Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Planifiez la méthode de révocation de votre AWS CA privée certificat
Lorsque vous planifiez votre PKI privée Autorité de certification privée AWS, vous devez réfléchir à la manière de gérer les situations dans lesquelles vous ne souhaitez plus que les points de terminaison fassent confiance à un certificat émis, par exemple lorsque la clé privée d'un point de terminaison est révélée. Les approches les plus courantes pour résoudre ce problème consistent à utiliser des certificats de courte durée ou à configurer la révocation des certificats. Les certificats de courte durée expirent en si peu de temps, en heures ou en jours, que la révocation n'a aucun sens, le certificat devenant invalide à peu près au même moment qu'il faut pour informer un terminal de révocation. Cette section décrit les options de révocation pour les Autorité de certification privée AWS clients, y compris la configuration et les meilleures pratiques.
Les clients qui recherchent une méthode de révocation peuvent choisir le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (CRLs) ou les deux.
**Note**
Si vous créez votre autorité de certification sans configurer la révocation, vous pourrez toujours la configurer ultérieurement. Pour de plus amples informations, veuillez consulter [Mettre à jour une autorité de certification privée dans AWS Autorité de certification privée](PCAUpdateCA.md).
+ **Protocole d'état des certificats en ligne (OCSP)**
Autorité de certification privée AWS fournit une solution OCSP entièrement gérée pour informer les points de terminaison que les certificats ont été révoqués sans que les clients aient à exploiter eux-mêmes l'infrastructure. Les clients peuvent activer OCSP sur un nouveau produit ou sur un produit existant CAs en une seule opération à l'aide de la Autorité de certification privée AWS console, de l'API, de la CLI ou via CloudFormation. Alors qu' CRLs ils sont stockés et traités sur le terminal et peuvent devenir obsolètes, les exigences de stockage et de traitement OCSP sont gérées de manière synchrone sur le backend du répondeur.
Lorsque vous activez l'OCSP pour une autorité de certification, Autorité de certification privée AWS incluez l'URL du répondeur OCSP dans l'extension *Authority Information Access* (AIA) de chaque nouveau certificat émis. L'extension permet aux clients tels que les navigateurs Web d'interroger le répondeur et de déterminer si un certificat d'entité finale ou d'autorité de certification subordonnée est fiable. Le répondeur renvoie un message d'état signé cryptographiquement pour garantir son authenticité.
Le répondeur Autorité de certification privée AWS OCSP est conforme à la [RFC](https://datatracker.ietf.org/doc/html/rfc5019) 5019.
**Considérations relatives à l'OCSP**
+ Les messages d'état OCSP sont signés à l'aide du même algorithme de signature que celui pour lequel l'autorité de certification émettrice a été configurée. CAs créés dans la Autorité de certification privée AWS console utilisent l'algorithme de signature SHA256 WITHRSA par défaut. Les autres algorithmes pris en charge sont disponibles dans la documentation de [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html)l'API.
+ [APIPassthrough et les](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#template-varieties) modèles de CSRPassthrough certificats ne fonctionneront pas avec l'extension AIA si le répondeur OCSP est activé.
+ Le point de terminaison du service OCSP géré est accessible sur l'Internet public. Les clients qui veulent un OCSP mais préfèrent ne pas avoir de point de terminaison public devront exploiter leur propre infrastructure OCSP.
+ **Listes de révocation de certificats () CRLs**
Une liste de révocation de certifications (CRL) est un fichier qui contient une liste de certificats révoqués avant leur date d'expiration prévue. La CRL contient une liste de certificats auxquels il ne faut plus faire confiance, le motif de leur révocation et d'autres informations pertinentes.
Lorsque vous configurez votre autorité de certification (CA), vous pouvez choisir de Autorité de certification privée AWS créer une CRL complète ou partitionnée. Votre choix détermine le nombre maximum de certificats que l'autorité de certification peut émettre et révoquer. Pour plus d'informations, consultez [Autorité de certification privée AWS Quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
**Considérations relatives à la CRL**
+ Considérations relatives à la mémoire et à la bande passante : CRLs nécessite plus de mémoire que l'OCSP en raison des exigences de téléchargement et de traitement locales. Cependant, CRLs cela peut réduire la bande passante réseau par rapport à l'OCSP en mettant en cache les listes de révocation au lieu de vérifier l'état de chaque connexion. Pour les appareils dont la mémoire est limitée, tels que certains appareils IoT, pensez à utiliser le partitionnement. CRLs
+ Modification du type de CRL : lors du passage d'une CRL complète à une CRL partitionnée, Autorité de certification privée AWS crée de nouvelles partitions selon les besoins et ajoute l'extension IDP à toutes CRLs, y compris à l'original. Le passage de partitionné à complet ne met à jour qu'une seule CRL et empêche la révocation future des certificats associés aux partitions précédentes.
