Configurazione del certificato del server per la graffatura di OCSP - AWS IoT Core
Che cos'è OCSP?Come funziona la cucitura OCSPAttivazione della memorizzazione OCSP del certificato del server AWS IoT CoreNote importanti per l'utilizzo del certificato del server OCSP in AWS IoT CoreRisoluzione dei problemi relativi all'inserimento del certificato OCSP del server AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del certificato del server per la graffatura di OCSP

AWS IoT Core supporta la cucitura OCSP (Online Certificate Status Protocol) per i certificati server, nota anche come pinzatura OCSP dei certificati server o pinzatura OCSP. È un meccanismo di sicurezza utilizzato per verificare lo stato di revoca sul certificato del server in un handshake Transport Layer Security (TLS). L'integrazione OCSP AWS IoT Core consente di aggiungere un ulteriore livello di verifica alla validità del certificato del server del dominio personalizzato.

È possibile abilitare lo stapling OCSP del certificato del server AWS IoT Core per verificare la validità del certificato interrogando periodicamente il risponditore OCSP. L'impostazione di graffatura OCSP fa parte del processo di creazione o aggiornamento di una configurazione di dominio con un dominio personalizzato. OCSP Stapling verifica continuamente lo stato di revoca sul certificato del server. Questo aiuta a verificare che i certificati che sono stati revocati dalla CA non siano più considerati attendibili dai client che si connettono ai domini personalizzati. Per ulteriori informazioni, consulta Attivazione della memorizzazione OCSP del certificato del server AWS IoT Core.

L'archiviazione OCSP dei certificati server consente di controllare lo stato di revoca in tempo reale, riduce la latenza associata al controllo dello stato di revoca e migliora la privacy e l'affidabilità delle connessioni sicure. Per ulteriori informazioni sui vantaggi dell'utilizzo della graffatura OCSP, vedere. Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client

Nota

Questa funzionalità non è disponibile in. AWS GovCloud (US) Regions

Che cos'è OCSP?

Concetti chiave

I seguenti concetti forniscono dettagli su OCSP e concetti correlati.

OCSP

OCSP viene utilizzato per verificare lo stato di revoca del certificato durante l'handshake Transport Layer Security (TLS). OCSP consente la convalida in tempo reale dei certificati. Ciò conferma che il certificato non è stato revocato o scaduto da quando è stato emesso. OCSP è anche più scalabile rispetto alle tradizionali liste di revoca dei certificati (CRL). Le risposte OCSP sono più piccole e possono essere generate in modo efficiente, il che le rende più adatte per infrastrutture a chiave privata (PKI) su larga scala.

Risponditore OCSP

Un risponditore OCSP (noto anche come server OCSP) riceve e risponde alle richieste OCSP dei client che cercano di verificare lo stato di revoca dei certificati.

OCSP lato client

In OCSP lato client, il client utilizza OCSP per contattare un risponditore OCSP per verificare lo stato di revoca del certificato durante l'handshake Transport Layer Security (TLS).

OCSP lato server

In OCSP lato server (noto anche come pinzatura OCSP), il server è abilitato (anziché il client) a effettuare la richiesta al risponditore OCSP. Il server memorizza la risposta OCSP al certificato e la restituisce al client durante l'handshake TLS.

Diagrammi OCSP

Il diagramma seguente illustra il funzionamento di OCSP lato client e OCSP lato server.

Diagrammi OCSP lato client e OCSP lato server
OCSP lato client

  1. Il client invia un ClientHello messaggio per avviare l'handshake TLS con il server.

  2. Il server riceve il messaggio e risponde con un messaggio. ServerHello Il server invia inoltre il certificato del server al client.

  3. Il client convalida il certificato del server e ne estrae un URI OCSP.

  4. Il client invia una richiesta di controllo della revoca del certificato al risponditore OCSP.

  5. Il risponditore OCSP invia una risposta OCSP.

  6. Il client convalida lo stato del certificato dalla risposta OCSP.

  7. L'handshake TLS è completato.

OCSP lato server

  1. Il client invia un ClientHello messaggio per avviare l'handshake TLS con il server.

  2. Il server riceve il messaggio e riceve l'ultima risposta OCSP memorizzata nella cache. Se la risposta memorizzata nella cache è mancante o è scaduta, il server chiamerà il risponditore OCSP per verificare lo stato del certificato.

