Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Planifique el método de revocación AWS Private CA de su certificado
Al planificar su PKI privada Autoridad de certificación privada de AWS, debe tener en cuenta cómo gestionar las situaciones en las que desee que los puntos finales dejen de confiar en un certificado emitido, por ejemplo, cuando se expone la clave privada de un punto final. Los enfoques habituales para solucionar este problema son utilizar certificados de corta duración o configurar la revocación de certificados. Los certificados de corta duración caducan en un período de tiempo tan breve, en horas o días, que la revocación no tiene sentido, ya que el certificado deja de ser válido aproximadamente al mismo tiempo que tarda en notificarse la revocación a un punto de conexión. En esta sección se describen las opciones de revocación para los clientes de Autoridad de certificación privada de AWS , incluida la configuración y las prácticas recomendadas.
Los clientes que buscan un método de revocación pueden elegir el Protocolo de estado de certificados en línea (OCSP), las listas de revocación de certificados (CRLs) o ambos.
**nota**
Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte [Actualice una CA privada en AWS Private Certificate Authority](PCAUpdateCA.md).
+ **Protocolo de estado de certificados en línea (OCSP)**
Autoridad de certificación privada de AWS proporciona una solución OCSP totalmente gestionada para notificar a los puntos finales que los certificados se han revocado sin necesidad de que los clientes operen la infraestructura ellos mismos. Los clientes pueden habilitar OCSP en sistemas nuevos o existentes CAs con una sola operación mediante la Autoridad de certificación privada de AWS consola, la API, la CLI o mediante CloudFormation. Mientras que se CRLs almacenan y procesan en el terminal y pueden quedar obsoletos, los requisitos de almacenamiento y procesamiento del OCSP se gestionan de forma sincrónica en el backend del respondedor.
Al habilitar el OCSP para una CA, Autoridad de certificación privada de AWS incluye la URL del respondedor del OCSP en la extensión *Authority Information Access* (AIA) de cada nuevo certificado emitido. Los clientes, como los navegadores web, consultan las CRL para determinar si se puede confiar en un certificado de entidad final o CA subordinada. El sistema de respuesta devuelve un mensaje de estado firmado criptográficamente para garantizar su autenticidad.
[El respondedor Autoridad de certificación privada de AWS OCSP cumple con la RFC 5019.](https://datatracker.ietf.org/doc/html/rfc5019)
**Consideraciones sobre OCSP**
+ Los mensajes de estado del OCSP se firman mediante el mismo algoritmo de firma para el que se configuró la CA emisora. CAs creados en la Autoridad de certificación privada de AWS consola, utilizan el algoritmo de firma SHA256 WITHRSA de forma predeterminada. Puedes encontrar otros algoritmos compatibles en la documentación de la [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html)API.
+ [APIPassthrough y](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#template-varieties) las plantillas de CSRPassthrough certificados no funcionarán con la extensión AIA si el respondedor OCSP está activado.
+ Se puede acceder al punto de conexión del servicio OCSP administrado en la Internet pública. Los clientes que deseen utilizar el OCSP, pero prefieran no tener un punto de conexión público deberán utilizar su propia infraestructura de OCSP.
+ **Listas de revocación de certificados () CRLs**
Una lista de revocación de certificados (CRL) es un archivo que contiene una lista de certificados revocados antes de su fecha de caducidad programada. La CRL contiene una lista de certificados en los que ya no se debe confiar, el motivo de la revocación y otra información relevante.
Al configurar la autoridad de certificación (CA), puede elegir si Autoridad de certificación privada de AWS crea una CRL completa o particionada. Su elección determina el número máximo de certificados que la autoridad de certificación puede emitir y revocar. Para obtener más información, consulte [Cuotas de Autoridad de certificación privada de AWS](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
**Consideraciones sobre la CRL**
+ Consideraciones sobre la memoria y el ancho de banda: CRLs requieren más memoria que el OCSP debido a los requisitos locales de descarga y procesamiento. Sin embargo, CRLs podría reducir el ancho de banda de la red en comparación con el OCSP al almacenar en caché las listas de revocación en lugar de comprobar el estado de cada conexión. En el caso de los dispositivos con limitaciones de memoria, como algunos dispositivos de IoT, considere la posibilidad de utilizar dispositivos particionados. CRLs
+ Cambiar el tipo de CRL: al cambiar de una CRL completa a una particionada, Autoridad de certificación privada de AWS crea nuevas particiones según sea necesario y añade la extensión IDP a todas, incluida la original. CRLs Al cambiar de particionada a completa, solo se actualiza una única CRL y se evita la revocación futura de los certificados asociados a las particiones anteriores.
