OCSP 装订的服务器证书配置 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

OCSP 装订的服务器证书配置

Amazon IoT Core 支持服务器证书的联机证书状态协议 (OCSP) 装订,也称为服务器证书 OCSP 装订或 OCSP 装订。它是一种安全机制,用于在传输层安全 (TLS) 握手中检查服务器证书的吊销状态。OCSP 装订 Amazon IoT Core 允许您为自定义域的服务器证书有效性添加额外的验证层。

您可以通过定期查询 OCSP 响应器 Amazon IoT Core 来启用服务器证书 OCSP 装订以检查证书的有效性。OCSP 装订设置是使用自定义域创建或更新域配置的过程的一部分。OCSP 装订会持续检查服务器证书上的吊销状态。这有助于验证已被 CA 吊销的所有证书是否不再受到连接到您的自定义域的客户端的信任。有关更多信息,请参阅 启用服务器证书 OCSP 装订 Amazon IoT Core

服务器证书 OCSP 装订提供实时吊销状态检查,减少与检查吊销状态相关的延迟,并提高安全连接的隐私性和可靠性。有关使用 OCSP 装订的好处的更多信息,请参阅。与客户端 OCSP 检查相比,使用 OCSP 装订的好处

注意

此功能不可用 Amazon GovCloud (US) Regions。

什么是 OCSP?

重要概念

以下概念提供了有关 OCSP 和相关概念的详细信息。

OCSP

OCSP 用于在传输层安全 (TLS) 握手期间检查证书吊销状态。OCSP 允许对证书进行实时验证。这可以确认证书自颁发以来没有被吊销或过期。与传统的证书吊销列表 (CRL) 相比,OCSP 的扩展性也更强。OCSP 响应较小,可以高效生成,因此更适合大型私钥基础架构 (PKI)。

OCSP 响应器

OCSP 响应器(也称为 OCSP 服务器)接收并响应来自寻求验证证书吊销状态的客户端的 OCSP 请求。

客户端 OCSP

在客户端 OCSP 中,在传输层安全 (TLS) 握手期间,客户端使用 OCSP 与 OCSP 响应者联系,以检查证书的吊销状态。

服务器端 OCSP

在服务器端 OCSP(也称为 OCSP 装订)中,允许服务器(而不是客户端)向 OCSP 响应者发出请求。服务器将 OCSP 响应绑定到证书,然后在 TLS 握手期间将其返回给客户端。

OCSP 图表

下图说明了客户端 OCSP 和服务器端 OCSP 的工作原理。

客户端 OCSP 和服务器端 OCSP 图表
客户端 OCSP
  1. 客户端发送一条ClientHello消息以启动与服务器的 TLS 握手。

  2. 服务器收到消息并以ServerHello消息进行响应。服务器还将服务器证书发送给客户端。

  3. 客户端验证服务器证书并从中提取 OCSP URI。

  4. 客户端向 OCSP 响应者发送证书吊销检查请求。

  5. OCSP 响应者发送 OCSP 响应。

  6. 客户端验证来自 OCSP 响应的证书状态。

  7. TLS 握手已完成。

服务器端 OCSP
  1. 客户端发送一条ClientHello消息以启动与服务器的 TLS 握手。

  2. 服务器收到消息并获取最新缓存的 OCSP 响应。如果缓存的响应丢失或已过期,服务器将调用 OCSP 响应器以获取证书状态。

  3. OCSP 响应器向服务器发送 OCSP 响应。

  4. 服务器发送ServerHello消息。服务器还将服务器证书和证书状态发送给客户端。

  5. 客户端验证 OCSP 证书状态。

  6. TLS 握手已完成。

OCSP 装订的工作原理

在客户端和服务器之间的传输层安全 (TLS) 握手期间,使用 OCSP 装订来检查服务器证书吊销状态。服务器向 OCSP 响应者发出 OCSP 请求,并将 OCSP 响应绑定到返回给客户端的证书。通过让服务器向 OCSP 响应者发出请求,可以缓存响应,然后多次用于许多客户端。

OCSP 装订的工作原理 Amazon IoT Core

下图显示了服务器端 OCSP 装订的工作原理。 Amazon IoT Core

此图显示了服务器端 OCSP 装订的工作原理。 Amazon IoT Core
  1. 设备需要在启用 OCSP 装订的自定义域中注册。

  2. Amazon IoT Core 每小时呼叫 OCSP 响应者以获取证书状态。

  3. OCSP 响应者接收请求,发送最新的 OCSP 响应,并存储缓存的 OCSP 响应。

  4. 设备发送一条ClientHello消息以启动 TLS 握手 Amazon IoT Core。

  5. Amazon IoT Core 从服务器缓存中获取最新的 OCSP 响应,服务器缓存以证书的 OCSP 响应进行响应。

  6. 服务器向设备发送ServerHello消息。服务器还将服务器证书和证书状态发送给客户端。

  7. 设备验证 OCSP 证书状态。

  8. TLS 握手已完成。

与客户端 OCSP 检查相比,使用 OCSP 装订的好处

使用服务器证书 OCSP 装订的一些优点总结如下:

