設定 AWS 私有 CA OCSP 的自訂網址

注意

本主題適用於想要為品牌或其他目的自訂 OCSP 回應程式端點公開 URL 的客戶。如果您打算使用 AWS 私有 CA Managed OCSP 的預設組態，您可以略過此主題，並遵循設定撤銷中的組態指示進行。

根據預設，當您啟用 OCSP 時 AWS 私有 CA，您發出的每個憑證都會包含 AWS OCSP 回應程式的 URL。這可讓要求密碼編譯安全連線的用戶端將 OCSP 驗證查詢直接傳送至。 AWS不過，在某些情況下，最好在您的憑證中陳述不同的 URL，同時還是最終將 OCSP 查詢提交給。 AWS

注意

如需使用憑證撤銷清單 (CRL) 作為 OCSP 替代方案或補充的相關資訊，請參閱設定撤銷和規劃憑證撤銷清單 (CRL)。

設定 OCSP 的自訂 URL 涉及三個元素。

• CA 組態 — 在中為您的 CA 指定自訂 OCSP URL，如範例 2：在啟用 OCSP 的情況下建立 CA 並啟用自訂 CNAME中建立一個 CA (CLI) 的程序 所述。RevocationConfiguration

• DNS — 將 CNAME 記錄新增至您的網域組態，以將憑證中顯示的 URL 對應至代理伺服器 URL。如需詳細資訊，請參閱 建立一個 CA (CLI) 的程序 中的 範例 2：在啟用 OCSP 的情況下建立 CA 並啟用自訂 CNAME。

• 轉寄代理伺服器 — 設定 Proxy 伺服器，以透明方式將接收的 OCSP 流量轉送給 AWS OCSP 回應程式。

下圖說明這些元素如何協同運作。

如圖所示，自訂 OCSP 驗證程序包含下列步驟：

1. 用戶端會查詢目標網域的 DNS。

2. 用戶端接收目標 IP。

3. 客戶端打開與目標的 TCP 連接。

4. 用戶端會收到目標 TLS 憑證。

5. 用戶端會針對憑證中列出的 OCSP 網域查詢 DNS。

6. 用戶端接收代理 IP。

7. 用戶端傳送 OCSP 查詢到代理伺服器。

8. 代理伺服器會將查詢轉寄給 OCSP 回應程式。

9. 回應者會將憑證狀態傳回給 Proxy。

10. Proxy 會將憑證狀態轉送至用戶端。

11. 如果憑證有效，用戶端會開始 TLS 交握。

提示

如上所述，您可以在設定 CA 之後，使用 Amazon CloudFront 和 Amazon 路線 53 來實作此範例。

1. 在中 CloudFront，建立發行版並設定它，如下所示：

   • 建立符合您自訂 CNAME 的替代名稱。

   • 將您的憑證繫結至該憑證。

   • 設置八爪. ACM-PCA. <region>. 亞馬遜網站作為起源。

   • 套用Managed-CachingDisabled原則。

   • 將檢視器通訊協定原則設定為 HTTP 和 HTTPS。

   • 將允許的 HTTP 方法設置為獲取，頭，選項，放置，發布，補丁，刪除。

2. 在路由 53 中，建立一個 DNS 記錄，將您的自訂 CNAME 對應至 CloudFront 發佈的 URL。