**Note**
L'OCSP et l'OCSP CRLs présentent tous deux un certain délai entre la révocation et la disponibilité du changement de statut.
Les réponses OCSP peuvent prendre jusqu'à 60 minutes pour refléter le nouveau statut lorsque vous révoquez un certificat. En général, l'OCSP a tendance à favoriser une distribution plus rapide des informations de révocation car, contrairement aux réponses OCSP CRLs qui peuvent être mises en cache par les clients pendant des jours, les réponses OCSP ne sont généralement pas mises en cache par les clients.
Une liste de révocation de certificats est généralement mise à jour environ 30 minutes après la révocation d'un certificat. Si, pour une raison quelconque, une mise à jour de la CRL échoue, Autorité de certification privée AWS effectuez de nouvelles tentatives toutes les 15 minutes.
## Exigences générales relatives aux configurations de révocation
Les exigences suivantes s'appliquent à toutes les configurations de révocation.
+ Une désactivation de configuration CRLs ou un OCSP ne doit contenir que le `Enabled=False` paramètre et échouera si d'autres paramètres tels que `CustomCname` ou `ExpirationInDays` sont inclus.
+ Dans une configuration CRL, le `S3BucketName` paramètre doit être conforme aux [règles de dénomination des compartiments Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
+ Une configuration contenant un paramètre de nom canonique (CNAME) personnalisé pour CRLs ou OCSP doit être conforme aux [RFC7230](https://www.ietf.org/rfc/rfc7230.txt)restrictions relatives à l'utilisation de caractères spéciaux dans un CNAME.
+ Dans une configuration CRL ou OCSP, la valeur d'un paramètre CNAME ne doit pas inclure de préfixe de protocole tel que « http:// » ou « https:// ».
**Topics**
+ [Exigences générales relatives aux configurations de révocation](#revocation-requirements)
+ [Configurez une CRL pour AWS CA privée](crl-planning.md)
+ [Personnaliser l'URL OCSP pour AWS CA privée](ocsp-customize.md)
# Configurez une CRL pour AWS CA privée
Avant de pouvoir configurer une liste de révocation de certificats (CRL) dans le cadre du [processus de création de l'autorité de certification](create-CA.md), une configuration préalable peut être nécessaire. Cette section explique les prérequis et les options que vous devez comprendre avant de créer une autorité de certification associée à une CRL.
Pour plus d'informations sur l'utilisation du protocole OCSP (Online Certificate Status Protocol) comme alternative ou complément à une CRL, consultez [](create-CA.md#PcaCreateRevocation) et. [Personnaliser l'URL OCSP pour AWS CA privée](ocsp-customize.md)
**Topics**
+ [Types de CRL](#crl-type)
+ [Structure CRL](#crl-structure)
+ [Politiques d'accès pour CRLs Amazon S3](#s3-policies)
+ [Activez l'accès public par blocs S3 (BPA) avec CloudFront](#s3-bpa)
+ [Déterminer l'URI du point de distribution CRL (CDP)](#crl-url)
+ [](#crl-ipv6)
## Types de CRL
+ **Terminé** : paramètre par défaut. Autorité de certification privée AWS gère un seul fichier CRL non partitionné pour tous les certificats non expirés émis par une autorité de certification qui ont été révoqués. [Chaque certificat Autorité de certification privée AWS émis est lié à une CRL spécifique via son extension de point de distribution CRL (CDP), telle que définie dans la RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Vous pouvez avoir jusqu'à 1 million de certificats privés pour chaque autorité de certification lorsque la CRL complète est activée. Pour plus d'informations, consultez les [AWS CA privée quotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
+ **Partitionné** - Par rapport au partitionnement complet CRLs, le partitionnement augmente CRLs considérablement le nombre de certificats que votre autorité de certification privée peut délivrer et vous évite de changer fréquemment de certificat. CAs
**Important**
Lorsque vous utilisez partitioned CRLs, vous devez vérifier que l'URI du point de distribution émetteur (IDP) associé à la CRL correspond à l'URI CDP du certificat afin de vous assurer que la bonne CRL a été récupérée. Autorité de certification privée AWS marque l'extension IDP comme critique, que votre client doit être capable de traiter.
