AWS Private CA OCSP 用のカスタム URL の設定

注記

このトピックは、OCSP レスポンダーエンドポイントのパブリック URL をブランディングやその他の目的でカスタマイズしたいお客様を対象としています。 AWS Private CA マネージド OCSP のデフォルト設定を使用する予定がある場合は、このトピックを飛ばして、「失効の設定」の設定手順に従ってください。

デフォルトでは、OCSP を有効にすると AWS Private CA、発行する各証明書に OCSP レスポンダーの URL が含まれます。 AWS これにより、暗号的に安全な接続を要求するクライアントは、OCSP 検証クエリを AWSに直接送信できます。ただし、最終的には OCSP クエリを AWSに送信するものの、証明書に別の URL を記載したほうがよい場合もあります。

注記

OCSP の代替または補足として証明書失効リスト (CRL) を使用する方法については、「失効の設定」および「証明書失効リスト (CRL) の計画」を参照してください。

OCSP のカスタム URL の設定には 3 つの要素が含まれます。

• CA 設定 — CA を作成するための手順 (CLI) の 例 2: OCSP とカスタム CNAME が有効な CA を作成する で説明されているように、RevocationConfiguration のカスタム OCSP URL をユーザーの CA に指定します。

• DNS — CNAME レコードをドメイン設定に追加して、証明書に記載されている URL をプロキシサーバーの URL にマッピングします。詳細については、「CA を作成するための手順 (CLI) 」の 例 2: OCSP とカスタム CNAME が有効な CA を作成する を参照してください。

• 転送プロキシサーバー — 受信した OCSP トラフィックを AWS OCSP レスポンダーに透過的に転送できるプロキシサーバーを設定します。

次の図は、これらの要素がどのように連携するかを示しています。

図に示すように、カスタマイズされた OCSP 検証プロセスには次の手順が含まれます。

1. クライアントはターゲットドメインの DNS にクエリを実行します。

2. クライアントはターゲット IP を受信します。

3. クライアントはターゲットとの TCP 接続を開きます。

4. クライアントはターゲット TLS 証明書を受け取ります。

5. クライアントは、証明書に記載されている OCSP ドメインの DNS にクエリを実行します。

6. クライアントはプロキシ IP を受信します。

7. クライアントは OCSP クエリをプロキシに送信します。

8. プロキシは OCSP レスポンダにクエリを転送します。

9. レスポンダーは証明書の状態をプロキシに返します。

10. プロキシは証明書の状態をクライアントに転送します。

11. 証明書が有効な場合、クライアントは TLS ハンドシェイクを開始します。

ヒント

この例は、前述のように CA を設定した後に Amazon CloudFront と Amazon Route 53 を使用して実装できます。

1. で CloudFront、ディストリビューションを作成し、次のように設定します。

   • カスタム CNAME と一致する代替名を作成します。

   • 証明書をそれにバインドします。

   • ocsp.acm-pca.<region>.amazonaws.com をオリジンとします。

   • Managed-CachingDisabled ポリシーを適用します。

   • [ビューワーのプロトコルポリシー] を [HTTP および HTTPS] に設定します。

   • [許可される HTTP メソッド] を [GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE] に設定します。

2. Route 53 で、カスタム CNAME CloudFront をディストリビューションの URL にマッピングする DNS レコードを作成します。