本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为之OCSPURL定制 Amazon Private CA
注意
本主题适用于想要为品牌或其他目的自定义在线证书状态协议 (OCSP) 响应者端点的公开URL信息的客户。如果您计划使用 Amazon 私有 CA 托管的默认配置OCSP,则可以跳过本主题并按照配置吊销中的配置说明进行操作。
默认情况下,当您OCSP为启用时 Amazon 私有 CA,您颁发的每个证书都包含 Amazon OCSP响应URL者的证书。这允许请求加密安全连接的客户端直接向 Amazon发送OCSP验证查询。但是,在某些情况下,最好在证书URL中注明不同的内容,同时最终仍向提交OCSP查询 Amazon。
注意
有关使用证书吊销列表 (CRL) 作为替代或补充的信息OCSP,请参阅配置吊销和规划证书吊销列表 ()。CRL
为配置自定义URL涉及三个元素OCSP。
-
CA 配置 — OCSP URL 在中
RevocationConfiguration
为您的 CA 指定自定义配置,如示例 2:创建启用OCSP并CNAME启用自定义的 CA中所述在中创建私有 CA Amazon Private CA。 -
DNS— 向您的域配置中添加一条CNAME记录,以将证书中URL显示的记录映射到代理服务器URL。有关更多信息,请参阅在中创建私有 CA Amazon Private CA中的示例 2:创建启用OCSP并CNAME启用自定义的 CA。
-
转发代理服务器-设置代理服务器,使其能够透明地将收到的OCSP流量转发给 Amazon OCSP响应者。
下图说明了这些元素协同工作的方式。
如图所示,自定义OCSP验证过程包括以下步骤:
-
客户端DNS对目标域的查询。
-
客户端收到目标 IP。
-
客户端打开与目标的TCP连接。
-
客户收到目标TLS证书。
-
客户端查询DNS证书中列出的OCSP域。
-
客户端收到代理 IP。
-
客户端向代理发送OCSP查询。
-
代理将查询转发给OCSP响应者。
-
响应程序将证书状态返回给代理。
-
代理将证书状态转发到客户端。
-
如果证书有效,则客户端开始TLS握手。
提示
在按照上述方式配置 CA 之后,可以使用 Amazon CloudFront 和 Amazon Route 53 实现此示例。
-
在中 CloudFront,创建发行版并按如下方式对其进行配置:
-
创建与您的自定义名称相匹配的备用名称CNAME。
-
将您的证书与其绑定。
-
设置 ocsp.acm-pca。
<region>
.amazonaws.com 作为起源。 -
应用
Managed-CachingDisabled
策略。 -
将查看器协议策略设置为HTTP和HTTPS。
-
将 “允许HTTP的方法” 设置为GETHEAD、OPTIONS、PUT、POST、、PATCH、DELETE。
-
-
在 Route 53 中,创建一条将您的自定义映射CNAME到 CloudFront 分布URL的DNS记录。