为 Amazon 私有 CA OCSP 配置自定义 URL - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon 私有 CA OCSP 配置自定义 URL

注意

本主题适用于想要自定义 OCSP 响应程序端点的公共 URL 以用于品牌推广或其他目的的客户。如果您计划使用 Amazon 私有 CA 托管 OCSP 的默认配置,则可以跳过本主题并按照配置吊销中的配置说明进行操作。

默认情况下,当您为启用 OCSP 时 Amazon 私有 CA,您颁发的每个证书都包含 Amazon OCSP 响应者的 URL。这允许请求加密安全连接的客户端直接向 Amazon发送 OCSP 验证查询。但是,在某些情况下,最好在证书中注明不同的 URL,同时最终仍向 Amazon提交 OCSP 查询。

注意

有关使用证书吊销列表(CRL)作为 OCSP 备选或补充的信息,请参阅配置吊销规划证书吊销列表(CRL)

为 OCSP 配置自定义 URL 涉及三个元素。

下图说明了这些元素协同工作的方式。

自定义 OCSP 拓扑

如图所示,自定义 OCSP 验证过程包括以下步骤:

  1. 客户端查询目标域的 DNS。

  2. 客户端收到目标 IP。

  3. 客户端打开与目标的 TCP 连接。

  4. 客户端收到目标 TLS 证书。

  5. 客户端查询 DNS 以获得证书中列出的 OCSP 域。

  6. 客户端收到代理 IP。

  7. 客户端向代理发送 OCSP 查询。

  8. 代理将查询转发到 OCSP 响应程序。

  9. 响应程序将证书状态返回给代理。

  10. 代理将证书状态转发到客户端。

  11. 如果证书有效,则客户端将开始 TLS 握手。

提示

在按照上述方式配置 CA 之后,可以使用 Amazon CloudFront 和 Amazon Route 53 实现此示例。

  1. 在中 CloudFront,创建发行版并按如下方式对其进行配置:

    • 创建与您的自定义 CNAME 相匹配的备用名称。

    • 将您的证书与其绑定。

    • 将 ocsp.acm-pca.<region>.amazonaws.com 设置为源。

    • 应用 Managed-CachingDisabled 策略。

    • 查看器协议策略更改为 HTTP 和 HTTPS

    • 允许的 HTTP 方法设置为 GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE

  2. 在 Route 53 中,创建一个 DNS 记录,将您的自定义 CNAME 映射到 CloudFront 分配的网址。