## Structure CRL
Chaque liste est un fichier codé DER. Pour télécharger le fichier et utiliser [OpenSSL](https://www.openssl.org/) pour l'afficher, utilisez une commande similaire à la suivante :
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRLs ont le format suivant :
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**Note**
La CRL ne sera déposée dans Amazon S3 qu'après l'émission d'un certificat y faisant référence. Avant cela, seul un `acm-pca-permission-test-key` fichier sera visible dans le compartiment Amazon S3.
## Politiques d'accès pour CRLs Amazon S3
Si vous envisagez de créer une CRL, vous devez préparer un compartiment Amazon S3 dans lequel la stocker. Autorité de certification privée AWS dépose automatiquement la CRL dans le compartiment Amazon S3 que vous désignez et la met à jour régulièrement. Pour plus d’informations, consultez [Créer un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
Votre compartiment S3 doit être sécurisé par une politique d'autorisation IAM attachée. Les utilisateurs autorisés et les responsables du service doivent être `Put` autorisés Autorité de certification privée AWS à placer des objets dans le compartiment et `Get` à les récupérer.
**Note**
La configuration de la politique IAM dépend de l'acteur Régions AWS concerné. Les régions se répartissent en deux catégories :
**Régions activées par défaut** : régions *activées* par défaut pour tous. Comptes AWS
**Régions désactivées par défaut** : régions *désactivées* par défaut, mais qui peuvent être activées manuellement par le client.
[Pour plus d'informations et une liste des régions désactivées par défaut, consultez la section Gestion. Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) Pour une discussion sur les principes de service dans le contexte de l'IAM, voir les [principes de AWS service dans les régions optionnelles.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions)
Lorsque vous configurez CRLs comme méthode de révocation de certificat, vous Autorité de certification privée AWS créez une CRL et la publiez dans un compartiment S3. Le compartiment S3 nécessite une politique IAM qui permet au principal du Autorité de certification privée AWS service d'écrire dans le compartiment. Le nom du principal de service varie en fonction des régions utilisées, et toutes les possibilités ne sont pas prises en charge.
****
| PCA | S3 | Principal du service |
| --- | --- | --- |
| Les deux dans la même région | `acm-pca.amazonaws.com` |
| Activé | Activé | `acm-pca.amazonaws.com` |
| Désactivé | Activé | `acm-pca.Region.amazonaws.com` |
| Activé | Désactivé | Non pris en charge |
La politique par défaut n'applique aucune `SourceArn` restriction à l'autorité de certification. Nous vous recommandons d'appliquer une politique moins permissive telle que la suivante, qui restreint l'accès à un AWS compte spécifique et à une autorité de certification privée spécifique. Vous pouvez également utiliser la clé de condition [aws : SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) pour restreindre l'accès à une organisation spécifique dans AWS Organizations. Pour plus d'informations sur les politiques relatives aux compartiments, consultez [les politiques relatives aux compartiments pour Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Si vous choisissez d'autoriser la politique par défaut, vous pourrez toujours la [modifier](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) ultérieurement.
## Activez l'accès public par blocs S3 (BPA) avec CloudFront
Les nouveaux compartiments Amazon S3 sont configurés par défaut avec la fonctionnalité Block Public Access (BPA) activée. Inclus dans les [meilleures pratiques de sécurité](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) d'Amazon S3, le BPA est un ensemble de contrôles d'accès que les clients peuvent utiliser pour affiner l'accès aux objets de leurs compartiments S3 et aux compartiments dans leur ensemble. Lorsque le BPA est actif et correctement configuré, seuls les AWS utilisateurs autorisés et authentifiés ont accès à un bucket et à son contenu.
AWS recommande l'utilisation du BPA sur tous les compartiments S3 afin d'éviter d'exposer des informations sensibles à des adversaires potentiels. Cependant, une planification supplémentaire est requise si vos clients PKI accèdent CRLs à Internet via Internet public (c'est-à-dire lorsqu'ils ne sont pas connectés à un AWS compte). Cette section décrit comment configurer une solution PKI privée à l'aide d'Amazon CloudFront, un réseau de diffusion de contenu (CDN), pour qu'elle fonctionne CRLs sans nécessiter un accès client authentifié à un compartiment S3.
