Configurazione del certificato del server per la memorizzazione di dati OCSP

AWS IoT Core supporta la pinzatura OCSP (Online Certificate Status Protocol) per i certificati server, nota anche come cucitura OCSP dei certificati server o pinzatura OCSP. È un meccanismo di sicurezza utilizzato per verificare lo stato di revoca sul certificato del server in un handshake Transport Layer Security (TLS). L'integrazione OCSP AWS IoT Core consente di aggiungere un ulteriore livello di verifica alla validità del certificato del server del dominio personalizzato.

È possibile abilitare l'aggiunta automatica del certificato del server OCSP AWS IoT Core per verificare la validità del certificato interrogando periodicamente il risponditore OCSP. L'impostazione di graffatura OCSP fa parte del processo di creazione o aggiornamento di una configurazione di dominio con un dominio personalizzato. OCSP Stapling verifica continuamente lo stato di revoca sul certificato del server. Questo aiuta a verificare che i certificati che sono stati revocati dalla CA non siano più considerati attendibili dai client che si connettono ai domini personalizzati. Per ulteriori informazioni, consulta Abilitazione del certificato del server OCSP in AWS IoT Core.

L'archiviazione OCSP dei certificati server consente di controllare lo stato di revoca in tempo reale, riduce la latenza associata al controllo dello stato di revoca e migliora la privacy e l'affidabilità delle connessioni sicure. Per ulteriori informazioni sui vantaggi dell'utilizzo della graffatura OCSP, vedere. Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client

Nota

Questa funzionalità non è disponibile in. AWS GovCloud (US) Regions

Che cos'è OCSP?

L'Online Certificate Status Protocol (OCSP) aiuta a fornire lo stato di revoca di un certificato server per un handshake Transport Layer Security (TLS).

Concetti chiave

I seguenti concetti chiave forniscono dettagli sull'Online Certificate Status Protocol (OCSP).

OCSP

OCSP viene utilizzato per verificare lo stato di revoca del certificato durante l'handshake Transport Layer Security (TLS). OCSP consente la convalida in tempo reale dei certificati. Ciò conferma che il certificato non è stato revocato o scaduto da quando è stato emesso. OCSP è anche più scalabile rispetto ai tradizionali elenchi di revoca dei certificati (). CRLs Le risposte OCSP sono più piccole e possono essere generate in modo efficiente, il che le rende più adatte per infrastrutture a chiave privata su larga scala (). PKIs

Risponditore OCSP

Un risponditore OCSP (noto anche come server OCSP) riceve e risponde alle richieste OCSP dei client che cercano di verificare lo stato di revoca dei certificati.

OCSP lato client

In OCSP lato client, il client utilizza OCSP per contattare un risponditore OCSP per verificare lo stato di revoca del certificato durante l'handshake TLS.

OCSP lato server

In OCSP lato server (noto anche come pinzatura OCSP), il server è abilitato (anziché il client) a effettuare la richiesta al risponditore OCSP. Il server memorizza la risposta OCSP al certificato e la restituisce al client durante l'handshake TLS.

Diagrammi OCSP

Il diagramma seguente illustra il funzionamento di OCSP lato client e OCSP lato server.

OCSP lato client

1. Il client invia un ClientHello messaggio per avviare l'handshake TLS con il server.

2. Il server riceve il messaggio e risponde con un messaggio. ServerHello Il server invia inoltre il certificato del server al client.

3. Il client convalida il certificato del server e ne estrae un URI OCSP.

4. Il client invia una richiesta di controllo della revoca del certificato al risponditore OCSP.

5. Il risponditore OCSP invia una risposta OCSP.

6. Il client convalida lo stato del certificato dalla risposta OCSP.

7. L'handshake TLS è completato.

OCSP lato server

1. Il client invia un ClientHello messaggio per avviare l'handshake TLS con il server.

2. Il server riceve il messaggio e riceve l'ultima risposta OCSP memorizzata nella cache. Se la risposta memorizzata nella cache è mancante o è scaduta, il server chiamerà il risponditore OCSP per verificare lo stato del certificato.

