为之OCSPURL定制 Amazon Private CA - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为之OCSPURL定制 Amazon Private CA

注意

本主题适用于想要为品牌或其他目的自定义在线证书状态协议 (OCSP) 响应者端点的公开URL信息的客户。如果您计划使用 Amazon 私有 CA 托管的默认配置OCSP,则可以跳过本主题并按照配置吊销中的配置说明进行操作。

默认情况下,当您OCSP为启用时 Amazon 私有 CA,您颁发的每个证书都包含 Amazon OCSP响应URL者的证书。这允许请求加密安全连接的客户端直接向 Amazon发送OCSP验证查询。但是,在某些情况下,最好在证书URL中注明不同的内容,同时最终仍向提交OCSP查询 Amazon。

注意

有关使用证书吊销列表 (CRL) 作为替代或补充的信息OCSP,请参阅配置吊销和规划证书吊销列表 ()。CRL

为配置自定义URL涉及三个元素OCSP。

下图说明了这些元素协同工作的方式。

自定义OCSP拓扑

如图所示,自定义OCSP验证过程包括以下步骤:

  1. 客户端DNS对目标域的查询。

  2. 客户端收到目标 IP。

  3. 客户端打开与目标的TCP连接。

  4. 客户收到目标TLS证书。

  5. 客户端查询DNS证书中列出的OCSP域。

  6. 客户端收到代理 IP。

  7. 客户端向代理发送OCSP查询。

  8. 代理将查询转发给OCSP响应者。

  9. 响应程序将证书状态返回给代理。

  10. 代理将证书状态转发到客户端。

  11. 如果证书有效,则客户端开始TLS握手。

提示

在按照上述方式配置 CA 之后,可以使用 Amazon CloudFront 和 Amazon Route 53 实现此示例。

  1. 在中 CloudFront,创建发行版并按如下方式对其进行配置:

    • 创建与您的自定义名称相匹配的备用名称CNAME。

    • 将您的证书与其绑定。

    • 设置 ocsp.acm-pca。<region>.amazonaws.com 作为起源。

    • 应用 Managed-CachingDisabled 策略。

    • 查看器协议策略设置为HTTP和HTTPS

    • 将 “允许HTTP的方法” 设置为GETHEAD、OPTIONS、PUT、POST、、PATCH、DELETE

  2. 在 Route 53 中,创建一条将您的自定义映射CNAME到 CloudFront 分布URL的DNS记录。