OCSP ステープリングのサーバー証明書設定 - AWS IoT Core
OCSP とはOCSP ステープリングの仕組みでのサーバー証明書 OCSP ステープリングの有効化 AWS IoT Coreでサーバー証明書 OCSP ステープリングを使用するための重要な注意事項 AWS IoT Coreでのサーバー証明書の OCSP ステープリングのトラブルシューティング AWS IoT Core

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OCSP ステープリングのサーバー証明書設定

AWS IoT Core は、サーバー証明書のオンライン証明書ステータスプロトコル (OCSP) ステープリングをサポートします。これは、サーバー証明書の OCSP ステープリングまたは OCSP ステープリングとも呼ばれます。これは、Transport Layer Security (TLS) ハンドシェイクでサーバー証明書の失効ステータスを確認するために使用されるセキュリティメカニズムです。の OCSP ステープリング AWS IoT Core を使用すると、カスタムドメインのサーバー証明書の有効性に検証レイヤーを追加できます。

でサーバー証明書の OCSP ステープリングを有効にする AWS IoT Core と、OCSP レスポンダーに定期的にクエリを実行して、証明書の有効性を確認できます。OCSP ステープリング設定は、カスタムドメインでドメイン設定を作成または更新するプロセスの一部です。OCSP ステープリングは、サーバー証明書の失効ステータスを継続的にチェックします。これにより、CA によって取り消された証明書が、カスタムドメインに接続するクライアントによって信頼されなくなります。詳細については、「でのサーバー証明書 OCSP ステープリングの有効化 AWS IoT Core」を参照してください。

サーバー証明書の OCSP ステープリングは、リアルタイムの失効ステータスチェックを提供し、失効ステータスのチェックに関連するレイテンシーを減らし、安全な接続のプライバシーと信頼性を向上させます。OCSP ステープリングを使用する利点の詳細については、「」を参照してくださいクライアント側の OCSP チェックと比較して OCSP ステープリングを使用する利点

注記

この機能は では使用できません AWS GovCloud (US) Regions。

OCSP とは

主要なコンセプト

以下の概念は、OCSP および関連する概念の詳細を提供します。

OCSP

OCSP は、Transport Layer Security (TLS) ハンドシェイク中に証明書の失効ステータスをチェックするために使用されます。OCSP では、証明書をリアルタイムで検証できます。これにより、証明書が発行された後に失効または期限切れになっていないことが確認されます。OCSP は、従来の証明書失効リスト (CRLs。OCSP レスポンスは小さく、効率的に生成できるため、大規模なプライベートキーインフラストラクチャ (PKIs) に適しています。

OCSP レスポンダー

OCSP レスポンダー (OCSP サーバーとも呼ばれます) は、証明書の失効ステータスを検証しようとするクライアントからの OCSP リクエストを受信して応答します。

クライアント側の OCSP

クライアント側の OCSP では、クライアントは OCSP を使用して OCSP レスポンダーに連絡し、Transport Layer Security (TLS) ハンドシェイク中に証明書の失効ステータスを確認します。

サーバー側の OCSP

サーバー側の OCSP (OCSP ステープリングとも呼ばれます) では、サーバーは (クライアントではなく) OCSP レスポンダーにリクエストを行うことができます。サーバーは証明書への OCSP レスポンスを改良し、TLS ハンドシェイク中にクライアントに返します。

OCSP 図

次の図は、クライアント側の OCSP とサーバー側の OCSP の仕組みを示しています。

クライアント側の OCSP とサーバー側の OCSP の図
クライアント側の OCSP

  1. クライアントは、サーバーとの TLS ハンドシェイクを開始するClientHelloメッセージを送信します。

  2. サーバーはメッセージを受信し、ServerHelloメッセージで応答します。また、サーバーはサーバー証明書をクライアントに送信します。

  3. クライアントはサーバー証明書を検証し、そこから OCSP URI を抽出します。

  4. クライアントは証明書失効チェックリクエストを OCSP レスポンダーに送信します。

  5. OCSP レスポンダーは OCSP レスポンスを送信します。

  6. クライアントは OCSP レスポンスから証明書のステータスを検証します。

  7. TLS ハンドシェイクが完了しました。

サーバー側の OCSP

  1. クライアントは、サーバーとの TLS ハンドシェイクを開始するClientHelloメッセージを送信します。

  2. サーバーはメッセージを受信し、キャッシュされた最新の OCSP レスポンスを取得します。キャッシュされたレスポンスが欠落しているか、期限切れの場合、サーバーは証明書のステータスについて OCSP レスポンダーを呼び出します。