**nota**
Tanto el OCSP como el cambio de CRLs estado presentan cierto retraso entre la revocación y la disponibilidad del cambio de estado.
Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de CRLs lo que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas del OCSP.
Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si por alguna razón se produce un error en la actualización de la CRL, Autoridad de certificación privada de AWS lo intenta de nuevo cada 15 minutos.
## Requisitos generales para las configuraciones de revocación
Los siguientes requisitos se aplican a todas las configuraciones de revocación.
+ Una configuración que inhabilite CRLs o un OCSP solo debe contener el `Enabled=False` parámetro y fallará si se incluyen otros parámetros, como `CustomCname` o `ExpirationInDays` están incluidos.
+ En la configuración de una CRL, el parámetro `S3BucketName` debe cumplir las [reglas de nomenclatura de los bucket de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
+ Una configuración que contenga un parámetro de nombre canónico (CNAME) personalizado para CRLs un OCSP debe cumplir con [RFC7230](https://www.ietf.org/rfc/rfc7230.txt)las restricciones sobre el uso de caracteres especiales en un CNAME.
+ En la configuración de una CRL o un OCSP, el valor de un parámetro de CNAME no debe incluir un prefijo de protocolo como “http://” o “https://”.
**Topics**
+ [Requisitos generales para las configuraciones de revocación](#revocation-requirements)
+ [Configura una CRL para AWS Private CA](crl-planning.md)
+ [Personaliza la URL de OCSP para AWS Private CA](ocsp-customize.md)
# Configura una CRL para AWS Private CA
Antes de poder configurar una lista de revocación de certificados (CRL) como parte del [proceso de creación de una entidad de certificación](create-CA.md), es posible que sea necesaria alguna configuración previa. En esta sección se explican los requisitos previos y las opciones que debe conocer antes de crear una CA con una CRL asociada.
Para obtener información sobre el uso del Protocolo de estado de certificados en línea (OCSP) como alternativa o complemento de una CRL, consulte [](create-CA.md#PcaCreateRevocation) y [Personaliza la URL de OCSP para AWS Private CA](ocsp-customize.md).
**Topics**
+ [Tipos de CRL](#crl-type)
+ [Estructura de CRL](#crl-structure)
+ [Políticas de acceso para CRLs Amazon S3](#s3-policies)
+ [Habilite S3 Block Public Access (BPA) con CloudFront](#s3-bpa)
+ [Determinación del URI del punto de distribución (CDP) de la CRL](#crl-url)
+ [](#crl-ipv6)
## Tipos de CRL
+ **Completo**: configuración predeterminada. Autoridad de certificación privada de AWS mantiene un único archivo CRL sin particiones para todos los certificados no vencidos emitidos por una entidad emisora de certificados que hayan sido revocados. [Cada certificado que se Autoridad de certificación privada de AWS emite está vinculado a una CRL específica a través de su extensión de punto de distribución de la CRL (CDP), tal como se define en el RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Puede tener hasta 1 millón de certificados privados para cada CA con la CRL completa habilitada. Para obtener más información, consulte las [AWS Private CA cuotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
+ **Particionado**: si lo comparamos con uno completo CRLs, el número de certificados particionados aumenta CRLs considerablemente el número de certificados que su entidad emisora de certificados privada puede emitir y evita tener que rotarlos con frecuencia. CAs
**importante**
Si utiliza particionado CRLs, debe comprobar que el URI del punto de distribución emisor (IDP) asociado a la CRL coincide con el URI del CDP del certificado para asegurarse de que se ha obtenido la CRL correcta. Autoridad de certificación privada de AWS marca la extensión IDP como crítica y su cliente debe poder procesarla.