3. Il risponditore OCSP invia una risposta OCSP al server.

4. Il server invia un messaggio. ServerHello Il server invia inoltre il certificato del server e lo stato del certificato al client.

5. Il client convalida lo stato del certificato OCSP.

6. L'handshake TLS è completato.

Come funziona la cucitura OCSP

Lo stapling OCSP viene utilizzato durante l'handshake TLS tra il client e il server per verificare lo stato di revoca del certificato del server. Il server invia la richiesta OCSP al risponditore OCSP e archivia le risposte OCSP ai certificati restituiti al client. Facendo in modo che il server effettui la richiesta al risponditore OCSP, le risposte possono essere memorizzate nella cache e quindi utilizzate più volte per molti client.

Come funziona la cucitura OCSP in AWS IoT Core

Il diagramma seguente mostra come funziona la graffatura OCSP sul lato server. AWS IoT Core

1. Il dispositivo deve essere registrato con domini personalizzati con la graffatura OCSP abilitata.

2. AWS IoT Core chiama il risponditore OCSP ogni ora per ottenere lo stato del certificato.

3. Il risponditore OCSP riceve la richiesta, invia la risposta OCSP più recente e archivia la risposta OCSP nella cache.

4. Il dispositivo invia un ClientHello messaggio con cui avviare l'handshake TLS. AWS IoT Core

5. AWS IoT Core ottiene la risposta OCSP più recente dalla cache del server, che risponde con una risposta OCSP del certificato.

6. Il server invia un ServerHello messaggio al dispositivo. Il server invia inoltre il certificato del server e lo stato del certificato al client.

7. Il dispositivo convalida lo stato del certificato OCSP.

8. L'handshake TLS è completato.

Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client

Alcuni vantaggi dell'utilizzo della graffatura OCSP dei certificati server includono quanto segue:

Migliore privacy

Senza l'utilizzo di caratteri OCSP, il dispositivo del client può esporre le informazioni a risponditori OCSP di terze parti, compromettendo potenzialmente la privacy degli utenti. La graffatura OCSP mitiga questo problema facendo in modo che il server ottenga la risposta OCSP e la invii direttamente al client.

Affidabilità migliorata

La pinzatura OCSP può migliorare l'affidabilità delle connessioni sicure perché riduce il rischio di interruzioni del server OCSP. Quando le risposte OCSP vengono pinzate, il server include la risposta più recente con il certificato. In questo modo i client hanno accesso allo stato di revoca anche se il risponditore OCSP è temporaneamente non disponibile. Lo stapling OCSP aiuta a mitigare questi problemi perché il server recupera periodicamente le risposte OCSP e include le risposte memorizzate nella cache nell'handshake TLS. Ciò riduce la dipendenza dalla disponibilità in tempo reale dei risponditori OCSP.

Carico ridotto del server

Lo stapling OCSP alleggerisce al server l'onere di rispondere alle richieste OCSP dei risponditori OCSP. Questo può aiutare a distribuire il carico in modo più uniforme, rendendo il processo di convalida dei certificati più efficiente e scalabile.

Latenza ridotta

Lo stapling OCSP riduce la latenza associata al controllo dello stato di revoca di un certificato durante l'handshake TLS. Invece di dover interrogare separatamente un server OCSP, il server invia la richiesta e allega la risposta OCSP al certificato del server durante l'handshake.

Abilitazione del certificato del server OCSP in AWS IoT Core

Per abilitare l'inserimento del certificato del server OCSP AWS IoT Core, crea una configurazione di dominio per un dominio personalizzato o aggiorna una configurazione di dominio personalizzata esistente. Per informazioni generali sulla creazione di una configurazione di dominio con un dominio personalizzato, vedere. Creazione e configurazione di domini gestiti dai clienti

Utilizzare le seguenti istruzioni per abilitare la pinzatura del server OCSP utilizzando AWS Management Console o. AWS CLI

Console

Per abilitare la graffatura OCSP dei certificati del server utilizzando la console: AWS IoT

1. Nel menu di navigazione, scegli Impostazioni, quindi scegli Crea configurazione di dominio o scegli una configurazione di dominio esistente per un dominio personalizzato.

2. Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.

   Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.

3. Per abilitare lo stampaggio OCSP del server OCSP, scegli Abilita la graffatura OCSP dei certificati del server nella sottosezione Configurazioni dei certificati del server.

4. Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.

AWS CLI

Per abilitare la memorizzazione OCSP del certificato del server utilizzando: AWS CLI

1. Se si crea una nuova configurazione di dominio per un dominio personalizzato, il comando per abilitare la graffatura del server OCSP può essere simile al seguente:

   aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true|false"

2. Se si aggiorna una configurazione di dominio esistente per un dominio personalizzato, il comando per abilitare lo stapling del server OCSP può essere simile al seguente:

   aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true|false"                                 

Per ulteriori informazioni, consulta CreateDomainConfiguratione consulta l' AWS IoT API UpdateDomainConfigurationReference.

Configurazione del certificato del server OCSP per endpoint privati in AWS IoT Core

OCSP for private endpoint ti consente di utilizzare le tue risorse OCSP private all'interno di Amazon Virtual Private Cloud (Amazon VPC) per le operazioni. AWS IoT Core Il processo prevede l'impostazione di una funzione Lambda che funge da risponditore OCSP. La funzione Lambda potrebbe utilizzare le risorse OCSP private per creare risposte OCSP da utilizzare. AWS IoT Core

Funzione Lambda

Prima di configurare il server OCSP per un endpoint privato, create una funzione Lambda che funga da risponditore OCSP (Online Certificate Status Protocol) conforme a Request for Comments (RFC) 6960, che supporta le risposte OCSP di base. La funzione Lambda accetta una codifica base64 della richiesta OCSP nel formato Distinguished Encoding Rules (DER). La risposta della funzione Lambda è anche una risposta OCSP con codifica base64 nel formato DER. La dimensione della risposta non deve superare i 4 kilobyte (KB). La funzione Lambda deve essere nella Regione AWS stessa Account AWS configurazione del dominio. Di seguito sono riportati alcuni esempi di funzioni Lambda.

Esempi di funzioni Lambda

JavaScript

import * as pkijs from 'pkijs';
console.log('Loading function');
 
export const handler = async (event, context) => {
    const requestBytes = decodeBase64(event);
    const ocspRequest = pkijs.OCSPRequest.fromBER(requestBytes);
 
    console.log("Here is a better look at the OCSP request");
    console.log(ocspRequest.toJSON());
 
    const ocspResponse = getOcspResponse();
    
    console.log("Here is a better look at the OCSP response");
    console.log(ocspResponse.toJSON());
 
   const responseBytes = ocspResponse.toSchema().toBER();
   return encodeBase64(responseBytes);
};
 
function getOcspResponse() {
    const responseString = "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";
    const responseBytes = decodeBase64(responseString);
    return pkijs.OCSPResponse.fromBER(responseBytes);
}
 
function decodeBase64(input) {
    const binaryString = atob(input);
 
    const byteArray = new Uint8Array(binaryString.length);
    for (var i = 0; i < binaryString.length; i++) {
        byteArray[i] = binaryString.charCodeAt(i);
    }
 
    return byteArray.buffer;
}
 
function encodeBase64(buffer) {
    var binary = '';
    const bytes = new Uint8Array( buffer );
    const len = bytes.byteLength;
 
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
 
    return btoa(binary);
}

Java

package com.example.ocsp.responder;
import com.amazonaws.services.lambda.runtime.Context;
import com.amazonaws.services.lambda.runtime.LambdaLogger;
import com.amazonaws.services.lambda.runtime.RequestHandler;
import org.bouncycastle.cert.ocsp.OCSPReq;
import org.bouncycastle.cert.ocsp.OCSPResp;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.util.Base64;
 
public class LambdaResponderApplication implements RequestHandler<String, String> {
    @Override
    public String handleRequest(final String input, final Context context) {
        LambdaLogger logger = context.getLogger();
        
        byte[] decodedInput = Base64.getDecoder().decode(input);
 
