Die Private Certificate Authority (CA) vom AWS Certificate Manager (ACM) gibt die Verfügbarkeit des Online Certificate Status Protocol (OCSP) zur Verteilung von Zertifikatswiderrufsinformationen bekannt. Beim Aufbau einer verschlüsselten TLS-Verbindung können die Endpunkte OCSP verwenden, um nahezu in Echtzeit abzufragen, ob ein Zertifikat widerrufen wurde. Dadurch wird der Endpunkt darauf hingewiesen, dass dem Zertifikat nicht vertraut werden sollte. Diese Funktion bietet eine vollständig verwaltete OCSP-Lösung zur Benachrichtigung von Endpunkten, dass Zertifikate widerrufen wurden, ohne dass die Infrastruktur selbst verwaltet oder betrieben werden muss.
Zuvor konnten ACM Private CA-Kunden CRLs verwenden, um den Widerrufsstatus für von ACM Private CA ausgestellte Zertifikate zu prüfen, oder ihr eigenes OCSP erstellen und verwalten. CRLs eignen sich nicht für Endgeräte mit begrenztem Speicherplatz, führen zu zusätzlicher Rechenarbeit für den Zugriff und das Parsen und können veralten, da viele Clients CRLs nur täglich oder seltener herunterladen. Der Aufbau und Betrieb eines OCSP-Responders erfordert von den Kunden eine kundenspezifische Entwicklung, die Durchführung von Standard-Wartungsarbeiten und die Reaktion auf Notfallereignisse, falls OCSP ausfällt.
Private CA now offers fully managed OCSP. Kunden können OCSP mit einem einzigen Vorgang über die Konsole, CloudFormation, API oder Befehlszeile aktivieren, ohne dass eine Entwicklung oder Bereitstellung für neue oder bestehende CAs erforderlich ist. Mit OCSP von Private CA können Kunden Zertifikate bereitstellen, deren Widerrufsstatus von jedem TLS-Endpunkt direkt abgefragt werden kann, wodurch die Speicher- und Verarbeitungsanforderungen an den OCSP-Responder verlagert werden und das Problem des veralteten Status gelöst wird. Kunden, die Zertifikate ausstellen, können nun OCSP, Certificate Revocation Lists (CRLs) oder beides wählen, um Widerrufsinformationen für ihre privaten Zertifikate zu verteilen.
Private CA bietet Ihnen einen hochverfügbaren privaten Zertifizierungsstellendienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle. CA-Administratoren können mit Private CA eine vollständige CA-Hierarchie erstellen, einschließlich Online-Root- und untergeordneten CAs. Externe CAs sind nicht erforderlich. Mit einer Private CA können Sie private Zertifikate für Ihre Ressourcen zentral mit einem sicheren, verwalteten, nutzungsabhängigen Service für private CAs erstellen. Die OCSP-Funktion ist eine Zusatzoption für Private CA. Die Preise für die OCSP-Funktion finden Sie auf der öffentlichen Preisseite von ACM Private CA.
Informationen zu den ersten Schritten mit Private CA finden Sie auf der Seite Erste Schritte.