本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定憑證撤銷方法
當您規劃私有 PKI 時 AWS 私有 CA,您應該考慮如何處理您不再希望端點信任已發行憑證的情況,例如端點的私密金鑰暴露時。這個問題的常見方法是使用短期憑證或設定憑證撤銷。短期憑證會在這麼短的時間內過期 (以小時或數天為單位),撤銷是沒有意義的,因為憑證在通知終端節點撤銷所花費的時間大約相同的時間內失效。本節說明 AWS 私有 CA 客戶的撤銷選項,包括組態和最佳做法。
尋找撤銷方法的客戶可以選擇「線上憑證狀態通訊協定」(OCSP)、憑證撤銷清單 (CRL),或兩者皆選。
注意
如果您在未設定撤銷的情況下建立 CA,您隨時可以稍後進行設定。如需詳細資訊,請參閱 更新您的私有 CA。
-
線上憑證狀態通訊協定 (OCSP)
AWS 私有 CA 提供完全受控的 OCSP 解決方案,可通知端點憑證已撤銷,而不需要客戶自行操作基礎結構。客戶可以使用 AWS 私有 CA 主控台、API、CLI 或透 AWS CloudFormation過單一作業,在新的或現有的 CA 上啟用 OCSP。CRL 會在端點上儲存和處理,而且可能會過時,OCSP 儲存和處理需求會在回應程式後端同步處理。
當您針對 CA 啟用 OCSP 時,會在每個發行的新憑證的授權單位資訊存取 (AIA) 延伸中 AWS 私有 CA 包含 OCSP 回應者的 URL。此擴充功能可讓用戶端 (例如網頁瀏覽器) 查詢回應者,並判斷最終實體或下屬 CA 憑證是否可信任。回應者會傳回已加密簽署的狀態訊息,以確保其真實性。
AWS 私有 CA OCSP 回應程式符合 R
FC 5019 規範。 OCSP 考量
-
OCSP 狀態訊息會使用與發行 CA 設定使用的相同簽署演算法來簽署。根據預設,在 AWS 私有 CA 主控台中建立的 CA 會使用 SHA256WITHRSA 簽章演算法。其他支援的演算法可以在 CertificateAuthorityConfigurationAPI 文件中找到。
-
如果已啟用 O@@ CSP 回應程式,APIPPASS 和企業社會責任傳遞憑證範本將無法與 AIA 擴充套件搭配使用。
-
受管理 OCSP 服務的端點可在公用網際網路上存取。想要 OCSP 但不想擁有公用端點的客戶將需要操作自己的 OCSP 基礎結構。
-
-
憑證撤銷清單 (CRL)
CRL 包含已撤銷的憑證清單。當您設定 CA 以產生 CRL 時,請在每個發行的新憑證中 AWS 私有 CA 包含 CRL 發佈點延伸模組。此擴充功能會提供 CRL 的 URL。此擴充功能可讓用戶端 (例如網頁瀏覽器) 查詢 CRL,並判斷最終實體或附屬 CA 憑證是否可信任。
因為用戶端必須下載 CRL 並在本機處理它們,因此它們的使用比 OCSP 更耗用記憶體。CRL 可能會消耗較少的網路頻寬,因為 CRL 清單已下載並快取,而 OCSP 會檢查每次新連線嘗試的撤銷狀態。
注意
OCSP 和 CRL 都會在撤銷和狀態變更的可用性之間出現一些延遲。
-
當您撤銷憑證時,OCSP 回應最多可能需要 60 分鐘才能反映新狀態。一般而言,OCSP 傾向於支援更快速的撤銷資訊散發,因為與用戶端可快取數天的 CRL 不同,OCSP 回應通常不會由用戶端快取。
-
CRL 通常在憑證撤銷後約 30 分鐘更新。如果 CRL 更新因任何原因失敗,則每 15 分鐘 AWS 私有 CA 會進一步嘗試一次。
撤銷組態的一般需求
下列需求適用於所有撤銷組態。
-
停用 CRL 或 OCSP 的組態必須只包含
Enabled=False參數,如果包含其他參數 (例如CustomCname或ExpirationInDays),則會失敗。 -
在 CRL 組態中,
S3BucketName參數必須符合 Amazon 簡單儲存服務儲存貯體命名規則。 -
包含 CRL 或 OCSP 之自訂標準名稱 (CNAME) 參數的模型組態必須符合 RFC7230
限制,在 CNAME 中使用特殊字元。 -
在 CRL 或 OCSP 組態中,CNAME 參數的值不得包含通訊協定字首,例如 "http://" 或 "https://"。
