为配置自定义 URL AWS 私有 CA OCSP

注意

本主题适用于想要为品牌或其他目的自定义OCSP响应者端点URL的公开信息的客户。如果您计划使用 AWS 私有 CA 托管的默认配置OCSP，则可以跳过本主题并按照配置吊销中的配置说明进行操作。

默认情况下，当您OCSP为启用时 AWS 私有 CA，您颁发的每个证书都包含 AWS OCSP响应URL者的证书。这允许请求加密安全连接的客户端直接向 AWS发送OCSP验证查询。但是，在某些情况下，最好在证书URL中注明不同的内容，同时最终仍向提交OCSP查询 AWS。

注意

有关使用证书吊销列表 (CRL) 作为替代或补充的信息OCSP，请参阅配置吊销和规划证书吊销列表 ()。CRL

为配置自定义URL涉及三个要素OCSP。

• CA 配置 — OCSP URL 在中RevocationConfiguration为您的 CA 指定自定义配置，如示例 2：创建启用OCSP并CNAME启用自定义的 CA中所述创建 CA 的程序 (CLI) 。

• DNS— 向您的域配置中添加一条CNAME记录，以将证书中URL显示的记录映射到代理服务器URL。有关更多信息，请参阅创建 CA 的程序 (CLI) 中的示例 2：创建启用OCSP并CNAME启用自定义的 CA。

• 转发代理服务器-设置代理服务器，使其能够透明地将收到的OCSP流量转发给 AWS OCSP响应者。

下图说明了这些元素协同工作的方式。

如图所示，自定义OCSP验证过程包括以下步骤：

1. 客户端DNS对目标域的查询。

2. 客户端收到目标 IP。

3. 客户端打开与目标的TCP连接。

4. 客户收到目标TLS证书。

5. 客户端查询DNS证书中列出的OCSP域。

6. 客户端收到代理 IP。

7. 客户端向代理发送OCSP查询。

8. 代理将查询转发给OCSP响应者。

9. 响应程序将证书状态返回给代理。

10. 代理将证书状态转发到客户端。

11. 如果证书有效，则客户端开始TLS握手。

提示

在按照上述方式配置 CA 之后，可以使用 Amazon CloudFront 和 Amazon Route 53 实现此示例。

1. 在中 CloudFront，创建发行版并按如下方式对其进行配置：

   • 创建与您的自定义名称相匹配的备用名称CNAME。

   • 将您的证书与其绑定。

   • 设置 ocsp.acm-pca。<region>.amazonaws.com 作为起源。

   • 应用 Managed-CachingDisabled 策略。

   • 将查看器协议策略设置为HTTP和HTTPS。

   • 将 “允许HTTP的方法” 设置为GETHEAD、OPTIONS、PUT、POST、、PATCH、DELETE。

2. 在 Route 53 中，创建一条将您的自定义映射CNAME到 CloudFront 分布URL的DNS记录。