  3. OCSP レスポンダーは OCSP レスポンスをサーバーに送信します。

  4. サーバーはServerHelloメッセージを送信します。また、サーバーはサーバー証明書と証明書のステータスをクライアントに送信します。

  5. クライアントは OCSP 証明書のステータスを検証します。

  6. TLS ハンドシェイクが完了しました。

OCSP ステープリングの仕組み

OCSP ステープリングは、クライアントとサーバー間の Transport Layer Security (TLS) ハンドシェイク中に、サーバー証明書の失効ステータスを確認するために使用されます。サーバーは OCSP レスポンダーに OCSP リクエストを行い、クライアントに返される証明書への OCSP レスポンスをリペアします。サーバーが OCSP レスポンダーにリクエストを行うことで、レスポンスをキャッシュし、多くのクライアントに複数回使用できます。

での OCSP ステープリングの仕組み AWS IoT Core

次の図は、サーバー側の OCSP ステープリングが でどのように機能するかを示しています AWS IoT Core。

この図は、 でのサーバー側の OCSP ステープリングの仕組みを示しています AWS IoT Core。

  1. デバイスは、OCSP ステープリングが有効になっているカスタムドメインに登録する必要があります。

  2. AWS IoT Core は OCSP レスポンダーを 1 時間ごとに呼び出して、証明書のステータスを取得します。

  3. OCSP レスポンダーはリクエストを受け取り、最新の OCSP レスポンスを送信し、キャッシュされた OCSP レスポンスを保存します。

  4. デバイスは、 との TLS ハンドシェイクを開始するClientHelloメッセージを送信します AWS IoT Core。

  5. AWS IoT Core は、サーバーキャッシュから最新の OCSP レスポンスを取得します。サーバーキャッシュは、証明書の OCSP レスポンスで応答します。

  6. サーバーはデバイスにServerHelloメッセージを送信します。また、サーバーはサーバー証明書と証明書のステータスをクライアントに送信します。

  7. デバイスは OCSP 証明書のステータスを検証します。

  8. TLS ハンドシェイクが完了しました。

クライアント側の OCSP チェックと比較して OCSP ステープリングを使用する利点

サーバー証明書の OCSP ステープリングを使用する利点を以下にまとめます。

プライバシーの向上

OCSP ステープリングを使用しないと、クライアントのデバイスがサードパーティーの OCSP レスポンダーに情報を公開し、ユーザーのプライバシーが損なわれる可能性があります。OCSP ステープリングは、サーバーが OCSP レスポンスを取得し、クライアントに直接配信することで、この問題を軽減します。

信頼性の向上

OCSP ステープリングは、OCSP サーバーの停止リスクを低減するため、安全な接続の信頼性を向上させることができます。OCSP レスポンスがソルベリングされると、サーバーは証明書に最新のレスポンスを含めます。これは、OCSP レスポンダーが一時的に使用できない場合でも、クライアントが失効ステータスにアクセスできるためです。OCSP ステープリングは、サーバーが定期的に OCSP レスポンスを取得し、TLS ハンドシェイクにキャッシュされたレスポンスを含めるため、OCSP レスポンダーのリアルタイムの可用性への依存を減らすため、これらの問題を軽減できます。

サーバーの負荷を軽減

OCSP ステープリングは、OCSP レスポンダーからサーバーへの OCSP リクエストに応答する負担を軽減します。これにより、負荷をより均等に分散できるため、証明書の検証プロセスがより効率的かつスケーラブルになります。

レイテンシーの短縮

OCSP ステープリングは、TLS ハンドシェイク中の証明書の失効ステータスの確認に関連するレイテンシーを短縮します。クライアントが OCSP サーバーに個別にクエリを実行する代わりに、サーバーはリクエストを送信し、ハンドシェイク中にサーバー証明書に OCSP レスポンスをアタッチします。