## Estructura de CRL
Cada CRL es un archivo codificado con DER. Para descargar el archivo y usar [OpenSSL](https://www.openssl.org/) para verlo, use un comando como el siguiente:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRLs tienen el siguiente formato:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**nota**
La CRL solo se depositará en Amazon S3 una vez que se haya emitido un certificado que haga referencia a ella. Antes de eso, solo habrá un archivo `acm-pca-permission-test-key` visible en el bucket de Amazon S3.
## Políticas de acceso para CRLs Amazon S3
Si planea crear una CRL, debe preparar un bucket de Amazon S3 para almacenarla. Autoridad de certificación privada de AWS deposita automáticamente la CRL en el bucket de Amazon S3 que designe y la actualiza periódicamente. Para obtener más información, consulte [Creación de un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
Su bucket de S3 debe estar protegido por una política de permisos de IAM asociada. Los usuarios autorizados y los directores de servicio necesitan `Put` permiso Autoridad de certificación privada de AWS para poder colocar objetos en el depósito y `Get` para recuperarlos.
**nota**
La configuración de la política de IAM depende de la Regiones de AWS persona implicada. Las regiones se dividen en dos categorías:
**Regiones habilitadas de forma predeterminada**: regiones que están *habilitadas de forma predeterminada para* todos. Cuentas de AWS
**Regiones deshabilitadas de forma predeterminada**: regiones que están *deshabilitadas* de forma predeterminada, pero que el cliente puede habilitarlas manualmente.
[Para obtener más información y una lista de las regiones deshabilitadas de forma predeterminada, consulte Administración de Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html). Para obtener más información sobre los principios de servicio en el contexto de la IAM, consulte los [principios de servicio de AWS en las regiones en las que se ha optado por participar](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions).
Cuando se configura CRLs como método de revocación de certificados, Autoridad de certificación privada de AWS crea una CRL y la publica en un bucket de S3. El bucket de S3 requiere una política de IAM que permita al director del Autoridad de certificación privada de AWS servicio escribir en el bucket. El nombre de la entidad principal del servicio varía según las regiones utilizadas y no se admiten todas las posibilidades.
****
| PCA | S3 | Entidad principal de servicio |
| --- | --- | --- |
| Ambos en la misma región | `acm-pca.amazonaws.com` |
| Habilitado | Habilitado | `acm-pca.amazonaws.com` |
| Deshabilitado | Habilitado | `acm-pca.Region.amazonaws.com` |
| Habilitado | Deshabilitado | No compatible |
La política predeterminada no aplica ninguna restricción de `SourceArn` a la CA. Le recomendamos que aplique una política menos permisiva, como la siguiente, que restrinja el acceso tanto a una AWS cuenta específica como a una CA privada específica. Como alternativa, puede usar la clave de condición [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) para restringir el acceso a una organización específica. AWS Organizations Para obtener más información sobre las políticas de depósitos, consulte [Políticas de depósitos de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Si decide permitir la política predeterminada, siempre podrá [modificarla](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) más adelante.
## Habilite S3 Block Public Access (BPA) con CloudFront
Los nuevos buckets de Amazon S3 se configuran de forma predeterminada con la característica Bloquear acceso público (BPA) activada. Incluido en las [mejores prácticas de seguridad](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) de Amazon S3, el BPA es un conjunto de controles de acceso que los clientes pueden usar para ajustar el acceso a los objetos de sus buckets de S3 y a los buckets en su conjunto. Cuando el BPA está activo y correctamente configurado, solo AWS los usuarios autorizados y autenticados tienen acceso a un depósito y a su contenido.
AWS recomienda el uso de BPA en todos los depósitos de S3 para evitar que la información confidencial quede expuesta a posibles adversarios. Sin embargo, si sus clientes de PKI obtienen información a CRLs través de la Internet pública (es decir, sin haber iniciado sesión en una cuenta), es necesario planificar más a fondo la información. AWS En esta sección se describe cómo configurar una solución de PKI privada mediante Amazon CloudFront, una red de entrega de contenido (CDN), para que sirva CRLs sin requerir el acceso de un cliente autenticado a un bucket de S3.