  3. Il risponditore OCSP invia una risposta OCSP al server.

  4. Il server invia un messaggio. ServerHello Il server invia inoltre il certificato del server e lo stato del certificato al client.

  5. Il client convalida lo stato del certificato OCSP.

  6. L'handshake TLS è completato.

Come funziona la cucitura OCSP

La graffatura OCSP viene utilizzata durante l'handshake Transport Layer Security (TLS) tra il client e il server per verificare lo stato di revoca del certificato del server. Il server invia la richiesta OCSP al risponditore OCSP e memorizza le risposte OCSP ai certificati restituiti al client. Facendo in modo che il server effettui la richiesta al risponditore OCSP, le risposte possono essere memorizzate nella cache e quindi utilizzate più volte per molti client.

Come funziona la cucitura OCSP in AWS IoT Core

Il diagramma seguente mostra come funziona la graffatura OCSP sul lato server. AWS IoT Core

Questo diagramma mostra come funziona la graffatura OCSP sul lato server. AWS IoT Core

  1. Il dispositivo deve essere registrato con domini personalizzati con la graffatura OCSP abilitata.

  2. AWS IoT Core chiama il risponditore OCSP ogni ora per ottenere lo stato del certificato.

  3. Il risponditore OCSP riceve la richiesta, invia la risposta OCSP più recente e archivia la risposta OCSP nella cache.

  4. Il dispositivo invia un ClientHello messaggio con cui avviare l'handshake TLS. AWS IoT Core

  5. AWS IoT Core ottiene la risposta OCSP più recente dalla cache del server, che risponde con una risposta OCSP del certificato.

  6. Il server invia un ServerHello messaggio al dispositivo. Il server invia inoltre il certificato del server e lo stato del certificato al client.

  7. Il dispositivo convalida lo stato del certificato OCSP.

  8. L'handshake TLS è completato.

Vantaggi dell'utilizzo della pinzatura OCSP rispetto ai controlli OCSP lato client

Alcuni vantaggi dell'utilizzo della graffatura OCSP dei certificati server sono riassunti come segue:

Migliore privacy

Senza l'utilizzo di caratteri OCSP, il dispositivo del client può esporre le informazioni a risponditori OCSP di terze parti, compromettendo potenzialmente la privacy degli utenti. La graffatura OCSP mitiga questo problema facendo in modo che il server ottenga la risposta OCSP e la invii direttamente al client.

Affidabilità migliorata

La pinzatura OCSP può migliorare l'affidabilità delle connessioni sicure perché riduce il rischio di interruzioni del server OCSP. Quando le risposte OCSP vengono pinzate, il server include la risposta più recente con il certificato. In questo modo i client hanno accesso allo stato di revoca anche se il risponditore OCSP è temporaneamente non disponibile. Lo stapling OCSP aiuta a mitigare questi problemi perché il server recupera periodicamente le risposte OCSP e include le risposte memorizzate nella cache nell'handshake TLS, riducendo la dipendenza dalla disponibilità in tempo reale dei risponditori OCSP.

Carico ridotto del server

Lo stapling OCSP alleggerisce al server l'onere di rispondere alle richieste OCSP dei risponditori OCSP. Questo può aiutare a distribuire il carico in modo più uniforme, rendendo il processo di convalida dei certificati più efficiente e scalabile.

Latenza ridotta

Lo stapling OCSP riduce la latenza associata al controllo dello stato di revoca di un certificato durante l'handshake TLS. Invece di dover interrogare separatamente un server OCSP, il server invia la richiesta e allega la risposta OCSP al certificato del server durante l'handshake.