        OCSPReq req;
        try {
            req = new OCSPReq(decodedInput);
        } catch (IOException e) {
            logger.log("Got an IOException creating the OCSP request: " + e.getMessage());
            throw new RuntimeException(e);
        }
 
        try {
            OCSPResp response = businessLogic.getMyResponse();
            String toReturn = Base64.getEncoder().encodeToString(response.getEncoded());
            return toReturn;
        } catch (Exception e) {
            logger.log("Got an exception creating the response: " + e.getMessage());
            return "";
        }
    }
}

Autorizzazione AWS IoT a richiamare la funzione Lambda

Nel processo di creazione della configurazione del dominio con un risponditore Lambda OCSP, è necessario concedere l' AWS IoT autorizzazione a richiamare la funzione Lambda dopo la creazione della funzione. Per concedere l'autorizzazione, è possibile utilizzare il comando dell'interfaccia a riga di comando add-permission.

Concedi l'autorizzazione alla tua funzione Lambda utilizzando il AWS CLI

1. Una volta inseriti i valori, inserisci il comando seguente. Attenzione: il valore statement-id deve essere univoco. Sostituisci Id-1234 con il valore esatto che hai, altrimenti potresti ricevere un ResourceConflictException errore.

   aws lambda add-permission  \
   --function-name "ocsp-function" \
   --principal "iot.amazonaws.com" \
   --action "lambda:InvokeFunction" \
   --statement-id "Id-1234" \
   --source-arn arn:aws:iot:us-east-1:123456789012:domainconfiguration/<domain-config-name>/*
   --source-account 123456789012

   La configurazione del dominio IoT ARNs seguirà lo schema seguente. Il suffisso generato dal servizio non sarà noto prima della creazione, pertanto è necessario sostituire il suffisso con un. * È possibile aggiornare l'autorizzazione una volta creata la configurazione del dominio e conoscere l'ARN esatto.

   arn:aws:iot:use-east-1:123456789012:domainconfiguration/domain-config-name/service-generated-suffix

2. Se il comando viene completato correttamente, restituisce un'istruzione di autorizzazione come questa. È possibile passare alla sezione successiva per configurare lo stapling OCSP per endpoint privati.

   {
       "Statement": "{\"Sid\":\"Id-1234\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:us-east-1:123456789012:function:ocsp-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:iot:us-east-1:123456789012:domainconfiguration/domain-config-name/*\"}}}"
   }

   Se il comando non ha esito positivo, restituisce un errore come questo. Dovrai esaminare e correggere l'errore prima di continuare.

   An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer
   mission on resource: arn:aws:lambda:us-east-1:123456789012:function:ocsp-function

Configurazione dello stapling OCSP del server per endpoint privati

Console

Per configurare la graffatura OCSP del certificato del server utilizzando la console: AWS IoT

1. Dal menu di navigazione, scegli Impostazioni, quindi scegli Crea configurazione di dominio o scegli una configurazione di dominio esistente per un dominio personalizzato.

2. Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.

   Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.

3. Per abilitare lo stampaggio OCSP del server OCSP, scegli Abilita la graffatura OCSP dei certificati del server nella sottosezione Configurazioni dei certificati del server.

4. Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.

AWS CLI

Per configurare la graffatura OCSP del certificato del server utilizzando: AWS CLI

1. Se crei una nuova configurazione di dominio per un dominio personalizzato, il comando per configurare il certificato del server OCSP per gli endpoint privati può essere simile al seguente:

   aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"

2. Se si aggiorna una configurazione di dominio esistente per un dominio personalizzato, il comando per configurare il certificato del server OCSP per gli endpoint privati può essere simile al seguente:

   aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
           --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
           --server-certificate-config "enableOCSPCheck=true, ocspAuthorizedResponderArn=arn:aws:acm:us-east-1:123456789012:certificate/certificate_ID, ocspLambdaArn=arn:aws:lambda:us-east-1:123456789012:function:my-function"                                

abilitare OCSPCheck

Questo è un valore booleano che indica se il controllo di graffatura OCSP del server è abilitato o meno. Per abilitare la graffatura OCSP del certificato del server, questo valore deve essere vero.

