公钥基础设施(PKI)对于保障数字通信安全与建立信任至关重要。随着数字业务的扩展,您将需要签发和吊销证书。证书吊销在员工离职、迁移至新证书授权体系、满足合规要求以及响应安全事件时尤为重要。您可以使用证书吊销列表(CRL)或在线证书状态协议(OCSP)方法来跟踪已吊销的证书。您可以使用亚马逊云科技(AWS)私有证书授权(AWS Private CA)创建证书授权机构(CA),该机构通过这些方法发布吊销信息,以便系统验证证书的有效性。
随着企业持续扩展业务,当使用完整CRL来签发和吊销超过100万张证书时会遇到限制。增加CRL文件大小的解决方案并不可行,因为许多应用程序无法处理过大的CRL文件(有些要求最大1 MB)。此外,像OCSP这样的替代方案可能会因隐私和合规问题被主要的信任存储和浏览器厂商拒绝。这些限制极大地影响了您高效扩展PKI基础设施,同时维持安全与合规标准的能力。
功能发布:应对挑战
AWS Private CA通过分区CRL应对这些挑战,使每个CA能够签发和吊销多达1亿张证书。此功能将吊销信息分布在多个更小、更易管理的CRL分区中,每个分区最大保持1 MB的大小,以提升应用程序兼容性。在证书签发时,通过关键性的颁发者分发点(IDP)扩展,证书会自动绑定到特定的CRL分区,该扩展包含一个标识分区的唯一URI。验证过程通过比较证书CRL分发点(CDP)扩展中的CRL URI与CRL自身的IDP扩展来实现,从而提供准确的证书验证。
分区CRL提供了以下优势:自动将每个CA的证书签发限制从100万扩展到1亿;支持新的和现有的CA;提供灵活的CRL命名和路径配置选项;通过保留现有完整CRL功能同时提供分区CRL作为可选功能来实现向后兼容性;以及符合RFC5280等行业标准,同时保持安全性和运营效率。
在AWS Private CA中配置分区CRL
您可以通过以下步骤为AWS Private CA中现有的CA配置分区CRL。
-
在左侧导航栏中选择私有证书授权。
-
选择主题列中对应您CA的链接,进入其详情页面。
注意:请确保您位于正确的AWS区域。
图1:证书授权选择
-
选择吊销配置选项卡,您应该能看到CRL分发已启用或已禁用。如果已禁用,则应在后续步骤中启用它。
图2:证书授权常规配置信息
-
选择编辑。
-
勾选激活CRL分发复选框。
如果CRL分发已启用,则跳至第7步。
-
在S3存储桶URI下,从列表中选择一个现有存储桶。您可以在AWS Private CA中创建私有CA的说明中的第6步查看详细步骤。
-
您必须验证账户和存储桶的区块公共访问(BPA)已禁用,并且必须手动向其附加策略,然后才能开始生成CRL。使用在Amazon S3的CRL访问策略中描述的其中一种策略模式。更多信息,请参阅使用Amazon S3控制台添加存储桶策略。
-
展开CRL设置以获取更多配置选项。
-
勾选启用分区复选框以启用CRL分区。这将创建一个分区CRL。
如果您不启用分区,则会创建一个完整的CRL,并且您的CA将受到100万张签发或吊销证书的限制。更多信息,请参阅AWS Private CA配额。
图3:证书吊销选项
-
选择保存更改。
-
CRL分发将显示为已启用,并带有分区CRL。每个CA的100万限制会自动更新为1亿。
图4:证书吊销配置
结论
AWS Private CA的分区CRL功能可以在多个维度带来显著效益。从安全角度看,该功能在支持每个CA最多1亿张证书的全面吊销能力的同时,保持了证书验证的有效性,使您能够有效响应安全事件或密钥泄露。在运营方面,它减少了CA轮换需求,降低了管理开销,并简化了PKI管理。此外,将CRL分区大小保持在1 MB提供了广泛的应用程序兼容性,同时支持自动化的分区管理。这使得该功能在您需要可扩展、符合标准的证书管理时尤其有价值。关于合规性,您可以使用该功能来满足多项行业要求:它支持WebTrust原则和标准以及ETSI TSP标准,保持与RFC5280的兼容性,符合浏览器信任存储对CRL和OCSP支持的要求,并为Matter等新兴标准提供了所需的灵活性。
最后,您可以通过启用分区CRL,在无需支付AWS Private CA和Amazon简单存储服务(Amazon S3)额外费用的前提下,最大化您的通用或短期CA的价值,同时确保所有证书保持可吊销状态。
立即开始使用AWS管理控制台在AWS Private CA中创建您的CA。
如果您对此文章有任何反馈,请在下方评论区提交评论。