Menyiapkan metode pencabutan sertifikat - AWS Private Certificate Authority
Persyaratan umum untuk konfigurasi pencabutan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan metode pencabutan sertifikat

Saat Anda merencanakan PKI pribadi Anda AWS Private CA, Anda harus mempertimbangkan cara menangani situasi di mana Anda tidak lagi ingin titik akhir mempercayai sertifikat yang dikeluarkan, seperti ketika kunci pribadi dari titik akhir diekspos. Pendekatan umum untuk masalah ini adalah dengan menggunakan sertifikat berumur pendek atau untuk mengkonfigurasi pencabutan sertifikat. Sertifikat berumur pendek kedaluwarsa dalam waktu yang singkat, dalam jam atau hari, pencabutan itu tidak masuk akal, dengan sertifikat menjadi tidak valid dalam waktu yang hampir bersamaan yang diperlukan untuk memberi tahu titik akhir pencabutan. Bagian ini menjelaskan opsi pencabutan untuk AWS Private CA pelanggan, termasuk konfigurasi dan praktik terbaik.

Pelanggan yang mencari metode pencabutan dapat memilih Online Certificate Status Protocol (OCSP), daftar pencabutan sertifikat (CRL), atau keduanya.

catatan

Jika Anda membuat CA tanpa mengonfigurasi pencabutan, Anda selalu dapat mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat Memperbarui CA privat Anda.

  • Protokol Status Sertifikat Online (OCSP)

    AWS Private CA menyediakan solusi OCSP yang dikelola sepenuhnya untuk memberi tahu titik akhir bahwa sertifikat telah dicabut tanpa perlu pelanggan mengoperasikan infrastruktur sendiri. Pelanggan dapat mengaktifkan OCSP pada CA baru atau yang sudah ada dengan satu operasi menggunakan AWS Private CA konsol, API, CLI, atau melalui. AWS CloudFormation Sedangkan CRL disimpan dan diproses pada titik akhir dan dapat menjadi basi, penyimpanan OCSP dan persyaratan pemrosesan ditangani secara serempak di backend responder.

    Saat Anda mengaktifkan OCSP untuk CA, AWS Private CA sertakan URL responden OCSP dalam ekstensi Authority Information Access (AIA) dari setiap sertifikat baru yang dikeluarkan. Ekstensi ini memungkinkan klien seperti browser web untuk menanyakan responden dan menentukan apakah sertifikat CA entitas akhir atau bawahan dapat dipercaya. Responden mengembalikan pesan status yang ditandatangani secara kriptografi untuk memastikan keasliannya.

    Responden AWS Private CA OCSP sesuai dengan RFC 5019.

    Pertimbangan OCSP

    • Pesan status OCSP ditandatangani menggunakan algoritma penandatanganan yang sama dengan CA penerbit yang dikonfigurasi untuk digunakan. CA yang dibuat di AWS Private CA konsol menggunakan algoritma tanda tangan SHA256WITHRSA secara default. Algoritma lain yang didukung dapat ditemukan di dokumentasi CertificateAuthorityConfigurationAPI.

    • Templat sertifikat ApiPassThrough dan CSRPassThrough tidak akan berfungsi dengan ekstensi AIA jika responden OCSP diaktifkan.

    • Titik akhir dari layanan OCSP yang dikelola dapat diakses di internet publik. Pelanggan yang menginginkan OCSP tetapi memilih untuk tidak memiliki titik akhir publik perlu mengoperasikan infrastruktur OCSP mereka sendiri.

  • Daftar Pencabutan Sertifikat (CRL)

    CRL berisi daftar sertifikat yang dicabut. Saat Anda mengonfigurasi CA untuk menghasilkan CRL, AWS Private CA sertakan ekstensi Titik Distribusi CRL di setiap sertifikat baru yang dikeluarkan. Ekstensi ini menyediakan URL untuk CRL. Ekstensi ini memungkinkan klien seperti browser web untuk menanyakan CRL dan menentukan apakah sertifikat CA entitas akhir atau bawahan dapat dipercaya.

Karena klien harus mengunduh CRL dan memprosesnya secara lokal, penggunaannya lebih intensif memori daripada OCSP. CRL dapat mengkonsumsi lebih sedikit bandwidth jaringan karena daftar CRL diunduh dan di-cache, dibandingkan dengan OCSP yang memeriksa status pencabutan untuk setiap upaya koneksi baru.

catatan

Baik OCSP dan CRL menunjukkan beberapa penundaan antara pencabutan dan ketersediaan perubahan status.

  • Tanggapan OCSP dapat memakan waktu hingga 60 menit untuk mencerminkan status baru saat Anda mencabut sertifikat. Secara umum, OCSP cenderung mendukung distribusi informasi pencabutan yang lebih cepat karena, tidak seperti CRL yang dapat di-cache oleh klien selama berhari-hari, respons OCSP biasanya tidak di-cache oleh klien.

  • CRL biasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun pembaruan CRL gagal, lakukan AWS Private CA upaya lebih lanjut setiap 15 menit.

Persyaratan umum untuk konfigurasi pencabutan

Persyaratan berikut berlaku untuk semua konfigurasi pencabutan.

  • Konfigurasi yang menonaktifkan CRL atau OCSP harus berisi hanya Enabled=False parameter, dan akan gagal jika parameter lain seperti CustomCname atau disertakan. ExpirationInDays

  • Dalam konfigurasi CRL, S3BucketName parameter harus sesuai dengan aturan penamaan bucket Amazon Simple Storage Service.

  • Konfigurasi yang berisi parameter Nama Canonical kustom (CNAME) untuk CRL atau OCSP harus sesuai dengan pembatasan RFC7230 pada penggunaan karakter khusus dalam CNAME.

  • Dalam konfigurasi CRL atau OCSP, nilai parameter CNAME tidak boleh menyertakan awalan protokol seperti “http://” atau “https://”.

Topik