ocspAuthorizedResponderArn

Si tratta di un valore stringa dell'Amazon Resource Name (ARN) per un certificato X.509 memorizzato in AWS Certificate Manager (ACM). Se fornito, AWS IoT Core utilizzerà questo certificato per convalidare la firma della risposta OCSP ricevuta. Se non fornito, AWS IoT Core utilizzerà il certificato di emissione per convalidare le risposte. Il certificato deve essere nella Regione AWS stessa Account AWS configurazione del dominio. Per ulteriori informazioni su come registrare il certificato di risponditore autorizzato, consulta Importare certificati in AWS Certificate Manager.

ocspLambdaArn

Si tratta di un valore stringa dell'Amazon Resource Name (ARN) per una funzione Lambda che funge da risponditore conforme a Request for Comments (RFC) 6960 (OCSP), supportando le risposte OCSP di base. La funzione Lambda accetta una codifica base64 della richiesta OCSP codificata utilizzando il formato DER. La risposta della funzione Lambda è anche una risposta OCSP con codifica base64 nel formato DER. La dimensione della risposta non deve superare i 4 kilobyte (KB). La funzione Lambda deve essere nella Regione AWS stessa Account AWS configurazione del dominio.

Per ulteriori informazioni, consulta CreateDomainConfiguratione utilizza UpdateDomainConfigurationl' AWS IoT API Reference.

Note importanti per l'utilizzo del certificato del server OCSP in AWS IoT Core

Quando utilizzi il certificato del server OCSP in AWS IoT Core, tieni presente quanto segue:

1. AWS IoT Core supporta solo i risponditori OCSP raggiungibili tramite indirizzi pubblici. IPv4

2. La funzionalità di spillatura OCSP AWS IoT Core non supporta i risponditori autorizzati. Tutte le risposte OCSP devono essere firmate dalla CA che ha firmato il certificato e la CA deve far parte della catena di certificati del dominio personalizzato.

3. La funzionalità di base OCSP AWS IoT Core non supporta i domini personalizzati creati utilizzando certificati autofirmati.

4. AWS IoT Core chiama un risponditore OCSP ogni ora e memorizza la risposta nella cache. Se la chiamata al risponditore fallisce, AWS IoT Core memorizzerà la risposta valida più recente.

5. Se non nextUpdateTime è più valida, AWS IoT Core rimuoverà la risposta dalla cache e l'handshake TLS non includerà i dati di risposta OCSP fino alla successiva chiamata riuscita al risponditore OCSP. Ciò può accadere quando la risposta memorizzata nella cache è scaduta prima che il server riceva una risposta valida dal risponditore OCSP. Il valore di nextUpdateTime suggerisce che la risposta OCSP sarà valida fino a quel momento. Per ulteriori informazioni su nextUpdateTime, consulta Voci di registro OCSP del certificato del server.

6. A volte, AWS IoT Core non riesce a ricevere la risposta OCSP o rimuove la risposta OCSP esistente perché è scaduta. Se si verificano situazioni come queste, AWS IoT Core continuerà a utilizzare il certificato del server fornito dal dominio personalizzato senza la risposta OCSP.

7. La dimensione della risposta OCSP non può superare i 4 KiB.

Risoluzione dei problemi relativi all'inserimento del certificato OCSP del server AWS IoT Core

AWS IoT Core emette la RetrieveOCSPStapleData.Success metrica e le voci di registro su. RetrieveOCSPStapleData CloudWatch La metrica e le voci di registro possono aiutare a rilevare problemi relativi al recupero delle risposte OCSP. Per ulteriori informazioni, consultare Certificato del server (OCSP), metriche di fissaggio. e Voci di registro OCSP del certificato del server.