakan.

   • Tetapkan kebijakan protokol Viewer ke HTTP dan HTTPS.

   • Atur metode HTTP yang Diizinkan untuk GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.

2. Di Route 53, buat catatan DNS yang memetakan CNAME kustom Anda ke URL distribusi. CloudFront