**Note**
L'utilisation CloudFront entraîne des frais supplémentaires sur votre AWS compte. Pour plus d'informations, consultez [Amazon CloudFront Pricing](https://aws.amazon.com/cloudfront/pricing/).
Si vous choisissez de stocker votre CRL dans un compartiment S3 où le BPA est activé et que vous ne l'utilisez pas CloudFront, vous devez créer une autre solution CDN pour garantir que votre client PKI a accès à votre CRL.
### Configuration CloudFront pour le BPA
Créez une CloudFront distribution qui aura accès à votre compartiment S3 privé et pourra servir CRLs à des clients non authentifiés.
**Pour configurer une CloudFront distribution pour la CRL**
1. Créez une nouvelle CloudFront distribution en suivant la procédure décrite dans la section [Création d'une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) du manuel *Amazon CloudFront Developer Guide*.
Au cours de la procédure, appliquez les paramètres suivants :
+ Dans **Origin Domain Name**, choisissez votre compartiment S3.
+ Choisissez **Oui** pour **Restreindre l'accès au bucket**.
+ Choisissez **Créer une nouvelle identité** pour **Origin Access Identity**.
+ Choisissez **Yes, Update Bucket Policy** sous **Accorder les autorisations de lecture sur le bucket**.
**Note**
Dans cette procédure, CloudFront modifie votre politique de compartiment pour lui permettre d'accéder aux objets du compartiment. Envisagez de [modifier](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) cette politique afin de n'autoriser l'accès qu'aux objets situés `crl` dans le dossier.
1. Une fois la distribution initialisée, recherchez son nom de domaine dans la CloudFront console et enregistrez-le pour la procédure suivante.
**Note**
Si votre compartiment S3 vient d'être créé dans une région autre que us-east-1, vous risquez de recevoir une erreur de redirection temporaire HTTP 307 lorsque vous accédez à votre application publiée via. CloudFront La propagation de l'adresse du bucket peut prendre plusieurs heures.
### Configurez votre CA pour le BPA
Lors de la configuration de votre nouvelle autorité de certification, incluez l'alias dans votre CloudFront distribution.
**Pour configurer votre autorité de certification avec un CNAME pour CloudFront**
+ Créez votre CA à l'aide de[Créez une autorité de certification privée dans AWS CA privée](create-CA.md).
Lorsque vous exécutez la procédure, le fichier de révocation `revoke_config.txt` doit inclure les lignes suivantes pour spécifier un objet CRL non public et pour fournir une URL vers le point de terminaison de distribution dans : CloudFront
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
Par la suite, lorsque vous émettrez des certificats avec cette autorité de certification, ils contiendront un bloc comme celui-ci :
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**Note**
Si vous possédez d'anciens certificats émis par cette autorité de certification, elle ne pourra pas accéder à la CRL.
## Déterminer l'URI du point de distribution CRL (CDP)
Si vous devez utiliser l'URI du point de distribution CRL (CDP) dans votre flux de travail, vous pouvez soit émettre un certificat en utilisant l'URI CRL sur ce certificat, soit utiliser la méthode suivante. Cela ne fonctionne que pour la version complète CRLs. Un GUID aléatoire est ajouté aux CRLs partitionnés.
Si vous utilisez le compartiment S3 comme point de distribution CRL (CDP) pour votre autorité de certification, l'URI du CDP peut être dans l'un des formats suivants.
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
Si vous avez configuré votre autorité de certification avec un CNAME personnalisé, l'URI du CDP inclura le CNAME, par exemple, `http://alternative.example.com/crl/CA-ID.crl`
##
Par défaut, Autorité de certification privée AWS écrit les extensions CDP en utilisant des points de IPv4 terminaison régionaux uniquement`amazonaws.com`. Pour l'utiliser IPv6, effectuez l'une des étapes suivantes afin que ce point soit écrit avec URLs ce point CRLs sur CDPs les points de [terminaison à double pile de S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html) :
+ Définissez le [nom personnalisé de votre CRL sur le domaine](create-CA.md#PcaCreateRevocation) de point de terminaison S3 dualstack. Par exemple, `bucketname.s3.dualstack.region-code.amazonaws.com`
+ Configurez votre propre enregistrement DNS CNAME pointant vers le point de terminaison S3 dualstack approprié, puis utilisez-le comme nom personnalisé CRL
# Personnaliser l'URL OCSP pour AWS CA privée
**Note**
Cette rubrique s'adresse aux clients qui souhaitent personnaliser l'URL publique du point de terminaison du protocole OCSP (Online Certificate Status Protocol) à des fins de personnalisation ou à d'autres fins. Si vous envisagez d'utiliser la configuration par défaut de l'OCSP Autorité de certification privée AWS géré, vous pouvez ignorer cette rubrique et suivre les instructions de configuration de la section [Configurer la révocation](create-CA.md#PcaCreateRevocation).