**nota**
Su uso CloudFront conlleva costes adicionales en su cuenta. AWS Para obtener más información, consulta los [ CloudFront precios de Amazon](https://aws.amazon.com/cloudfront/pricing/).
Si decide almacenar su CRL en un bucket de S3 con el BPA activado y no lo utiliza CloudFront, debe crear otra solución de CDN para garantizar que su cliente de PKI tenga acceso a su CRL.
### Configúrelo para el BPA CloudFront
Cree una CloudFront distribución que tenga acceso a su bucket privado de S3 y que pueda servir CRLs a clientes no autenticados.
**Para configurar una CloudFront distribución para la CRL**
1. Cree una CloudFront distribución nueva mediante el procedimiento descrito en [Creación de una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) en la *Guía para CloudFront desarrolladores de Amazon*.
Mientras completa el procedimiento, aplique la siguiente configuración:
+ En **Nombre de dominio de origen**, elija su bucket de S3.
+ En **Restringir acceso al bucket**, elija **Sí**.
+ Elija **Create a New Identity** (Crear una nueva identidad) para **Origin Access Identity** (Identidad de acceso de origen).
+ Selecciona **Yes, Update Bucket Policy** (Sí, actualizar la política del bucket) en **Grant Read Permissions on Bucket** (Otorgar permisos de lectura en el bucket).
**nota**
En este procedimiento, CloudFront modifica la política de su bucket para permitirle acceder a los objetos del bucket. Considere la posibilidad de [editar](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) esta política para permitir el acceso únicamente a los objetos de la carpeta `crl`.
1. Una vez inicializada la distribución, busque su nombre de dominio en la CloudFront consola y guárdelo para el siguiente procedimiento.
**nota**
Si tu bucket de S3 se creó recientemente en una región distinta de us-east-1, es posible que recibas un error de redireccionamiento temporal HTTP 307 al acceder a la aplicación publicada a través de ella. CloudFront Es posible que la dirección del bucket tarde varias horas en propagarse.
### Configuración de CA para el BPA
Al configurar su nueva CA, incluya el alias en su CloudFront distribución.
**Para configurar su CA con un CNAME para CloudFront**
+ Cree su CA mediante [Cree una CA privada en AWS Private CA](create-CA.md).
Al realizar el procedimiento, el archivo de revocación `revoke_config.txt` debe incluir las siguientes líneas para especificar un objeto de CRL no público y proporcionar una URL al punto de conexión de distribución en el que: CloudFront
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
Posteriormente, cuando emita certificados con esta CA, estos contendrán un bloque como el siguiente:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**nota**
Si tiene certificados antiguos emitidos por esta CA, no podrán acceder a la CRL.
## Determinación del URI del punto de distribución (CDP) de la CRL
Si necesita utilizar el URI del punto de distribución de CRL (CDP) en su flujo de trabajo, puede emitir un certificado utilizando el URI de CRL de ese certificado o utilizar el siguiente método. Esto solo funciona si está completo. CRLs CRLs Las particiones tienen un GUID aleatorio adjunto.
Si usa el bucket S3 como punto de distribución de CRL (CDP) para su CA, el URI del CDP puede tener uno de los siguientes formatos.
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
Si ha configurado la CA con un CNAME personalizado, el URI del CDP incluirá el CNAME, por ejemplo, `http://alternative.example.com/crl/CA-ID.crl`
##
De forma predeterminada, Autoridad de certificación privada de AWS escribe las extensiones de CDP utilizando puntos finales solo regionales. IPv4 `amazonaws.com` Para usar CRLs over IPv6, lleve a cabo uno de los siguientes pasos para que CDPs se escriba con URLs ese punto en los puntos finales de doble pila [de S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html):
+ Defina el [nombre personalizado de su CRL para el dominio del punto final de doble pila](create-CA.md#PcaCreateRevocation) de S3. Por ejemplo, `bucketname.s3.dualstack.region-code.amazonaws.com`
+ Configura tu propio registro DNS CNAME que apunte al punto final de doble pila de S3 correspondiente y úsalo como nombre personalizado de tu CRL
# Personaliza la URL de OCSP para AWS Private CA
**nota**
Este tema está dirigido a los clientes que desean personalizar la URL pública del punto final del respondedor del Protocolo de estado de certificados en línea (OCSP) con fines de marca u otros fines. Si planea usar la configuración predeterminada del OCSP Autoridad de certificación privada de AWS administrado, puede omitir este tema y seguir las instrucciones de configuración que aparecen en [Configurar](create-CA.md#PcaCreateRevocation) la revocación.
