本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AWS 私有 CA OCSP 的自訂網址
注意
本主題適用於想要為品牌或其他目的自訂 OCSP 回應程式端點公開 URL 的客戶。如果您打算使用 AWS 私有 CA Managed OCSP 的預設組態,您可以略過此主題,並遵循設定撤銷中的組態指示進行。
根據預設,當您啟用 OCSP 時 AWS 私有 CA,您發出的每個憑證都會包含 AWS OCSP 回應程式的 URL。這可讓要求密碼編譯安全連線的用戶端將 OCSP 驗證查詢直接傳送至。 AWS不過,在某些情況下,最好在您的憑證中陳述不同的 URL,同時還是最終將 OCSP 查詢提交給。 AWS
注意
如需使用憑證撤銷清單 (CRL) 作為 OCSP 替代方案或補充的相關資訊,請參閱設定撤銷和規劃憑證撤銷清單 (CRL)。
設定 OCSP 的自訂 URL 涉及三個元素。
-
CA 組態 — 在中為您的 CA 指定自訂 OCSP URL,如範例 2:在啟用 OCSP 的情況下建立 CA 並啟用自訂 CNAME中建立一個 CA (CLI) 的程序 所述。
RevocationConfiguration
-
DNS — 將 CNAME 記錄新增至您的網域組態,以將憑證中顯示的 URL 對應至代理伺服器 URL。如需詳細資訊,請參閱 建立一個 CA (CLI) 的程序 中的 範例 2:在啟用 OCSP 的情況下建立 CA 並啟用自訂 CNAME。
-
轉寄代理伺服器 — 設定 Proxy 伺服器,以透明方式將接收的 OCSP 流量轉送給 AWS OCSP 回應程式。
下圖說明這些元素如何協同運作。
![自訂 OCSP 拓撲](images/ocsp.png)
如圖所示,自訂 OCSP 驗證程序包含下列步驟:
-
用戶端會查詢目標網域的 DNS。
-
用戶端接收目標 IP。
-
客戶端打開與目標的 TCP 連接。
-
用戶端會收到目標 TLS 憑證。
-
用戶端會針對憑證中列出的 OCSP 網域查詢 DNS。
-
用戶端接收代理 IP。
-
用戶端傳送 OCSP 查詢到代理伺服器。
-
代理伺服器會將查詢轉寄給 OCSP 回應程式。
-
回應者會將憑證狀態傳回給 Proxy。
-
Proxy 會將憑證狀態轉送至用戶端。
-
如果憑證有效,用戶端會開始 TLS 交握。
提示
如上所述,您可以在設定 CA 之後,使用 Amazon CloudFront 和 Amazon 路線 53 來實作此範例。
-
在中 CloudFront,建立發行版並設定它,如下所示:
-
建立符合您自訂 CNAME 的替代名稱。
-
將您的憑證繫結至該憑證。
-
設置八爪. ACM-PCA.
<region>. 亞馬遜網站作為起源。
-
套用
Managed-CachingDisabled
原則。 -
將檢視器通訊協定原則設定為 HTTP 和 HTTPS。
-
將允許的 HTTP 方法設置為獲取,頭,選項,放置,發布,補丁,刪除。
-
-
在路由 53 中,建立一個 DNS 記錄,將您的自訂 CNAME 對應至 CloudFront 發佈的 URL。