Configurar um método de revogação de certificado - AWS Private Certificate Authority
Requisitos gerais para configurações de revogação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um método de revogação de certificado

Ao planejar sua PKI privada com CA privada da AWS, você deve considerar como lidar com situações em que não deseja mais que os endpoints confiem em um certificado emitido, como quando a chave privada de um endpoint é exposta. As abordagens comuns a esse problema são usar certificados de curta duração ou configurar a revogação de certificados. Certificados de curta duração expiram em um período tão curto, em horas ou dias, que a revogação não faz sentido, com o certificado tornando-se inválido aproximadamente no mesmo tempo necessário para notificar um endpoint sobre a revogação. Esta seção descreve as opções de revogação para cliente do CA privada da AWS , incluindo configuração e práticas recomendadas.

Clientes à procura de um método de revogação podem escolher o Online Certificate Status Protocol (OCSP), listas de revogação de certificados (CRLs) ou ambos.

nota

Se você criar uma CA sem configurar a revogação, sempre poderá configurá-la mais tarde. Para ter mais informações, consulte Atualizar a CA privada.

  • Online Certificate Status Protocol (OCSP)

    CA privada da AWS fornece uma solução OCSP totalmente gerenciada para notificar os endpoints de que os certificados foram revogados sem a necessidade de os próprios clientes operarem a infraestrutura. Os clientes podem habilitar o OCSP em CAs novas ou existentes com uma única operação usando o CA privada da AWS console, a API, a CLI ou por meio de. AWS CloudFormation Embora CRLs sejam armazenadas e processadas no endpoint e possam se tornar obsoletas, os requisitos de armazenamento e processamento do OCSP são tratados de forma síncrona no back-end do agente de resposta.

    Quando você habilita o OCSP para uma CA, CA privada da AWS inclui a URL do respondente OCSP na extensão de Acesso às Informações da Autoridade (AIA) de cada novo certificado emitido. A extensão permite que clientes, como navegadores da Web, consultem o agente de resposta e determinem se uma entidade final ou um certificado de CA subordinada pode ser confiável. O agente de reposta retorna uma mensagem de status assinada criptograficamente para garantir sua autenticidade.

    O respondente CA privada da AWS OCSP é compatível com o RFC 5019.

    Considerações sobre OCSP

    • As mensagens de status do OCSP são assinadas usando o mesmo algoritmo de assinatura que a CA emissora foi configurada para usar. As CAs criadas no console do CA privada da AWS usam o algoritmo de assinatura SHA256WITHRSA por padrão. Outros algoritmos compatíveis podem ser encontrados na documentação CertificateAuthorityConfigurationda API.

    • Os modelos de certificado APIPassthrough e CSRPassthrough não funcionarão com a extensão AIA se o respondente OCSP estiver habilitado.

    • O endpoint do serviço OCSP gerenciado pode ser acessado na Internet pública. Os clientes que desejarem o OCSP, mas preferem não ter um endpoint público, precisarão operar sua própria infraestrutura OCSP.

  • Listas de revogação de certificados (CRLs)

    Uma CRL contém uma lista de certificados revogados. Quando você configura uma CA para gerar CRLs, CA privada da AWS inclui a extensão CRL Distribution Points em cada novo certificado emitido. Essa extensão fornece o URL da CRL. A extensão permite que clientes, como navegadores da Web, consultem a CRL e determinem se uma entidade final ou um certificado de CA subordinada pode ser confiável.

Como um cliente precisa baixar CRLs e processá-las localmente, seu uso consome mais memória em comparação ao OCSP. CRLs podem consumir menos largura de banda da rede, pois a lista de CRLs é baixada e armazenada em cache, em comparação com o OCSP, que verifica o status de revogação para cada nova tentativa de conexão.

nota

Tanto o OCSP quanto as CRLs apresentam algum atraso entre a revogação e a disponibilidade da mudança de status.

  • As respostas do OCSP podem levar até 60 minutos para refletir o novo status quando um certificado é revogado. Em geral, o OCSP tende a oferecer suporte à distribuição mais rápida de informações de revogação pois, ao contrário das CRLs, que podem ser armazenadas em cache pelos clientes por vários dias, as respostas do OCSP normalmente não são armazenadas em cache pelos clientes.

  • Uma CRL normalmente é atualizada aproximadamente 30 minutos depois que um certificado é revogado. Se por algum motivo uma atualização da CRL falhar, CA privada da AWS faça novas tentativas a cada 15 minutos.

Requisitos gerais para configurações de revogação

Os seguintes requisitos se aplicam a todas as configurações de revogação.

  • Uma configuração que desabilita CRLs ou OCSP deve conter somente o parâmetro Enabled=False e falhará se outros parâmetros, comoCustomCname ou ExpirationInDays, forem incluídos.

  • Em uma configuração de CRL, o parâmetro S3BucketName deve estar em conformidade com as regras de nomenclatura de bucket do Amazon Simple Storage Service.

  • Uma configuração contendo um parâmetro de nome canônico (CNAME) personalizado para CRLs ou OCSP deve estar em conformidade com as restrições RFC7230 sobre o uso de caracteres especiais em um CNAME.

  • Em uma configuração de CRL ou OCSP, o valor de um parâmetro CNAME não deve incluir um prefixo de protocolo como "http://" ou "https://".

Tópicos