De forma predeterminada, al habilitar el OCSP para Autoridad de certificación privada de AWS, cada certificado que emita contiene la URL del respondedor de OCSP. AWS Esto permite a los clientes que soliciten una conexión criptográficamente segura enviar consultas de validación de OCSP directamente a AWS. Sin embargo, en algunos casos, puede ser preferible indicar una URL diferente en los certificados y, en última instancia, enviar las consultas de OCSP a AWS.
**nota**
Para obtener información sobre el uso de una lista de revocación de certificados (CRL) como alternativa o complemento del OCSP, consulte [Configurar la revocación](create-CA.md#PcaCreateRevocation) y [Planear una lista de revocación de certificados (CRL)](crl-planning.md).
La configuración de una URL personalizada para OCSP implica tres elementos.
+ **Configuración de CA**: especifique una URL de OCSP personalizada en `RevocationConfiguration` para su CA, tal y como se describe en [Ejemplo 2: crear una CA con OCSP activado y un CNAME personalizado y habilitado](create-CA.md#example_2) y [Cree una CA privada en AWS Private CA](create-CA.md).
+ **DNS**: añada un registro CNAME a la configuración de su dominio para asignar la URL que aparece en los certificados a la URL de un servidor proxy. Para obtener más información, consulta [Ejemplo 2: crear una CA con OCSP activado y un CNAME personalizado y habilitado](create-CA.md#example_2) en [Cree una CA privada en AWS Private CA](create-CA.md).
+ **Servidor proxy de reenvío**: configure un servidor proxy que pueda reenviar de forma transparente el tráfico OCSP que reciba al sistema de respuesta de OCSP de AWS .
El siguiente diagrama ilustra cómo estos componentes funcionan juntos.
![\[Topología de OCSP personalizada\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ocsp.png)
Como se muestra en el diagrama, el proceso de validación de OCSP personalizado consta de los siguientes pasos:
1. El cliente consulta el DNS del dominio de destino.
1. El cliente recibe la IP de destino.
1. El cliente abre una conexión TCP con el destino.
1. El cliente recibe el certificado TLS de destino.
1. El cliente consulta el DNS del dominio OCSP que aparece en el certificado.
1. El cliente recibe la IP del proxy.
1. El cliente envía la consulta OCSP al proxy.
1. El proxy reenvía la consulta al sistema de respuesta de OCSP.
1. El sistema de respuesta devuelve el estado del certificado al proxy.
1. El proxy reenvía el estado del certificado al cliente.
1. Si el certificado es válido, el cliente inicia el protocolo de enlace TLS.
**sugerencia**
Este ejemplo se puede implementar con [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) y [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) después de haber configurado una CA como se describe anteriormente.
En CloudFront, cree una distribución y configúrela de la siguiente manera:
Cree un nombre alternativo que coincida con su CNAME personalizado.
Enlace su certificado a él.
`ocsp.acm-pca..amazonaws.com`Establézcala como origen.
Para usar IPv6 las conexiones, use el punto final de dualstack `acm-pca-ocsp..api.aws`
Implemente la política de `Managed-CachingDisabled`.
Cambie **Política del protocolo del visor** a **HTTP y HTTPS**.
Configure **Métodos HTTP permitidos**: **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
En Route 53, cree un registro DNS que asigne su CNAME personalizado a la URL de la distribución. CloudFront
## Uso de OCSP en lugar de IPv6
La URL predeterminada del respondedor Autoridad de certificación privada de AWS OCSP es IPv4 -only. Para usar OCSP over IPv6, configure una URL de OCSP personalizada para su CA. La URL puede ser:
+ El FQDN del respondedor OCSP PCA de doble pila, que adopta la forma `acm-pca-ocsp.region-name.api.aws`
+ Un registro CNAME que ha configurado para apuntar al respondedor OCSP de doble pila, como se ha explicado anteriormente.