改善了隐私

如果没有 OCSP 装订,客户端的设备可能会将信息暴露给第三方 OCSP 响应者,从而可能危及用户隐私。OCSP 装订通过让服务器获取 OCSP 响应并将其直接传送到客户端来缓解此问题。

提高了可靠性

OCSP 装订可以提高安全连接的可靠性,因为它可以降低 OCSP 服务器中断的风险。对 OCSP 响应进行装订时,服务器会将最新的响应与证书一起包括在内。这样,即使 OCSP 响应器暂时不可用,客户端也可以访问撤销状态。OCSP 装订有助于缓解这些问题,因为服务器会定期获取 OCSP 响应并将缓存的响应包含在 TLS 握手中,从而减少了对 OCSP 响应器实时可用性的依赖。

减少服务器负载

OCSP 装订将响应 OCSP 响应者的 OCSP 请求的负担转移到服务器。这有助于更均匀地分配负载,从而提高证书验证过程的效率和可扩展性。

减少延迟

OCSP 装订减少了 TLS 握手期间与检查证书吊销状态相关的延迟。客户端不必单独查询 OCSP 服务器,而是在握手期间发送请求并附上 OCSP 响应和服务器证书。

启用服务器证书 OCSP 装订 Amazon IoT Core

要启用服务器证书 OCSP 装订 Amazon IoT Core,必须为自定义域创建域配置或更新现有的自定义域配置。有关使用自定义域创建域配置的一般信息,请参阅创建和配置自定义域

按照以下说明使用或 Amazon Web Services Management Console 启用 OCSP 服务器装订。 Amazon CLI

要使用 Amazon IoT 控制台启用服务器证书 OCSP 装订,请执行以下操作:
  1. 从菜单的左侧导航栏中选择 “设置”,然后选择为自定义域名创建域配置或现有域配置。

  2. 如果您选择在上一步中创建新的域配置,您将看到创建域配置页面。在域配置属性部分中,选择自定义域。输入信息以创建域配置。

    如果您选择更新自定义域的现有域配置,您将看到域配置详细信息页面。选择编辑

  3. 要启用 OCSP 服务器装订,请在 “服务器证书配置” 小节中选择 “启用服务器证书 OCSP 装订”。

  4. 选择创建域配置更新域配置

要启用服务器证书 OCSP 装订,请使用以下命令: Amazon CLI
  1. 如果您为自定义域创建新的域配置,则启用 OCSP 服务器装订的命令可能如下所示:

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \ --server-certificate-config "enableOCSPCheck=true|false"
  2. 如果您更新自定义域的现有域配置,则启用 OCSP 服务器装订的命令可能如下所示:

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \ --server-certificate-config "enableOCSPCheck=true|false"

有关更多信息,请参阅 Amazon IoT API 参考UpdateDomainConfiguration中的CreateDomainConfiguration和。

在中使用服务器证书 OCSP 装订的重要注意事项 Amazon IoT Core

在中使用服务器证书 OCSP 时 Amazon IoT Core,请记住以下几点:

  1. Amazon IoT Core 仅支持那些可通过公有 IPv4 地址访问的 OCSP 响应器。

  2. 中的 OCSP 装订功能 Amazon IoT Core 不支持授权响应者。所有 OCSP 响应都必须由签署证书的 CA 签名,并且 CA 必须是自定义域证书链的一部分。

  3. 中的 OCSP 装订功能 Amazon IoT Core 不支持使用自签名证书创建的自定义域。

  4. Amazon IoT Core 每小时呼叫 OCSP 响应者并缓存响应。如果对应答者的呼叫失败, Amazon IoT Core 将装订最新的有效回复。

  5. 如果不再有效,nextUpdateTime则 Amazon IoT Core 将从缓存中删除响应,并且在下次成功调用 OCSP 响应器之前,TLS 握手将不包含 OCSP 响应数据。当缓存的响应在服务器从 OCSP 响应器获得有效响应之前已过期时,就会发生这种情况。的值nextUpdateTime表明 OCSP 响应在此之前将一直有效。有关 nextUpdateTime 的更多信息,请参阅服务器证书 OCSP 日志条目

  6. 有时, Amazon IoT Core 无法收到 OCSP 响应或删除现有的 OCSP 响应,因为该响应已过期。如果发生此类情况, Amazon IoT Core 将继续使用自定义域提供的服务器证书,而不会获得 OCSP 响应。

  7. OCSP 响应的大小不能超过 4 KiB。

对服务器证书 OCSP 装订进行故障排除 Amazon IoT Core

Amazon IoT Core 将RetrieveOCSPStapleData.Success指标和RetrieveOCSPStapleData日志条目发送到。 CloudWatch指标和日志条目可以帮助检测与检索 OCSP 响应有关的问题。有关更多信息,请参阅 服务器证书 OCSP 装订指标服务器证书 OCSP 日志条目