Impostazione di un metodo di revoca dei certificati - AWS Private Certificate Authority
Requisiti generali per le configurazioni di revoca

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione di un metodo di revoca dei certificati

Quando pianifichi la tua PKI privata CA privata AWS, dovresti considerare come gestire le situazioni in cui non desideri più che gli endpoint considerino attendibile un certificato emesso, ad esempio quando la chiave privata di un endpoint è esposta. Gli approcci più comuni a questo problema consistono nell'utilizzare certificati di breve durata o nel configurare la revoca dei certificati. I certificati di breve durata scadono in un periodo di tempo così breve, in ore o giorni, che la revoca non ha senso, poiché il certificato diventa non valido all'incirca nello stesso tempo necessario per notificare un endpoint di revoca. Questa sezione descrive le opzioni di revoca per i CA privata AWS clienti, inclusa la configurazione e le migliori pratiche.

I clienti che cercano un metodo di revoca possono scegliere l'Online Certificate Status Protocol (OCSP), gli elenchi di revoca dei certificati (CRL) o entrambi.

Nota

Se crei la tua CA senza configurare la revoca, puoi sempre configurarla in un secondo momento. Per ulteriori informazioni, consulta Aggiornamento della CA privata.

  • Online Certificate Status Protocol (OCSP)

    CA privata AWS fornisce una soluzione OCSP completamente gestita per notificare agli endpoint che i certificati sono stati revocati senza che i clienti debbano gestire autonomamente l'infrastruttura. I clienti possono abilitare OCSP su CA nuove o esistenti con un'unica operazione utilizzando la CA privata AWS console, l'API, la CLI o tramite. AWS CloudFormation Mentre i CRL vengono archiviati ed elaborati sull'endpoint e possono diventare obsoleti, i requisiti di archiviazione ed elaborazione OCSP vengono gestiti in modo sincrono sul backend del risponditore.

    Quando abiliti OCSP per una CA, CA privata AWS include l'URL del risponditore OCSP nell'estensione Authority Information Access (AIA) di ogni nuovo certificato emesso. L'estensione consente a client come i browser Web di interrogare il risponditore e determinare se è attendibile un certificato CA subordinato o di entità finale. Il risponditore restituisce un messaggio di stato firmato crittograficamente per garantirne l'autenticità.

    Il risponditore CA privata AWS OCSP è conforme alla RFC 5019.

    Considerazioni OCSP

    • I messaggi di stato OCSP vengono firmati utilizzando lo stesso algoritmo di firma per cui è stata configurata la CA emittente. Le CA create nella CA privata AWS console utilizzano l'algoritmo di firma SHA256WITHRSA per impostazione predefinita. Altri algoritmi supportati sono disponibili nella documentazione dell'API. CertificateAuthorityConfiguration

    • I modelli di certificato APIPassThrough e CSRPassThrough non funzioneranno con l'estensione AIA se il risponditore OCSP è abilitato.

    • L'endpoint del servizio OCSP gestito è accessibile sulla rete Internet pubblica. I clienti che desiderano OCSP ma preferiscono non avere un endpoint pubblico dovranno gestire la propria infrastruttura OCSP.

  • Elenchi di revoca dei certificati (CRL)

    Un CRL contiene un elenco di certificati revocati. Quando si configura una CA per generare CRL, CA privata AWS include l'estensione CRL Distribution Points in ogni nuovo certificato emesso. Questa estensione fornisce l'URL per il CRL. L'estensione consente a client come i browser Web di interrogare il CRL e determinare se un certificato CA subordinato o di entità finale può essere considerato attendibile.

Poiché un client deve scaricare i CRL ed elaborarli localmente, il loro utilizzo richiede più memoria rispetto a OCSP. I CRL possono consumare meno larghezza di banda di rete perché l'elenco dei CRL viene scaricato e memorizzato nella cache, rispetto a OCSP che controlla lo stato di revoca per ogni nuovo tentativo di connessione.

Nota

Sia gli OCSP che i CRL presentano un certo ritardo tra la revoca e la disponibilità della modifica dello stato.

  • Le risposte OCSP possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza dei CRL che possono essere memorizzati nella cache dai client per giorni, le risposte OCSP in genere non vengono memorizzate nella cache dai client.

  • Generalmente un CRL viene aggiornato circa 30 minuti dopo che un certificato viene revocato. Se per qualsiasi motivo un aggiornamento del CRL fallisce, effettua ulteriori tentativi ogni 15 minuti. CA privata AWS

Requisiti generali per le configurazioni di revoca

I seguenti requisiti si applicano a tutte le configurazioni di revoca.

  • Una configurazione che disabilita i CRL o l'OCSP deve contenere solo il parametro Enabled=False e non riesce se vengono inclusi altri parametri, ad esempio CustomCname o ExpirationInDays.

  • In una configurazione CRL, il S3BucketName parametro deve essere conforme alle regole di denominazione dei bucket di Amazon Simple Storage Service.

  • Una configurazione contenente un parametro Canonical Name (CNAME) personalizzato per CRL o OCSP deve essere conforme alle restrizioni RFC7230 sull'uso di caratteri speciali in un CNAME.

  • In una configurazione CRL o OCSP, Il valore di un parametro CNAME non deve includere un prefisso di protocollo come “http://” o “https://”.

Argomenti