でのサーバー証明書 OCSP ステープリングの有効化 AWS IoT Core

でサーバー証明書の OCSP ステープリングを有効にするには AWS IoT Core、カスタムドメインのドメイン設定を作成するか、既存のカスタムドメイン設定を更新する必要があります。カスタムドメインでドメイン設定を作成する方法の一般的な情報については、「」を参照してくださいカスタムドメインの作成と設定

次の手順を使用して、 AWS Management Console または を使用して OCSP サーバーのステープリングを有効にします AWS CLI。

AWS IoT コンソールを使用してサーバー証明書の OCSP ステープリングを有効にするには:

  1. メニューの左側のナビゲーションから設定を選択し、カスタムドメインのドメイン設定または既存のドメイン設定の作成を選択します。

  2. 前のステップで新しいドメイン設定を作成する場合は、「ドメイン設定の作成」ページが表示されます。「ドメイン設定プロパティ」セクションで、「カスタムドメイン」を選択します。ドメイン設定を作成するための情報を入力します。

    カスタムドメインの既存のドメイン設定を更新する場合は、ドメイン設定の詳細ページが表示されます。[編集] を選択します。

  3. OCSP サーバーステープリングを有効にするには、サーバー証明書設定サブセクションのサーバー証明書 OCSP ステープリングを有効にするを選択します。

  4. 「ドメイン設定の作成」または「ドメイン設定の更新」を選択します

を使用してサーバー証明書の OCSP ステープリングを有効にするには AWS CLI:

  1. カスタムドメインの新しいドメイン設定を作成する場合、OCSP サーバーのステープリングを有効にするコマンドは次のようになります。

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

  2. カスタムドメインの既存のドメイン設定を更新する場合、OCSP サーバーのステープリングを有効にするコマンドは次のようになります。

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \
        --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \
        --server-certificate-config "enableOCSPCheck=true|false"

詳細については、 API リファレンスUpdateDomainConfigurationCreateDomainConfiguration「」および AWS IoT 「」を参照してください。

でサーバー証明書 OCSP ステープリングを使用するための重要な注意事項 AWS IoT Core

でサーバー証明書 OCSP を使用する場合は AWS IoT Core、次の点に注意してください。

  1. AWS IoT Core は、パブリック IPv4 アドレス経由で到達可能な OCSP レスポンダーのみをサポートします。

  2. の OCSP ステープリング機能は、承認されたレスポンダーをサポート AWS IoT Core していません。すべての OCSP レスポンスは、証明書に署名した CA によって署名される必要があり、CA はカスタムドメインの証明書チェーンの一部である必要があります。

  3. の OCSP ステープリング機能は、自己署名証明書を使用して作成されたカスタムドメインをサポート AWS IoT Core していません。

  4. AWS IoT Core は OCSP レスポンダーを 1 時間ごとに呼び出し、レスポンスをキャッシュします。応答者への呼び出しが失敗した場合、 AWS IoT Core は最新の有効な応答を再現します。

  5. nextUpdateTime が有効でなくなった場合、 AWS IoT Core はキャッシュからレスポンスを削除し、TLS ハンドシェイクは OCSP レスポンダーへの次の呼び出しが成功するまで OCSP レスポンスデータを含めません。これは、サーバーが OCSP レスポンダーから有効なレスポンスを取得する前に、キャッシュされたレスポンスの有効期限が切れた場合に発生する可能性があります。の値は、OCSP レスポンスがこの時点まで有効であることをnextUpdateTime示唆しています。nextUpdateTime の詳細については、「サーバー証明書の OCSP ログエントリ」を参照してください。

  6. は、OCSP レスポンスの受信に AWS IoT Core 失敗したり、期限切れになった既存の OCSP レスポンスを削除したりすることがあります。このような状況が発生した場合、 AWS IoT Core は OCSP レスポンスなしでカスタムドメインによって提供されたサーバー証明書を引き続き使用します。

  7. OCSP レスポンスのサイズは 4 KiB を超えることはできません。

でのサーバー証明書の OCSP ステープリングのトラブルシューティング AWS IoT Core

AWS IoT Core は、 RetrieveOCSPStapleData.Success メトリクスとRetrieveOCSPStapleDataログエントリを に出力します CloudWatch。メトリクスとログエントリは、OCSP レスポンスの取得に関連する問題を検出するのに役立ちます。詳細については、「サーバー証明書の OCSP ステープリングメトリクス」および「サーバー証明書の OCSP ログエントリ」を参照してください。