Attivazione della memorizzazione OCSP del certificato del server AWS IoT Core

Per abilitare l'apposizione del certificato del server OCSP AWS IoT Core, è necessario creare una configurazione di dominio per un dominio personalizzato o aggiornare una configurazione di dominio personalizzata esistente. Per informazioni generali sulla creazione di una configurazione di dominio con un dominio personalizzato, vedere. Creazione e configurazione di domini personalizzati

Utilizzare le seguenti istruzioni per abilitare la pinzatura del server OCSP utilizzando AWS Management Console o. AWS CLI

Per abilitare la graffatura OCSP del certificato del server tramite la console: AWS IoT

  1. Scegli Impostazioni dalla barra di navigazione a sinistra del menu, quindi scegli Crea configurazione di dominio o una configurazione di dominio esistente per un dominio personalizzato.

  2. Se scegli di creare una nuova configurazione di dominio nel passaggio precedente, vedrai la pagina Crea configurazione del dominio. Nella sezione Proprietà di configurazione del dominio, scegli Dominio personalizzato. Inserisci le informazioni per creare una configurazione del dominio.

    Se scegli di aggiornare una configurazione di dominio esistente per un dominio personalizzato, vedrai la pagina dei dettagli della configurazione del dominio. Scegli Modifica.

  3. Per abilitare lo stampaggio OCSP del server OCSP, scegli Abilita la graffatura OCSP dei certificati del server nella sottosezione Configurazioni dei certificati del server.

  4. Scegli Crea configurazione di dominio o Aggiorna configurazione di dominio.

Per abilitare la memorizzazione OCSP del certificato del server utilizzando: AWS CLI

  1. Se si crea una nuova configurazione di dominio per un dominio personalizzato, il comando per abilitare la graffatura del server OCSP può essere simile al seguente:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. Se si aggiorna una configurazione di dominio esistente per un dominio personalizzato, il comando per abilitare lo stapling del server OCSP può essere simile al seguente:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

Per ulteriori informazioni, consulta CreateDomainConfiguratione consulta l' AWS IoT API UpdateDomainConfigurationReference.

Note importanti per l'utilizzo del certificato del server OCSP in AWS IoT Core

Quando utilizzi il certificato del server OCSP in AWS IoT Core, tieni presente quanto segue:

  1. AWS IoT Core supporta solo i risponditori OCSP raggiungibili tramite indirizzi IPv4 pubblici.

  2. La funzionalità di fissaggio OCSP non supporta i risponditori autorizzati. AWS IoT Core Tutte le risposte OCSP devono essere firmate dalla CA che ha firmato il certificato e la CA deve far parte della catena di certificati del dominio personalizzato.

  3. La funzionalità di base OCSP AWS IoT Core non supporta i domini personalizzati creati utilizzando certificati autofirmati.

  4. AWS IoT Core chiama un risponditore OCSP ogni ora e memorizza la risposta nella cache. Se la chiamata al risponditore fallisce, AWS IoT Core memorizzerà la risposta valida più recente.

  5. Se non nextUpdateTime è più valida, AWS IoT Core rimuoverà la risposta dalla cache e l'handshake TLS non includerà i dati di risposta OCSP fino alla successiva chiamata riuscita al risponditore OCSP. Ciò può accadere quando la risposta memorizzata nella cache è scaduta prima che il server riceva una risposta valida dal risponditore OCSP. Il valore di nextUpdateTime suggerisce che la risposta OCSP sarà valida fino a quel momento. Per ulteriori informazioni su nextUpdateTime, consulta Voci di registro OCSP del certificato del server.

  6. A volte, AWS IoT Core non riesce a ricevere la risposta OCSP o rimuove la risposta OCSP esistente perché è scaduta. Se si verificano situazioni come queste, AWS IoT Core continuerà a utilizzare il certificato del server fornito dal dominio personalizzato senza la risposta OCSP.

  7. La dimensione della risposta OCSP non può superare i 4 KiB.

Risoluzione dei problemi relativi all'inserimento del certificato OCSP del server AWS IoT Core

AWS IoT Core emette la RetrieveOCSPStapleData.Success metrica e le voci di registro su. RetrieveOCSPStapleData CloudWatch La metrica e le voci di registro possono aiutare a rilevare problemi relativi al recupero delle risposte OCSP. Per ulteriori informazioni, consultare Certificato del server (OCSP), metriche di fissaggio. e Voci di registro OCSP del certificato del server.