Par défaut, lorsque vous activez OCSP pour Autorité de certification privée AWS, chaque certificat que vous émettez contient l'URL du répondeur AWS OCSP. Cela permet aux clients demandant une connexion sécurisée par chiffrement d'envoyer directement des requêtes de validation OCSP à. AWS Cependant, dans certains cas, il peut être préférable d'indiquer une URL différente dans vos certificats tout en soumettant des requêtes OCSP à AWS.
**Note**
Pour plus d'informations sur l'utilisation d'une liste de révocation de certificats (CRL) comme alternative ou complément à l'OCSP, voir [Configurer la révocation et Planifier une liste de révocation](create-CA.md#PcaCreateRevocation) [de certificats](crl-planning.md) (CRL).
Trois éléments sont impliqués dans la configuration d'une URL personnalisée pour OCSP.
+ **Configuration de l'autorité de certification** — Spécifiez une URL OCSP personnalisée dans le `RevocationConfiguration` pour votre autorité de certification, comme décrit [Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés](create-CA.md#example_2) dans[Créez une autorité de certification privée dans AWS CA privée](create-CA.md).
+ **DNS** — Ajoutez un enregistrement CNAME à la configuration de votre domaine pour mapper l'URL figurant dans les certificats à l'URL d'un serveur proxy. Pour plus d’informations, consultez [Exemple 2 : créer une autorité de certification avec OCSP et un CNAME personnalisé activés](create-CA.md#example_2) dans [Créez une autorité de certification privée dans AWS CA privée](create-CA.md).
+ **Transfert de serveur proxy** : configurez un serveur proxy capable de transférer de manière transparente le trafic OCSP qu'il reçoit au répondeur AWS OCSP.
Le schéma suivant illustre la façon dont ces éléments fonctionnent ensemble.
![\[Topologie OCSP personnalisée\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/ocsp.png)
Comme le montre le schéma, le processus de validation OCSP personnalisé comprend les étapes suivantes :
1. Le client interroge le DNS pour le domaine cible.
1. Le client reçoit l'adresse IP cible.
1. Le client ouvre une connexion TCP avec la cible.
1. Le client reçoit le certificat TLS cible.
1. Le client interroge le DNS pour le domaine OCSP répertorié dans le certificat.
1. Le client reçoit l'adresse IP du proxy.
1. Le client envoie une requête OCSP au proxy.
1. Le proxy transmet la requête au répondeur OCSP.
1. Le répondeur renvoie l'état du certificat au proxy.
1. Le proxy transmet l'état du certificat au client.
1. Si le certificat est valide, le client lance le handshake TLS.
**Astuce**
Cet exemple peut être implémenté à l'aide d'[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) [et d'Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) après avoir configuré une autorité de certification comme décrit ci-dessus.
Dans CloudFront, créez une distribution et configurez-la comme suit :
Créez un autre nom correspondant à votre CNAME personnalisé.
Liez votre certificat à celui-ci.
Définissez `ocsp.acm-pca..amazonaws.com` comme origine.
Pour utiliser IPv6 les connexions, utilisez le point de terminaison dualstack `acm-pca-ocsp..api.aws`
Appliquez la `Managed-CachingDisabled` politique.
Définissez la **politique du protocole Viewer** sur **HTTP et HTTPS**.
Définissez **les méthodes HTTP autorisées** sur **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
Dans Route 53, créez un enregistrement DNS qui fait correspondre votre CNAME personnalisé à l'URL de la CloudFront distribution.
## Utilisation d'OCSP over IPv6
L'URL du répondeur Autorité de certification privée AWS OCSP par défaut est IPv4 -only. Pour utiliser OCSP over IPv6, configurez une URL OCSP personnalisée pour votre autorité de certification. L'URL peut être l'une des suivantes :
+ Le nom de domaine complet du répondeur OCSP PCA à double pile, qui prend la forme `acm-pca-ocsp.region-name.api.aws`
+ Un enregistrement CNAME que vous avez configuré pour pointer vers le répondeur OCSP à double pile, comme expliqué ci-dessus.