AWS Private CA OCSP용 사용자 지정 URL 구성

참고

이 항목은 OCSP Responder 엔드포인트의 퍼블릭 URL을 브랜딩 또는 기타 목적으로 사용자 지정하려는 고객을 위한 것입니다. AWS Private CA 관리형 OCSP의 기본 구성을 사용하려는 경우 이 항목을 건너뛰고 해지 구성의 구성 지침을 따를 수 있습니다.

기본적으로 OCSP를 사용하도록 설정하면 발급하는 각 인증서에는 OCSP 응답자의 URL이 포함됩니다. AWS Private CA AWS 이렇게 하면 암호로 안전한 연결을 요청하는 클라이언트가 OCSP 유효성 검사 쿼리를 AWS에 직접 보낼 수 있습니다. 하지만 경우에 따라서는 AWS에 대한 OCSP 쿼리를 제출하면서 인증서에 다른 URL을 지정하는 것이 더 나을 수도 있습니다.

참고

OCSP의 대안 또는 보완책으로 CRL (인증서 취소 목록) 을 사용하는 방법에 대한 자세한 내용은 해지 구성 및 인증서 취소 목록(CRL) 계획을 참조하세요.

OCSP의 사용자 지정 URL 구성에는 세 가지 요소가 포함됩니다.

• CA 구성 - CA(CLI) 생성 절차 의 예제 2: OCSP와 사용자 지정 CNAME이 활성화된 CA 생성에 설명된 대로 CA에 대한 RevocationConfiguration의 사용자 지정 OCSP URL을 지정합니다.

• DNS - 도메인 구성에 CNAME 레코드를 추가하여 인증서에 나타나는 URL을 프록시 서버 URL에 매핑합니다. 자세한 설명은 CA(CLI) 생성 절차 에서 예제 2: OCSP와 사용자 지정 CNAME이 활성화된 CA 생성 섹션을 참조하십시오.

• 전달 프록시 서버 - 수신한 OCSP 트래픽을 AWS OCSP 응답자에게 투명하게 전달할 수 있는 프록시 서버를 설정합니다.

다음 다이어그램은 이러한 요소가 함께 작동하는 방식을 보여줍니다.

다이어그램에 표시된 대로 사용자 지정된 OCSP 검증 프로세스에는 다음 단계가 포함됩니다.

1. 클라이언트는 대상 도메인의 DNS를 쿼리합니다.

2. 클라이언트는 대상 IP를 수신합니다.

3. 클라이언트는 타겟과 TCP 연결을 엽니다.

4. 클라이언트는 대상 TLS 인증서를 받습니다.

5. 클라이언트는 인증서에 나열된 OCSP 도메인에 대해 DNS를 쿼리합니다.

6. 클라이언트는 프록시 IP를 받습니다.

7. 클라이언트가 OCSP 쿼리를 프록시로 보냅니다.

8. 프록시는 OCSP 응답자에게 쿼리를 전달합니다.

9. 응답자는 인증서 상태를 프록시에 반환합니다.

10. 프록시는 인증서 상태를 클라이언트에 전달합니다.

11. 인증서가 유효하면 클라이언트가 TLS 핸드셰이크를 시작합니다.

작은 정보

이 예는 위에서 설명한 대로 CA를 구성한 후 Amazon CloudFront 및 Amazon Route 53을 사용하여 구현할 수 있습니다.

1. 에서 CloudFront 배포를 생성하고 다음과 같이 구성합니다.

   • 사용자 지정 CNAME과 일치하는 대체 이름을 생성합니다.

   • 인증서를 여기에 바인딩합니다.

   • oocsp.acm-pca.<region>.amazonaws.com을 원본으로 설정합니다.

   • Managed-CachingDisabled 정책을 배포합니다.

   • 뷰어 프로토콜 정책을 HTTP 및 HTTPS로 설정합니다.

   • 허용된 HTTP 방법을 GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE로 설정합니다.

2. Route 53에서 사용자 지정 CNAME을 CloudFront 배포의 URL에 매핑하는 DNS 레코드를 생성합니다.